
sophos-mtr-deteccion-de-amenazas-24-7-por-expertos
El 1 de octubre, Sophos lanzó un prometedor servicio que me gustaría presentarles con un poco más de detalle. Estamos hablando de MTR o Managed Threat Response. Este nuevo producto es el resultado de las dos adquisiciones Rook Security y DarkBytes. Rook Security está especialmente presente en el área de servicios de esta oferta, mientras que DarkBytes, con Managed Detection and Response (MDR), ha aportado su cuota de tecnología.
¿Qué es Sophos Managed Threat Response (MTR)?
Sophos MTR se basa en Intercept X Advanced con EDR y aborda el gran problema. Cualquiera que ya haya leído mi artículo sobre Endpoint Detection and Response sabe dónde reside el valor añadido de este producto. Pero muchos clientes simplemente no tienen tiempo para buscar posibles amenazas por su cuenta. A esto hay que añadir que este trabajo requiere personal altamente cualificado y especializado que tenga el nivel de conocimientos adecuado. Estas personas no sólo son especialmente difíciles de encontrar, sino que tienen un nivel salarial realmente alto. Si este servicio se amplía a un servicio de 24 horas, esto se come una parte muy importante del capital para su seguridad informática. Por regla general, sólo las empresas muy grandes tienen la posibilidad y también los medios financieros para crear incentivos especiales para los empleados.
Aquí es donde entra en juego el nuevo servicio MTR de Sophos, que le ofrece un servicio 24 horas al día, 7 días a la semana, en forma de un equipo de seguridad de élite que puede encargarse de la detección de amenazas en su empresa e intervenir inmediatamente en situaciones delicadas. Así pues, el nuevo producto MTR no es un elemento más del menú de su panel de administración central, sino que proporciona una respuesta humana específica. Sophos hace especial hincapié en la intervención independiente en este servicio. Así, en caso de ataque, el equipo MTR de Sophos no sólo le informará, sino que tomará las medidas necesarias en su nombre si así lo solicita. Así obtienes un «servicio totalmente gestionado».
¿Cuáles son las variantes del servicio MTR?
Incluiremos sin falta la nueva oferta de MTR en nuestro catálogo de productos y pronto podremos ofrecerla a través de nuestro sitio web. Básicamente, el servicio está disponible en las siguientes variantes:
- Central Intercept X Advanced con EDR y MTR [Standard / Advanced] – Este es el paquete para todos los clientes que aún no han adquirido una licencia EDR. Por lo tanto, esto afecta a los clientes que tengan, por ejemplo, «Intercept X Advanced» o sólo «Endpoint Protection».
- Central MTR [Standard / Advanced] – Esta variante es adecuada para todos los clientes que ya utilizan «Intercept X Advanced con EDR» y desean adquirir MTR como complemento.
Estándar o avanzado: ¿cuáles son exactamente las diferencias?
Como ya puede ver por las dos variantes mencionadas, Sophos MTR se ofrece en una variante estándar y otra avanzada. Veamos qué servicios incluyen los dos paquetes:
Alcance de los servicios de la variante estándar
Detección circunstancial de amenazas 24/7
Una vez obtenida la licencia de Sophos MTR y realizado el proceso de incorporación (más información más adelante), su cuenta central se conectará al sistema automatizado del equipo de MTR. Como este sistema aprende constantemente, puede reaccionar automáticamente ante amenazas conocidas. La caza de amenazas basada en pruebas entra en juego cuando se ha detectado algo en su sistema pero no se ha podido solucionar por completo y requiere conocimientos humanos. Puede considerarlo un poco como el «Centro de Análisis de Amenazas» de su cuenta de Administración Central. Por un lado, puedes ver las amenazas que ya han sido detenidas automáticamente por Intercept X Advanced y, por otro, puedes ver los «objetos sospechosos» que han sido detectados gracias a la IA (inteligencia artificial) pero que no han podido ser remediados. En tal situación, el equipo de MTR está a su disposición 24 horas al día, 7 días a la semana. A continuación, un experto examina detenidamente el indicio crítico y utiliza su experiencia para decidir la gravedad de esa detección concreta y lo que hay que hacer. Los resultados y conocimientos de este incidente se transfieren posteriormente al sistema automatizado del equipo de MTR. La próxima vez que se produzca la misma detección en un escenario diferente, el sistema puede responder automáticamente.
