Sophos Rapid Response – Soforthilfe bei aktiver Bedrohung
Wie denkt ihr, reagiert ein IT-Administrator oder CEO (der keinen IT-Administrator hat), wenn er realisiert, dass sich gerade eine Malware im Firmennetzwerk ausbreitet und der ganze Betrieb langsam zum Erliegen kommt?
Wenn so eine Situation eintrifft, zählt jede Sekunde, um den Angriff schnellstmöglich zu stoppen und den Schaden in Grenzen zu halten. Und genau hier möchte Sophos mit Rapid Response seinen Beitrag leisten.
Was genau ist Rapid Response?
Sophos Rapid Response bietet blitzschnelle Hilfe, wenn ihr euch in der Situation einer aktiven Bedrohung befindet. Dabei richtet sich der Service an alle Kunden, egal ob diese bereits ein Sophos-Produkt einsetzen oder nicht.
Die einzigen unter euch, die Rapid Response niemals brauchen werden, sind diejenigen, die über eine Sophos Central Intercept X Advanced mit EDR und MTR Lizenz verfügen. Damit kümmert sich bereits ein Elite-Sicherheitsteam 7×24 um die Bedrohungserkennung in eurem Unternehmen und wird in heiklen Situationen sofort eingreifen.
7×24 für euch erreichbar
Da bei einem Angriff jede Sekunde zählt, arbeiten die Cyber Security Analysten, wie auch das Onboarding-Team 7×24, um Kunden unverzüglich aus der heiklen Situation zu bringen. Die hohe Verfügbarkeit ist absolut notwendig für so einen Service, denn solche Angriffe geschehen normalerweise nicht um 9:00 Uhr am Montagmorgen, sondern eher um 9:00 Uhr abends an einem Freitag, oder auch gerne mal an Heiligabend. 😬
Den Schaden aufzuhalten, hat erste Priorität
Passend zu Zeiten einer Pandemie, wird der Service komplett per Remote durchgeführt. Dabei wird immer das Ziel verfolgt, den Schaden aufzuhalten, nicht aber die ursprüngliche Umgebung wieder herzustellen. Ihr müsst euch das vorstellen wie beispielsweise ein Einsatz der Feuerwehr. Wenn ein Haus brennt, wäre Sophos gewissermassen die Feuerwehr und schaut, dass der Brand unter Kontrolle gebracht werden kann und gelöscht wird. Sophos ist aber nicht zuständig, das Haus am Schluss wieder aufzubauen.
Schnelles Onboarding
Damit das Rapid Response Team den Angriff auf euer Unternehmen aufhalten kann, durchläuft man zuerst einen Onboarding-Prozess. Dabei wird auf allen Endpoints und Servern der Intercept X Advanced mit EDR Agent ausgerollt, um so rasch wie möglich die ersten Daten zur Einschätzung der Situation vorliegen zu haben.
Bei Kunden, die bisher auf einen anderen Security Hersteller gesetzt haben, wird die Software temporär deaktiviert oder gleich deinstalliert.
Über die ganze Zeit, in der das Rapid Response Team daran arbeitet, die Bedrohung in eurem Netzwerk einzudämmen und den Angriff zu stoppen, geniesst ihr einen VIP-Status mit einem dedizierten Ansprechpartner. Beachtet aber, dass der Service im Moment erst in Englisch zur Verfügung steht.
Fixpreis ohne versteckte Kosten
Rapid Response wird für 45 Tage zu einem Fixpreis bereitgestellt. Der Preis berechnet sich anhand der Benutzeranzahl und der Anzahl an Servern im Unternehmen.
Für die 45 Tage ist der Kunde mit dem MTR Advanced Service abgedeckt. Dabei spielt es keine Rolle, ob die unbefugten Zugriffe bereits nach zwei Tagen unter Kontrolle gebracht werden konnten. Der „Patient“ bleibt trotzdem noch die restlichen 43 Tage unter ständiger Beobachtung.
Nach diesen 45 Tagen hat der Kunde schlussendlich die freie Wahl, ob er auch zukünftig seine Computer und Server mit der MTR Advanced Lizenz schützen möchte, oder wieder zurück zu seinem früheren Security-Hersteller wechseln möchte. Letzteres wird aber wohl in den wenigsten Fällen ernsthaft in Betracht gezogen. 😅
Natürlich wäre es auch möglich, auf eine tiefere Lizenz, wie z. B. MTR Standard oder Intercept X Advanced mit EDR zu wechseln. Alles darunter würde ich allerdings nicht empfehlen.
Fazit
Ich denke, niemand möchte gerne in die Situation kommen, von einer fiesen Malware heimgesucht zu werden, die vom installierten Endpoint-Schutz nicht erkannt wird und fleissig über Monate ungestört Daten sammeln kann. Und das ist nur ein Beispiel des Verhaltens einer modernen Schadsoftware. Wenn man vor so einem Scherbenhaufen steht, gibt es wohl nichts Beruhigenderes, als dass sich ein Experte vom Fach darum kümmert und die Situation schnellstmöglich in den Griff bekommt. Mit Rapid Response hat Sophos dafür nun also eine Lösung.
Nur weil es jetzt aber so einen Service gibt, heisst das nicht, dass man mit dem Schutz seines Netzwerks fahrlässig umgehen sollte. Man zündet sich in der Wohnung auch kein Feuer an mit dem Gedanken: „Die Feuerwehr ist dann ja zur Stelle, wenn es ausser Kontrolle gerät.“
Das Ziel muss sein, möglichst niemals den Sophos Rapid Response Service aufbieten zu müssen. Für Kunden, die bereits ihre Computer und Server mit Sophos Central schützen, sollten also mindestens Intercept X Advanced mit EDR lizenzieren. Nur mit EDR bekommt ihr professionelle Werkzeuge an die Hand, um verdächtige Aktivitäten im Netzwerk zu entdecken, die nicht direkt von Intercept X Advanced erkannt werden.
Wer selbst nicht die Zeit findet, sein Netzwerk regelmässig nach verdächtigen Aktivitäten zu durchsuchen, kann mit der MTR-Lizenz zurücklehnen und das Expertenteam von Sophos diese Arbeit machen lasen und dies erst noch 7×24! Damit bekommt ihr den gleichen Service, wie mit Rapid Response. Der Unterschied ist nur, dass ihr bereits jetzt schon mit dem besten Schutz von Sophos rechnen könnt, bevor das Kind in den Brunnen gefallen ist. 😎
Mehr Informationen
