Ir al contenido
Avanet
Sophos MTR - Caza de amenazas 24/7 por expertos

Sophos MTR - Caza de amenazas 24/7 por expertos

27. NOVIEMBRE 2019

El 1 de octubre, Sophos presentó un servicio prometedor que me gustaría presentarles con más detalle. Se trata de MTR o, en su totalidad, Managed Threat Response. Este nuevo producto es el resultado de las dos adquisiciones Rook Security y DarkBytes. Rook Security está particularmente representada en el área de servicios de esta oferta, mientras que DarkBytes contribuyó con su parte de la tecnología con Managed Detection and Response (MDR).

¿Qué es Sophos Managed Threat Response (MTR)?

Sophos MTR se basa en Intercept X Advanced con EDR y aborda el gran y gordo elefante en la habitación. 😅 Si ya han leído mi artículo sobre Endpoint Detection and Response, saben dónde radica el valor añadido de este producto. Pero muchos clientes simplemente no tienen tiempo para buscar de forma independiente posibles amenazas. Además, para este trabajo se requiere personal altamente cualificado y especializado con el nivel adecuado de experiencia. Estas personas no solo son particularmente difíciles de encontrar, sino que también tienen un nivel salarial muy alto. Si este servicio se extiende a un servicio 24 horas, esto consumirá una parte muy grande del capital destinado a su seguridad informática. Por regla general, solo las grandes corporaciones tienen la oportunidad y los medios financieros para crear incentivos especiales para los empleados aquí.

Precisamente aquí entra en juego el nuevo servicio MTR de Sophos, ofreciéndoles un servicio 24/7 en forma de un equipo de seguridad de élite, que se encarga de la detección de amenazas en su empresa y puede intervenir de inmediato en situaciones delicadas. El nuevo producto MTR no es, por lo tanto, un elemento de menú adicional en su panel de administración central, sino que ofrece una respuesta dirigida por personas. Sophos destaca especialmente la intervención autónoma en este servicio. El equipo MTR de Sophos no solo les informará de un ataque, sino que, si lo desean, también tomará las medidas necesarias en su nombre. Por lo tanto, reciben un “servicio totalmente gestionado”.

¿Qué variantes del servicio MTR existen?

Definitivamente incluiremos la nueva oferta de MTR en nuestro catálogo de productos y pronto podremos ofrecerla a través de nuestra página web. Básicamente, el servicio está disponible en las siguientes variantes:

  1. Central Intercept X Advanced con EDR y MTR [Estándar / Avanzado] - Este es el paquete para todos los clientes que aún no han adquirido una licencia EDR. Esto afecta a clientes con, por ejemplo, “Intercept X Advanced” o solo la “Endpoint Protection”.
  2. Central MTR [Estándar / Avanzado] - Esta variante es adecuada para todos los clientes que ya utilizan “Intercept X Advanced con EDR” y desean adquirir MTR como un complemento.

Estándar o Avanzado - ¿Cuáles son exactamente las diferencias?

Como ya pueden ver en las dos variantes listadas anteriormente, Sophos MTR se ofrece en una variante Estándar y una Avanzada. Echemos un vistazo a los servicios incluidos en ambos paquetes:

Alcance de los servicios de la variante Estándar

Caza de amenazas basada en indicios 24/7

Una vez que haya licenciado Sophos MTR y completado el proceso de incorporación (más sobre esto más adelante), su cuenta Central se conectará al sistema automatizado del equipo MTR. Dado que este sistema aprende constantemente, puede reaccionar automáticamente a amenazas conocidas. La caza de amenazas basada en indicios entra en juego cuando se ha detectado algo en su sistema que no pudo ser completamente resuelto y requiere conocimientos humanos. Puede imaginarse esto un poco como en el “Centro de análisis de amenazas” en su cuenta de administración central. Allí verá, por un lado, las amenazas que ya han sido detenidas automáticamente por Intercept X Advanced y, por otro lado, “objetos sospechosos” que fueron detectados gracias a la IA (inteligencia artificial) pero que no pudieron ser resueltos. En una situación así, el equipo MTR está a su disposición 24/7. Un experto examinará la alerta crítica y, basándose en su experiencia, decidirá la gravedad de esta detección específica y qué debe hacerse. Los hallazgos y conocimientos de este incidente se transferirán posteriormente al sistema automatizado del equipo MTR. La próxima vez que la misma detección ocurra en un escenario diferente, el sistema podrá reaccionar automáticamente.

