Managed Threat Detection – 24/7 de vigilancia y detección
En esta entrada del blog, me gustaría presentar Managed Threat Detection (MTD) para endpoints y servidores, que se puede adquirir desde finales de julio de 2021. Con MTD, Sophos se dirige principalmente a los clientes que (todavía) no están preparados para sustituir su solución de terceros para puntos finales y servidores por el agente de Sophos. Para todos los demás clientes que ya tienen un agente de Sophos instalado en sus ordenadores y servidores y utilizan al menos Intercept X Essentials, Managed Threat Detection no es relevante.
El éxito de la Respuesta Gestionada a las Amenazas (MTR)
Hace poco, Sophos anunció que Managed Threat Response (MTR) protege ya más de un millón de dispositivos. Los productos Respuesta gestionada frente a amenazas Standard y Advanced son las dos variantes más caras para proteger ordenadores y servidores, pero también ofrecen la mayor seguridad y detección. Obtendrá un equipo experto de analistas, programadores y cazadores de amenazas que trabajará las 24 horas del día (24/7) para mantenerle a usted y a su personal a salvo de los ciberataques.
Aún no es posible el funcionamiento en paralelo con terceros proveedores
«Sophos Managed Threat Response» requiere el cliente MTR, que no puede funcionar en paralelo con soluciones de terceros como Microsoft, Symantec, Kaspersky, McAfee u otros. El nuevo servicio «Managed Threat Detection«, por el contrario, se ha desarrollado específicamente para su uso en paralelo con terceros proveedores y, por tanto, pretende atraer a otro grupo objetivo con el fin de introducirse en el mercado con la marca Sophos.
Sin embargo, quien piense ahora que puede mantener su protección frente a terceros con Managed Threat Detection y obtener los mismos beneficios sin el cliente MTR que los clientes con Managed Threat Response, lamentablemente se equivoca.
Restricciones
Prescindir del potente cliente MTR de Sophos conlleva, como es lógico, algunas restricciones. La siguiente tabla comparativa muestra de qué funciones tiene que prescindir:
Notificación como única medida
Managed Threat Response Standard y Advanced ofrecen la posibilidad de elegir entre tres niveles de respuesta:
- Notificación: Cuando el equipo de Sophos MTR detecta una amenaza o ataque, lo notificará, pero no actuará por su cuenta. Obtendrá un informe sobre la causa y la detección con pasos de acción para abordar la amenaza por su cuenta.
- Colaboración: el equipo de Sophos MTR trabaja con su propio equipo de TI o, si lo desea, con una empresa de TI externa para responder a las amenazas correspondientes.
- Autorización: El equipo de MTR se encarga de las acciones de contención y neutralización de forma totalmente independiente y sólo informa de las medidas adoptadas.
Con la Detección Gestionada de Amenazas, en cambio, sólo está disponible la opción de respuesta«notificación«. Esto significa que usted recibe una alerta a través del Panel Central o por correo electrónico si el equipo MTR ha detectado una amenaza, pero tiene que neutralizarla y eliminarla bajo su propia responsabilidad. Si se trata de una amenaza activa, en la que cada segundo cuenta, el equipo MTR le informa al menos brevemente por teléfono (pero en realidad sólo en el caso de amenazas activas).
Sophos Rapid Response como último recurso
En caso de una amenaza activa, está solo con Managed Threat Detection para detener un ataque. Lamentablemente, el equipo de MTR no puede ofrecer asistencia en este caso, ya que el cliente interno de Sophos MTR no está instalado en los ordenadores y servidores. Aquí es exactamente donde el software de protección de terceros utilizado debería brillar. Si no es así, siempre existe la opción de utilizar el servicio de respuesta rápida de Sophos. Recibirá la ayuda más rápida de un equipo de expertos de Sophos, que desactivará el software de protección existente en todos los ordenadores y servidores e instalará el cliente MTR.
¡Atención! Sophos Rapid Response no forma parte de Managed Threat Detection y debe adquirirse por separado a un precio fijo.
Palabras finales
Con Managed Threat Detection, Sophos ha creado un servicio que pone la experiencia de su equipo de MTR a disposición de los clientes que no han basado la seguridad de su red en las soluciones de Sophos. Y eso tiene mucho sentido desde una perspectiva estratégica. Incluso si un administrador de TI toma hoy la decisión de equipar la red de la empresa con soluciones de Sophos en el futuro, esto no siempre puede implementarse a corto plazo. Puede haber contratos en vigor que lo impidan o licencias activas que ya se hayan comido el presupuesto de los próximos 3 años.
Con Managed Threat Detection, Sophos ha creado una especie de«servicio adicional» precisamente para este tipo de escenarios, que puede considerarse a corto plazo para reforzar el concepto de seguridad. Los recursos del equipo de MTR para la detección de amenazas se ponen así a disposición de un grupo objetivo mucho mayor, con lo que Sophos sólo puede salir ganando. Cuantos más datos estén disponibles para el análisis, mejor se podrán ajustar los algoritmos, y da igual que estos datos sean aportados por clientes que utilicen el agente MTR o el MTD.
En principio, siempre aconsejaríamos a todos los clientes que quieran proteger sus terminales y servidores con Sophos que opten por la variante MTR. Pero también somos conscientes de que esta solución no está diseñada para todos los presupuestos. No obstante, es mejor orientarse desde el producto más caro con el mayor nivel de seguridad hacia abajo, porque las soluciones de seguridad son como las pólizas de seguro: sólo te arrepientes de haber ahorrado dinero cuando el daño ya está hecho. 😜
Para todos los demás que, por la razón que sea, no quieran o no puedan tirar todavía toda la infraestructura por la borda, Sophos Central Managed Threat Detection para endpoints y servidores es sin duda un complemento muy potente. Es muy recomendable que la actividad de la red esté supervisada por un equipo de expertos.