Managed Threat Detection: supervisión y detección 24/7
En esta entrada del blog quiero presentaros Managed Threat Detection (MTD) para endpoints y servidores, disponible desde finales de julio de 2021. Con MTD, Sophos se dirige principalmente a clientes que (todavía) no están preparados para sustituir su solución actual de endpoint y servidor de un proveedor de terceros por el agente de Sophos. Para todos los demás clientes que ya tienen instalado el agente de Sophos en sus ordenadores y servidores y utilizan como mínimo Intercept X Essentials, Managed Threat Detection no es relevante.
La historia de éxito de Managed Threat Response (MTR)
Hace poco, Sophos anunció que Managed Threat Response (MTR) ya protege a más de un millón de dispositivos. Los productos Managed Threat Response Standard y Advanced son las dos variantes más caras para proteger ordenadores y servidores, pero también ofrecen el mayor nivel de seguridad y de detección. Cuentas con un equipo de expertos compuesto por analistas, desarrolladores y cazadores de amenazas que trabajan 24/7 para protegeros a ti y a tus empleados frente a ciberataques.
La ejecución paralela con terceros no era posible hasta ahora
«Sophos Managed Threat Response» requiere el cliente MTR, que no puede ejecutarse en paralelo con soluciones de terceros como Microsoft, Symantec, Kaspersky, McAfee u otros proveedores. En cambio, el nuevo servicio «Managed Threat Detection» se ha desarrollado específicamente para el uso en paralelo con soluciones de terceros y está diseñado para dirigirse a un nuevo público objetivo en el que Sophos pueda «meter el pie en la puerta».
Quien piense ahora que con Managed Threat Detection puede mantener la solución de protección de un tercero y, sin el cliente MTR, disfrutar de las mismas ventajas que los clientes de Managed Threat Response, se equivoca.
Limitaciones
Prescindir del potente cliente MTR de Sophos conlleva lógicamente algunas limitaciones. La siguiente tabla comparativa muestra de qué funciones se prescinde:
La notificación como única medida de actuación
Con Managed Threat Response Standard y Advanced se puede elegir entre tres niveles de respuesta:
- Notificación: Si el equipo Sophos MTR detecta un incidente de seguridad o un ataque, lo notificará, pero no actuará por iniciativa propia. Se recibe un informe sobre la causa y la detección con pasos concretos para corregir la amenaza por cuenta propia.
- Colaboración: El equipo Sophos MTR trabaja junto con el equipo de TI interno o, si se desea, con un proveedor externo de TI y responde conjuntamente a las amenazas correspondientes.
- Autorización: El equipo MTR se ocupa de forma totalmente autónoma de las acciones de contención y neutralización e informa únicamente de las medidas adoptadas.
En cambio, con Managed Threat Detection solo está disponible la opción de respuesta “Notificación”. Esto significa que se recibe una alerta a través del panel de Central o por correo electrónico cuando el equipo MTR detecta una amenaza, pero la neutralización y la eliminación siguen siendo responsabilidad propia. Si se trata de una amenaza activa en la que cada segundo cuenta, el equipo MTR al menos contactará brevemente por teléfono, aunque realmente solo en caso de amenazas activas.
Sophos Rapid Response como último recurso
En caso de amenaza activa, con Managed Threat Detection uno está prácticamente solo a la hora de detener un ataque. El equipo de MTR no puede ayudar aquí, ya que el cliente MTR propio de Sophos no está instalado en los ordenadores y servidores. Precisamente en este punto es donde la solución de protección utilizada de un proveedor externo debería brillar. Si no lo hace, sigue existiendo la opción de recurrir al servicio Sophos Rapid Response. Con él se recibe ayuda rápida de un equipo de expertos de Sophos, que desactiva el software de protección existente en todos los ordenadores y servidores e instala el cliente MTR.
Atención: Sophos Rapid Response no forma parte de Managed Threat Detection y debe adquirirse por separado a un precio fijo.
Conclusión
Con Managed Threat Detection, Sophos ha creado un servicio que hace que la experiencia del equipo MTR esté también al alcance de clientes cuya seguridad de red no se basa en soluciones de Sophos. Y, desde un punto de vista estratégico, esto tiene todo el sentido. Incluso si un administrador de TI decide hoy proteger en el futuro la red de la empresa con soluciones de Sophos, no siempre se puede ejecutar esta decisión a corto plazo. Puede haber contratos vigentes que se interpongan en el camino o licencias activas que ya hayan consumido el presupuesto de los próximos tres años.
Con Managed Threat Detection, Sophos ha creado precisamente para estos escenarios una especie de «servicio complementario» que puede tenerse en cuenta a corto plazo para reforzar el concepto de seguridad. Los recursos del equipo MTR destinados a la detección de amenazas pasan así a estar disponibles para un grupo de clientes mucho más amplio, lo que solo puede beneficiar a Sophos. Cuantos más datos haya disponibles para el análisis, mejor se podrán ajustar los algoritmos; y da igual si estos datos proceden de clientes con agente MTR o MTD.
En principio, siempre recomendaríamos la variante MTR a todos los clientes que quieran proteger sus endpoints y servidores con Sophos. Sin embargo, también somos conscientes de que esta solución no se ajusta a todos los presupuestos. Aun así, es mejor tomar como referencia el producto más caro con el mayor nivel de seguridad e ir descendiendo desde ahí, porque con las soluciones de seguridad ocurre lo mismo que con los seguros: solo cuando se produce el daño se lamenta haber ahorrado. 😜
Para todos los demás que, por los motivos que sean, todavía no quieren o no pueden cambiar toda la infraestructura de una vez, Sophos Central Managed Threat Detection para endpoints y servidores es sin duda un excelente complemento. Es totalmente recomendable que un equipo de expertos supervise la actividad de la red.