Detección de ataques
Paralelamente a la caza circunstancial de amenazas, el equipo de MTR presta especial atención a los ataques que se llevan a cabo a través de procesos legítimos, como PowerShell. Estos ataques suelen tener éxito porque son muy difíciles de detectar para las herramientas de vigilancia. El equipo de MTR utiliza análisis propios para supervisar estos procesos y garantizar que no se utilicen con fines malintencionados.
Informes de actividad
La transparencia hacia ustedes como clientes es muy importante para el equipo de MTR. Por lo tanto, obtendrá informes de actividad que le mostrarán lo que el equipo de MTR ha hecho en su nombre. Conocerá el estado actual de sus sistemas, qué información se recopiló durante el periodo del informe y qué amenazas se evitaron. A continuación, se crea un histograma de estos informes a lo largo del periodo de tiempo en que se utiliza el servicio MTR. Con ayuda de estos datos, Sophos crea los llamados «cuadros de mando», con los que puede compararse con periodos anteriores. Esto le ofrece la transparencia prometida y le permite ver muy rápidamente si el servicio MTR le resulta útil.
Chequeo de seguridad
Como puede verse en los tres primeros servicios, el estándar de servicio MTR consiste en detectar amenazas y prevenir ataques. El chequeo de seguridad también garantiza que sus productos de Sophos Central, como Intercept X Advanced con EDR, funcionen siempre al máximo rendimiento. Para ello, el equipo de MTR examina los requisitos de su red y formula recomendaciones sobre cambios de configuración. Así que puede estar seguro de que los productos de Central se adaptarán perfectamente a su negocio.
Alcance de los servicios de la variante avanzada
Veamos qué servicios adicionales se le ofrecen en la variante Avanzada:
Búsqueda de amenazas circunstanciales 24/7
Además de la búsqueda circunstancial de amenazas en el paquete estándar, también recibirá la búsqueda circunstancial de amenazas en la variante avanzada. En este caso, la experiencia recae por completo en los analistas del equipo de MTR, que examinan de cerca los dispositivos o las cuentas de usuario especialmente importantes de su empresa. Para ello, examinan cómo se produce la comunicación en la red, si se están ejecutando procesos sospechosos o se puede detectar cualquier otro comportamiento inusual o atípico. Los datos recogidos se utilizan para intentar predecir la estrategia de los atacantes e identificar nuevos indicadores de ataque (IoA). Cuando se detecte una incidencia, se le asignará un gestor de respuesta especializado que estará al teléfono para ayudarle a resolverla por completo.
Datos de telemetría optimizados
El paquete estándar de MTR incluye los datos proporcionados por Intercept X Advanced con EDR. Para mejorar la telemetría, la versión Advanced va más allá de la simple detección de eventos en el punto final e incluye datos de otros productos de Central en el análisis de amenazas.
Asistencia telefónica directa
Otra ventaja de la variante Advanced es el acceso directo al equipo de analistas de MTR, que está a su disposición 24 horas al día, 7 días a la semana. Así, por ejemplo, si tiene alguna pregunta o desea hablar sobre una amenaza concreta, puede ponerse en contacto directamente por teléfono con el Centro de Operaciones de Seguridad (SOC).
Mejora proactiva del estado de la seguridad
El paquete Avanzado lleva el chequeo de seguridad al siguiente nivel. Mientras que la versión estándar hace recomendaciones generales para la configuración de los productos Central, el equipo de MTR ahora también tiene en cuenta el contexto empresarial que hay detrás de los ajustes de configuración de, por ejemplo, una política. Recibirá orientación sobre cómo solucionar las vulnerabilidades de configuración y arquitectura que afectan negativamente a su seguridad.