Detección de ataques

Al mismo tiempo que la caza de amenazas basada en indicios, el equipo de MTR presta especial atención a los ataques que se ejecutan a través de procesos legítimos, como PowerShell. Este tipo de ataques suelen tener éxito porque son muy difíciles de detectar para las herramientas de monitorización. El equipo de MTR supervisa estos procesos utilizando métodos de análisis desarrollados por ellos mismos para garantizar que no se utilicen con fines maliciosos.

Informes de actividad

Para el equipo MTR, la transparencia con ustedes como clientes es muy importante. Por lo tanto, recibirán informes de actividad en los que se les mostrará todo lo que el equipo MTR ha hecho en su nombre. Conocerán el estado actual de sus sistemas, qué conocimientos se recopilaron durante el período del informe y qué amenazas se pudieron evitar. A lo largo del tiempo que utilicen el servicio MTR, se creará un histograma de estos informes. Con la ayuda de estos datos, Sophos les creará las llamadas “Scorecards”, con las que podrán compararse con períodos anteriores. De este modo, obtendrán la transparencia prometida y podrán reconocer muy rápidamente si el servicio MTR les resulta útil.

Comprobación de seguridad (Security Health Check)

Como pueden ver por las tres prestaciones anteriores, el servicio MTR Estándar se centra en la detección de amenazas y la prevención de ataques. Con el Security Health Check también se garantiza que sus productos Sophos Central, como Intercept X Advanced con EDR, puedan funcionar siempre con el máximo rendimiento. Para ello, el equipo MTR se ocupa de sus requisitos en la red y emite recomendaciones para cambios de configuración. Así, pueden estar seguros de que los productos Central se adaptarán perfectamente a su empresa.

Alcance de los servicios de la variante Avanzada

Veamos qué servicios adicionales se le ofrecen en la variante Avanzada:

Caza de amenazas sin indicios 24/7

Además de la caza de amenazas basada en indicios del paquete Estándar, la variante Avanzada también incluye la caza de amenazas sin indicios. Aquí, la experiencia reside por completo en los analistas del equipo MTR, que examinan minuciosamente dispositivos o cuentas de usuario especialmente importantes en su empresa. Observan cómo se comunica en la red, si se están ejecutando procesos sospechosos o si se puede detectar cualquier otro comportamiento inusual o atípico. Con los datos recopilados, se intenta predecir la estrategia de los atacantes e identificar nuevos indicadores de ataque (IoA). Si se detecta un incidente, se le asignará un líder de respuesta dedicado que le asistirá telefónicamente en la resolución completa del problema.

Datos de telemetría optimizados

El paquete Estándar de MTR incluye los datos proporcionados por Intercept X Advanced con EDR. Para una telemetría mejorada, la versión Advanced va más allá de la mera detección de eventos en el punto final e incluye datos de otros productos Central en el análisis de amenazas.

Soporte telefónico directo

Otra ventaja de la variante Advanced es el acceso directo al equipo de analistas de MTR, que está disponible para usted 24/7. Por lo tanto, si tiene alguna pregunta o, por ejemplo, desea hablar sobre un caso de amenaza específico, puede ponerse en contacto directamente con el Centro de Operaciones de Seguridad (SOC) por teléfono.

Mejora proactiva del estado de seguridad

En el paquete Advanced, el Security Health Check se eleva al siguiente nivel. Mientras que en la variante Estándar se emiten recomendaciones generales para la configuración de los productos Central, el equipo MTR ahora también considera el contexto empresarial detrás de la configuración de, por ejemplo, una política. Recibirá asistencia para remediar las debilidades de configuración y arquitectura que afectan negativamente a su seguridad.

Detección de activos

El personal especializado de Sophos no solo analiza los procesos operativos críticos, sino que también obtiene una visión general de las aplicaciones utilizadas e identifica posibles puntos de ataque que pueden surgir en el sistema como resultado. El equipo de MTR tiene en cuenta un llamado inventario de activos, que ayuda a comprender qué aplicaciones se están ejecutando en un punto final y si estas están afectadas por vulnerabilidades abiertas. De este modo, se obtiene información detallada valiosa, específicamente adaptada a la empresa en cuestión.

