Shopping Cart

Nessun prodotto nel carrello.

Sophos MTR – Caccia alle minacce 24/7 da parte degli esperti

Il 1° ottobre Sophos ha lanciato un servizio promettente che vorrei presentarvi in modo un po’ più dettagliato. Stiamo parlando di MTR o Managed Threat Response. Questo nuovo prodotto è il risultato delle due acquisizioni di Rook Security e DarkBytes. Rook Security è particolarmente presente nell’area dei servizi di questa offerta, mentre DarkBytes, con Managed Detection and Response (MDR), ha contribuito con la sua parte di tecnologia.

Che cos’è il Managed Threat Response (MTR) di Sophos?

Sophos MTR si basa su Intercept X Advanced con EDR e affronta il grande, grosso elefante nella stanza. Chi ha già letto il mio articolo su Endpoint Detection and Response sa dove risiede il valore aggiunto di questo prodotto. Ma molti clienti semplicemente non hanno il tempo di andare alla ricerca di possibili minacce da soli. Inoltre, questo lavoro richiede personale altamente qualificato e specializzato con il giusto livello di competenza. Queste persone non solo sono particolarmente difficili da trovare, ma hanno un livello di retribuzione davvero elevato. Se questo servizio deve essere esteso a un servizio 24 ore su 24, si consuma una parte molto consistente del capitale per la sicurezza informatica. Di norma, solo le grandi aziende hanno la possibilità e i mezzi finanziari per creare incentivi speciali per i dipendenti.

È qui che entra in gioco il nuovo servizio MTR di Sophos, che vi offre un servizio 24 ore su 24, 7 giorni su 7, sotto forma di un team di sicurezza d’élite in grado di occuparsi del rilevamento delle minacce nella vostra azienda e di intervenire immediatamente nelle situazioni più delicate. Il nuovo prodotto MTR non è quindi un’altra voce di menu nel cruscotto dell’amministrazione centrale, ma fornisce una risposta umana mirata. Sophos sottolinea in particolare l’intervento autonomo di questo servizio. Pertanto, in caso di attacco, il team MTR di Sophos non solo vi informerà, ma intraprenderà anche le azioni necessarie per vostro conto, se richiesto. Così si ottiene un “servizio completamente gestito”.

Quali sono le varianti del servizio MTR?

Includeremo sicuramente la nuova offerta MTR nel nostro catalogo prodotti e presto saremo in grado di offrirla anche tramite il nostro sito web. Fondamentalmente, il servizio è disponibile nelle seguenti varianti:

  1. Central Intercept X Advanced con EDR e MTR [Standard / Advanced] – Questo è il pacchetto per tutti i clienti che non hanno ancora acquistato una licenza EDR. Ciò riguarda quindi i clienti che dispongono, ad esempio, di “Intercept X Advanced” o solo di “Endpoint Protection”.
  2. Central MTR [Standard / Advanced] – Questa variante è adatta a tutti i clienti che utilizzano già “Intercept X Advanced with EDR” e desiderano acquistare MTR come componente aggiuntivo.

Standard o Avanzato: quali sono esattamente le differenze?

Come si può già vedere dalle due varianti sopra elencate, Sophos MTR è offerto in una variante standard e in una avanzata. Vediamo quali sono i servizi inclusi nei due pacchetti:

Ambito dei servizi della variante standard

Rilevamento delle minacce circostanziali 24/7

Una volta ottenuta la licenza per Sophos MTR e superato il processo di onboarding (di cui si dirà più avanti), il vostro Central Account sarà collegato al sistema automatizzato del team MTR. Poiché questo sistema apprende costantemente, può reagire automaticamente alle minacce conosciute. La caccia alle minacce basata sull’evidenza entra in gioco quando qualcosa è stato rilevato nel sistema ma non è stato possibile risolverlo completamente e richiede competenze umane. Si può pensare che sia un po’ come il “Centro di analisi delle minacce” nel vostro account di amministrazione centrale. Da un lato, si possono vedere le minacce che sono già state bloccate automaticamente da Intercept X Advanced, dall’altro, si possono vedere gli “oggetti sospetti” che sono stati rilevati grazie all’AI (intelligenza artificiale) ma a cui non è stato possibile porre rimedio. In una situazione del genere, il team MTR è a vostra disposizione 24 ore su 24, 7 giorni su 7. Un esperto esamina quindi da vicino l’indizio critico e utilizza la sua esperienza per decidere la gravità di quel particolare rilevamento e ciò che deve essere fatto. I risultati e le conoscenze di questo incidente vengono successivamente trasferiti al sistema automatizzato del team MTR. La volta successiva che si verifica lo stesso rilevamento in uno scenario diverso, il sistema può rispondere automaticamente.

