Managed Threat Detection - monitoraggio e rilevamento 24/7
In questo post del blog desidero presentarvi Managed Threat Detection (MTD) per endpoint e server, disponibile dalla fine di luglio 2021. Con MTD, Sophos si rivolge principalmente ai clienti che non sono ancora pronti a sostituire la propria soluzione endpoint e server di un produttore terzo con l’agente Sophos. Per tutti gli altri clienti che hanno già installato l’agente Sophos sui propri computer e server e utilizzano almeno Intercept X Essentials, Managed Threat Detection non è rilevante.
La storia di successo di Managed Threat Response (MTR)
Sophos ha annunciato recentemente che Managed Threat Response (MTR) protegge ora oltre un milione di dispositivi. I prodotti Managed Threat Response Standard e Advanced sono le due varianti più costose per proteggere computer e server, ma offrono anche il massimo livello di sicurezza e rilevamento. Si beneficia di un team di esperti composto da analisti, sviluppatori e threat hunter che lavora 24/7 per proteggere voi e i vostri collaboratori dagli attacchi informatici.
Il funzionamento in parallelo con soluzioni di terze parti finora non era possibile
«Sophos Managed Threat Response» richiede il client MTR, che non può essere eseguito in parallelo con soluzioni di produttori terzi come Microsoft, Symantec, Kaspersky, McAfee o altri. Il nuovo servizio «Managed Threat Detection» è stato invece sviluppato specificamente per l’impiego in parallelo con terze parti e intende rivolgersi a un ulteriore gruppo target, permettendo a Sophos di «mettere un piede nella porta».
Chi pensa ora che con Managed Threat Detection possa mantenere la propria soluzione di protezione di terze parti e, senza il client MTR, ottenere gli stessi vantaggi dei clienti Managed Threat Response, si sbaglia purtroppo.
Limitazioni
Rinunciare al potente client MTR di Sophos comporta comprensibilmente alcune limitazioni. La seguente tabella comparativa mostra a quali funzioni dovrete rinunciare:
La notifica come unica opzione di intervento
Con Managed Threat Response Standard e Advanced è possibile scegliere tra tre livelli di risposta:
- Notifica: se il team Sophos MTR rileva una minaccia o un attacco, informa il cliente ma non interviene autonomamente. Si riceve un report sulla causa e sul rilevamento con indicazioni concrete per eliminare la minaccia in autonomia.
- Collaborazione: il team Sophos MTR lavora insieme al team IT interno o, su richiesta, anche con un fornitore IT esterno e risponde congiuntamente alle minacce rilevate.
- Autorizzazione: il team MTR gestisce in piena autonomia le azioni di contenimento e neutralizzazione e informa soltanto sulle misure adottate.
Con Managed Threat Detection, invece, è disponibile soltanto l’opzione di risposta “Notifica”. Si riceve un avviso tramite Central Dashboard o via e-mail quando il team MTR identifica una minaccia, ma la neutralizzazione e la rimozione restano sotto la propria responsabilità. Se si tratta di una minaccia attiva in cui ogni secondo conta, il team MTR effettua almeno una breve chiamata, ma davvero solo nel caso di minacce attive.
Sophos Rapid Response come ultima istanza
In caso di minaccia attiva, con Managed Threat Detection si è praticamente da soli nel tentativo di fermare un attacco. Il team MTR purtroppo non può intervenire, poiché il client MTR di Sophos non è installato sui computer e sui server. Proprio in questa situazione la soluzione di protezione di terze parti utilizzata dovrebbe dare il meglio di sé. Se questo non accade, rimane la possibilità di ricorrere al servizio Sophos Rapid Response. In questo caso si riceve un aiuto rapidissimo da un team di esperti Sophos, che disattiva il software di protezione esistente su tutti i computer e server e installa il client MTR.
Attenzione! Sophos Rapid Response non fa parte di Managed Threat Detection e deve essere acquistato separatamente a un prezzo fisso.
Considerazioni finali
Con Managed Threat Detection, Sophos ha creato un servizio che rende l’esperienza del team MTR accessibile anche ai clienti la cui sicurezza di rete non si basa su soluzioni Sophos. Dal punto di vista strategico, ciò ha assolutamente senso. Anche se un amministratore IT decide oggi di proteggere in futuro la rete aziendale con soluzioni Sophos, non è sempre possibile realizzare questa decisione in tempi brevi. Possono esserci contratti in corso che lo impediscono o licenze attive che hanno già assorbito il budget dei prossimi tre anni.
Con Managed Threat Detection, Sophos ha creato proprio per questi scenari una sorta di «Add-on-Service» che può essere preso in considerazione a breve termine per rafforzare il concetto di sicurezza. Le risorse del team MTR per il rilevamento delle minacce vengono così messe a disposizione di un gruppo target molto più ampio, il che non può che andare a beneficio di Sophos. Più dati sono disponibili per l’analisi, meglio possono essere ottimizzati gli algoritmi, indipendentemente dal fatto che tali dati provengano da clienti con agente MTR o MTD.
In linea generale, consiglieremmo sempre la variante MTR a tutti i clienti che desiderano proteggere i propri endpoint e server con Sophos. Siamo tuttavia consapevoli che questa soluzione non è pensata per ogni budget. È comunque meglio partire dal prodotto più costoso con il più alto livello di sicurezza e poi scendere, perché con le soluzioni di sicurezza vale la stessa regola delle assicurazioni: solo quando il danno è fatto ci si pente di aver risparmiato. 😜
Per tutti gli altri che, per diversi motivi, non vogliono o non possono ancora rivoluzionare completamente l’infrastruttura, Sophos Central Managed Threat Detection per endpoint e server è sicuramente un’integrazione potente. È assolutamente consigliabile lasciare che le attività di rete siano monitorate da un team di esperti.