¿Qué niveles de soporte ofrece el equipo de Sophos MTR?

Independientemente de si elige la variante Estándar o Avanzada, usted mantiene el control sobre la autonomía con la que el equipo de MTR debe trabajar. Esto se regula al principio, en el llamado proceso de incorporación. Cuando adquiere el servicio Sophos MTR, puede elegir entre tres opciones que determinan qué respuesta espera del equipo de MTR:

  1. Notificación: Si el equipo de Sophos MTR ha detectado un incidente de amenaza o un ataque, en este nivel solo se le informará al respecto, pero no se actuará de forma independiente en su nombre. Sin embargo, recibirá un informe detallado sobre la causa y la detección con pasos factibles para resolver la amenaza por su cuenta.
  2. Colaboración: El equipo de Sophos MTR trabaja junto con sus empleados o con una empresa consultora externa y reacciona a las amenazas correspondientes.
  3. Autorización: Aquí, el equipo de MTR se encarga de las acciones de contención y neutralización de forma completamente independiente y solo le informa sobre las medidas tomadas.

¿Qué distingue a Sophos MTR de la competencia que también ofrece un servicio comparable?

Sophos menciona a dos competidores, SentinelOne y CrowdStrike, como los más duros en cuanto a la oferta. Sin embargo, el servicio MTR de Sophos ofrece una ventaja decisiva. Una actuación autónoma y proactiva, no existía hasta ahora. Gracias al nivel de respuesta de Autorización que se menciona, ya no tienen que procesar listas interminables de mensajes de error y amenazas de forma independiente con Sophos. Todo esto puede ser ahora llevado a cabo en su nombre por especialistas capacitados de Sophos.

Aunque SentinelOne y CrowdStrike también ofrecen un servicio similar, solo lo hacen para el nivel de servicio más alto, que una pequeña empresa no puede permitirse. El nivel de autorización más alto en Sophos MTR, sin embargo, puede ser utilizado por todas las empresas, independientemente de su tamaño o del nivel de servicio contratado.

¿Qué sistemas puede Sophos atender actualmente con este servicio?

El servicio se puso en marcha el 1 de octubre. Por esta razón, actualmente solo se ofrece soporte para Windows Endpoint de 32 y 64 bits. El soporte para otros sistemas, como Windows Server, Linux y Mac OS, se espera para finales de noviembre de 2019. Sin embargo, aún no se ha especificado una fecha exacta.

Además, el servicio en la primera fase solo está disponible en inglés. Sin embargo, está previsto incluir otros idiomas en el repertorio. Cuándo ocurrirá esto y qué idiomas serán, aún no está claro.

Conclusión sobre el servicio Sophos Managed Threat Response

Lo que he leído y oído hasta ahora sobre el servicio MTR de Sophos realmente me ha convencido. Gracias a este servicio de Sophos, también las pequeñas y medianas empresas tienen la oportunidad de permitirse una protección integral y profesional en seguridad informática. La búsqueda de personal cualificado y experimentado se reduce considerablemente y se puede recurrir a los propios expertos de Sophos.

También me parecen muy acertados los tres niveles de soporte diferentes que Sophos ofrece a todos los clientes durante el proceso de incorporación. Por lo tanto, pueden decidir completamente de forma independiente cuánto control quieren ceder. La oferta del “Nivel de autorización”, que también está disponible en la variante Estándar, ¡es absolutamente inigualable! Por lo tanto, no necesitan adquirir el paquete Advanced más caro si los especialistas de Sophos deben ocuparse de la seguridad de su red de forma completamente autónoma.

Si ahora han desarrollado interés en Sophos MTR, no duden en ponerse en contacto con nosotros. Pronto publicaremos las diferentes variantes del servicio MTR en su página web, con lo que el precio ya no será un secreto. También estaremos encantados de aclarar preguntas abiertas en una conversación personal.

David

David

David es responsable del contenido, la estructura y la implementacion digital en Avanet. Su enfoque consiste en presentar temas tecnicos complejos de forma clara, precisa y orientada a buscadores.