Rilevamento degli attacchi

Parallelamente alla caccia alle minacce circostanziali, il team MTR presta particolare attenzione agli attacchi condotti tramite processi legittimi, come PowerShell. Questi attacchi hanno spesso successo perché sono molto difficili da rilevare per gli strumenti di sorveglianza. Il team MTR utilizza analisi proprietarie per monitorare questi processi e assicurarsi che non vengano utilizzati per scopi dannosi.

Rapporti di attività

La trasparenza nei confronti di voi clienti è molto importante per il team di MTR. Pertanto, riceverete dei rapporti di attività che vi mostreranno ciò che il team MTR ha fatto per vostro conto. Potrete conoscere lo stato attuale dei vostri sistemi, quali informazioni sono state raccolte durante il periodo di riferimento e quali minacce sono state scongiurate. Viene quindi creato un istogramma di questi rapporti per il periodo di tempo in cui si utilizza il servizio MTR. Con l’aiuto di questi dati, Sophos crea le cosiddette “scorecard”, con le quali è possibile confrontarsi con i periodi precedenti. Questo vi dà la trasparenza promessa e vi permette di capire molto rapidamente se il servizio MTR è utile per voi.

Controllo della sicurezza

Come si può notare dai primi tre servizi, lo standard del servizio MTR riguarda il rilevamento delle minacce e la prevenzione degli attacchi. Il Security Health Check assicura inoltre che i prodotti Sophos Central, come Intercept X Advanced con EDR, possano funzionare sempre al massimo delle prestazioni. A tal fine, il team MTR esamina i requisiti della rete e fornisce raccomandazioni per le modifiche alla configurazione. Potete quindi essere certi che i prodotti Central saranno perfettamente adattati alla vostra attività.

Ambito dei servizi della variante Advanced

Vediamo quali sono i servizi aggiuntivi offerti dalla variante Advanced:

Ricerca di minacce circostanziali 24/7

Oltre alla ricerca circostanziata delle minacce nel pacchetto standard, riceverete anche la ricerca circostanziata delle minacce nella variante avanzata. In questo caso, la competenza è interamente degli analisti del team MTR, che esaminano da vicino i dispositivi o gli account utente particolarmente importanti della vostra azienda. In questo modo, esaminano come avviene la comunicazione sulla rete, se vengono eseguiti processi sospetti o se è possibile rilevare qualsiasi altro comportamento insolito o atipico. I dati raccolti vengono utilizzati per cercare di prevedere la strategia degli aggressori e identificare nuovi indicatori di attacco (IoA). Quando viene rilevato un incidente, vi verrà assegnato un manager di risposta dedicato che sarà al telefono per assistervi nella risoluzione completa del problema!

Dati telemetrici ottimizzati

Il pacchetto standard di MTR include i dati forniti da Intercept X Advanced con EDR. Per una telemetria migliorata, la versione Advanced va oltre il semplice rilevamento degli eventi nell’endpoint e include i dati di altri prodotti Central nell’analisi delle minacce.

Assistenza telefonica diretta

Un altro vantaggio della variante Advanced è l’accesso diretto al team di analisti MTR, che è a vostra disposizione 24 ore su 24, 7 giorni su 7. Quindi, se avete una domanda o volete parlare di una minaccia specifica, ad esempio, potete contattare direttamente il Security Operations Centre (SOC) per telefono.

Miglioramento proattivo dello stato di sicurezza

Il pacchetto Advanced porta il Security Health Check a un livello superiore. Mentre la versione standard fornisce raccomandazioni generali per la configurazione dei prodotti Central, il team MTR prende ora in considerazione anche il contesto aziendale che sta dietro alle impostazioni di configurazione, ad esempio, di una policy. Riceverete indicazioni su come risolvere le vulnerabilità di configurazione e architettura che hanno un impatto negativo sulla vostra sicurezza.