Reconocimiento de activos
Los expertos de Sophos no sólo analizarán con usted las operaciones críticas, sino que también obtendrán una visión general de las aplicaciones en uso e identificarán los posibles puntos de ataque que pueden surgir en el sistema como consecuencia de ello. Para ello, el equipo de MTR tiene en cuenta un denominado «inventario de activos» que les ayuda a comprender qué aplicaciones se ejecutan en un punto final y si están afectadas por vulnerabilidades abiertas. El resultado es una valiosa información detallada específicamente orientada a su empresa.
¿Qué niveles de asistencia ofrece el equipo de Sophos MTR?
Independientemente de si elige la variante Estándar o Avanzada, usted conserva el control sobre el grado de autonomía con el que debe trabajar el equipo de MTR. Esto se regula desde el principio en el llamado proceso de incorporación. Cuando adquiere el servicio Sophos MTR, puede elegir entre tres opciones que determinan la respuesta que espera del equipo MTR:
- Notificación: Si el equipo de Sophos MTR ha detectado una amenaza o ataque, sólo le notificará a este nivel, pero no tomará medidas en su nombre. Sin embargo, recibirá un informe detallado sobre la causa y la detección con medidas prácticas para remediar el peligro por su cuenta.
- Colaboración: el equipo de Sophos MTR trabaja con sus empleados o incluso con una consultoría externa para responder a las amenazas adecuadas.
- Autorización: En este caso, el equipo de MTR se encarga de las acciones de contención y neutralización de forma totalmente independiente y sólo le informa de las medidas adoptadas.
¿Qué diferencia a Sophos MTR de los competidores que también ofrecen un servicio comparable?
Sophos menciona dos competidores, SentinelOne y CrowdStrike, que figuran entre los más duros en cuanto a su oferta. Sin embargo, el servicio MTR de Sophos ofrece una ventaja decisiva. La acción independiente, y además proactiva, aún no ha existido. Con el nivel de respuesta de autorización mencionado anteriormente, Sophos ya no requiere que trabaje de forma independiente con largas listas de mensajes de error y amenaza. Ahora, especialistas formados de Sophos pueden hacer todo esto en su nombre.
Aunque SentinelOne y CrowdStrike también ofrecen este servicio, es sólo para el nivel más alto de servicio, que una pequeña empresa no puede permitirse. En cambio, el nivel de autorización más alto con Sophos MTR puede ser utilizado por todas las empresas, independientemente de su tamaño o del nivel de servicio reservado.
¿Qué sistemas puede atender Sophos actualmente con este servicio?
El servicio no se puso en marcha hasta el 1 de octubre. Por esta razón, actualmente sólo se ofrece soporte para Windows Endpoint 32 y 64 bits. La compatibilidad con otros sistemas, como Windows Server, Linux y Mac OS, está prevista para finales de noviembre de 2019. Sin embargo, aún no se ha fijado una fecha exacta.
Además, el servicio sólo está disponible en inglés en la primera fase. Sin embargo, hay planes para incluir otras lenguas en el repertorio. Sin embargo, aún no está claro cuándo ocurrirá ni qué lenguas se utilizarán.
Conclusión sobre el servicio Sophos Managed Threat Response
Lo que he leído y oído hasta ahora sobre el servicio MTR de Sophos me ha convencido. Este servicio de Sophos también ofrece a las pequeñas y medianas empresas la oportunidad de disfrutar de una protección de seguridad informática completa y profesional. De este modo, la búsqueda de personal cualificado y con experiencia se reduce considerablemente y puede confiar en los expertos de la propia Sophos.
También me gustan los tres niveles diferentes de asistencia que Sophos ofrece a todos los clientes durante el proceso de incorporación. Así podréis decidir vosotros mismos cuánto control queréis ceder. Absolutamente inigualable es también la oferta del «nivel de autorización», ¡que también está disponible en la variante estándar! Por lo tanto, no es necesario adquirir el paquete Advanced, más caro, si desea que los especialistas de Sophos se ocupen de la seguridad de su red de forma totalmente independiente.
Si ahora está interesado en Sophos MTR, no dude en ponerse en contacto con nosotros. Pronto publicaremos las distintas variantes del servicio MTR en nuestro sitio web, con lo que el precio dejará de ser un secreto. También estaremos encantados de aclarar cualquier duda en una reunión personal.