Riconoscimento delle attività

Gli esperti Sophos non solo discuteranno con voi delle operazioni critiche, ma otterranno anche una panoramica delle applicazioni in uso e identificheranno i potenziali punti di attacco che potrebbero sorgere nel sistema. A tal fine, il team MTR prende in considerazione il cosiddetto “inventario delle risorse” che lo aiuta a capire quali applicazioni sono in esecuzione su un endpoint e se sono affette da vulnerabilità aperte. In questo modo si ottengono preziose informazioni dettagliate e specifiche per la vostra azienda.

Quali sono i livelli di assistenza offerti dal team MTR di Sophos?

Indipendentemente dalla scelta della variante Standard o Avanzata, l’utente mantiene il controllo sulla modalità di lavoro autonoma del team MTR. Questo viene regolato fin dall’inizio nel cosiddetto processo di onboarding. Quando acquistate il servizio Sophos MTR, potete scegliere tra tre opzioni che determinano la risposta che vi aspettate dal team MTR:

  1. Notifica: Se il team MTR di Sophos ha rilevato una minaccia o un attacco, a questo livello si limiterà a notificare l’utente, ma non agirà per suo conto. Tuttavia, riceverete un rapporto dettagliato sulla causa e sul rilevamento, con i passi da compiere per rimediare al pericolo in modo autonomo.
  2. Collaborazione: il team MTR di Sophos collabora con i vostri dipendenti o anche con una società di consulenza esterna per rispondere alle minacce appropriate.
  3. Autorizzazione: in questo caso, il team MTR si occupa delle azioni di contenimento e neutralizzazione in modo completamente indipendente e si limita a informarvi sulle misure adottate.

Cosa differenzia Sophos MTR dai concorrenti che offrono un servizio analogo?

Sophos cita due concorrenti, SentinelOne e CrowdStrike, che sono tra i più agguerriti in termini di offerta. Tuttavia, il servizio MTR di Sophos offre un vantaggio decisivo. L’azione indipendente, e per di più proattiva, non è ancora esistita. Con il livello di risposta all ‘autorizzazione sopra elencato, Sophos non richiede più di elaborare da soli lunghi elenchi di messaggi di errore e di minaccia. Ora tutto questo può essere fatto per vostro conto da specialisti qualificati di Sophos.

Anche SentinelOne e CrowdStrike offrono un servizio di questo tipo, ma solo per il livello di servizio più alto, che una piccola impresa non può permettersi. Il livello di autorizzazione più elevato con Sophos MTR, invece, può essere utilizzato da tutte le aziende, indipendentemente dalle dimensioni o dal livello di servizio prenotato.

Quali sistemi Sophos può attualmente servire con questo servizio?

Il servizio è stato lanciato solo il 1° ottobre. Per questo motivo, attualmente il supporto è offerto solo per Windows Endpoint a 32 e 64 bit. Il supporto per altri sistemi, come Windows Server, Linux e Mac OS, è previsto per la fine di novembre 2019. Tuttavia, non è ancora stata indicata una data esatta.

Inoltre, nella prima fase il servizio è disponibile solo in inglese. Tuttavia, è prevista l’inclusione di altre lingue nel repertorio. Tuttavia, non è ancora chiaro quando ciò avverrà e quali lingue saranno utilizzate.

Conclusioni sul servizio di risposta alle minacce gestito da Sophos

Quello che ho letto e sentito finora sul servizio MTR di Sophos mi ha davvero convinto! Questo servizio di Sophos offre anche alle piccole e medie imprese l’opportunità di ottenere una protezione completa e professionale della sicurezza informatica. La ricerca di personale qualificato ed esperto si riduce così notevolmente e potete affidarvi agli esperti di Sophos stessa.

Mi piacciono anche i tre diversi livelli di assistenza che Sophos offre a tutti i clienti durante il processo di onboarding. Così potrete decidere da soli quanto controllo volete abbandonare. Assolutamente impareggiabile è anche l’offerta del “livello di autorizzazione”, disponibile anche nella variante standard! Non è quindi necessario acquistare il più costoso pacchetto Advanced se si desidera che gli specialisti di Sophos si occupino della sicurezza della rete in modo completamente indipendente.

Se siete interessati a Sophos MTR, non esitate a contattarci. Presto pubblicheremo le diverse varianti del servizio MTR sul nostro sito web, il che significa che il prezzo non sarà più un segreto. Saremo inoltre lieti di chiarire eventuali questioni aperte in un incontro personale.

David
David

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.