Vai al contenuto
Avanet
Sophos MTR - Caccia alle minacce 24/7 da esperti

Sophos MTR - Caccia alle minacce 24/7 da esperti

27. NOVEMBRE 2019

Il 1° ottobre, Sophos ha introdotto un servizio promettente che vorrei presentarvi più nel dettaglio. Si tratta di MTR o, per esteso, Managed Threat Response. Questo nuovo prodotto è il risultato delle due acquisizioni Rook Security e DarkBytes. Rook Security è particolarmente rappresentata nell’ambito dei servizi di questa offerta, mentre DarkBytes ha contribuito con la sua parte di tecnologia con Managed Detection and Response (MDR).

Cos’è Sophos Managed Threat Response (MTR)?

Sophos MTR si basa su Intercept X Advanced con EDR e affronta il grande, grosso elefante nella stanza. 😅 Se avete già letto il mio articolo su Endpoint Detection and Response, sapete dove risiede il valore aggiunto di questo prodotto. Ma molti clienti semplicemente non hanno il tempo di cercare autonomamente potenziali minacce. Inoltre, per questo lavoro è richiesto personale altamente qualificato e specializzato con il giusto livello di competenza. Tali persone non sono solo particolarmente difficili da trovare, ma hanno anche un livello salariale molto elevato. Se questo servizio dovesse essere esteso a un servizio 24 ore su 24, ciò consumerebbe una parte molto consistente del capitale per la vostra sicurezza IT. Di norma, solo le grandi aziende hanno la possibilità e i mezzi finanziari per creare incentivi speciali per i dipendenti in questo settore.

Proprio qui entra in gioco il nuovo servizio MTR di Sophos, offrendovi un servizio 24/7 sotto forma di un team di sicurezza d’élite, che si occupa del rilevamento delle minacce nella vostra azienda e può intervenire immediatamente in situazioni delicate. Il nuovo prodotto MTR non è quindi un’ulteriore voce di menu nel vostro dashboard di amministrazione centrale, ma offre una reazione mirata da parte di persone. Sophos sottolinea in particolare l’intervento autonomo in questo servizio. Il team MTR di Sophos non solo vi informerà di un attacco, ma, se lo desiderate, prenderà anche le misure necessarie a vostro nome. Ricevete quindi un “servizio completamente gestito”.

Quali varianti del servizio MTR sono disponibili?

Includeremo sicuramente la nuova offerta MTR nel nostro catalogo prodotti e presto potremo offrirla tramite il nostro sito web. Fondamentalmente, il servizio è disponibile nelle seguenti varianti:

  1. Central Intercept X Advanced con EDR e MTR [Standard / Advanced] - Questo è il pacchetto per tutti i clienti che non hanno ancora acquistato una licenza EDR. Riguarda quindi i clienti con, ad esempio, “Intercept X Advanced” o solo “Endpoint Protection”.
  2. Central MTR [Standard / Advanced] - Questa variante è adatta a tutti i clienti che utilizzano già “Intercept X Advanced con EDR” e desiderano acquistare MTR come add-on.

Standard o Advanced - Quali sono esattamente le differenze?

Come potete già vedere dalle due varianti elencate sopra, Sophos MTR è offerto in una variante Standard e una Advanced. Diamo un’occhiata a quali servizi sono inclusi in entrambi i pacchetti:

Scopo dei servizi della variante Standard

Caccia alle minacce basata su indizi 24/7

Una volta che avete licenziato Sophos MTR e completato il processo di onboarding (più avanti), il vostro account Central sarà collegato al sistema automatizzato del team MTR. Dato che questo sistema impara costantemente, può reagire automaticamente alle minacce conosciute. La caccia alle minacce basata su indizi entra in gioco quando sul vostro sistema è stato rilevato qualcosa che non è stato completamente risolto e richiede competenze umane. Potete immaginarlo un po’ come nel “Centro di analisi delle minacce” nel vostro account Central Admin. Lì vedrete, da un lato, le minacce che sono già state fermate automaticamente da Intercept X Advanced e, dall’altro, “oggetti sospetti” che sono stati rilevati grazie all’AI (intelligenza artificiale) ma non sono stati risolti. In una situazione del genere, il team MTR è a vostra disposizione 24 ore su 24, 7 giorni su 7. Un esperto esaminerà quindi attentamente l’allarme critico e, in base alla sua esperienza, deciderà la gravità di questa specifica rilevazione e cosa deve essere fatto. I risultati e le conoscenze di questo incidente vengono quindi trasferiti al sistema automatizzato del team MTR. La prossima volta che la stessa rilevazione si verifica in uno scenario diverso, il sistema può reagire automaticamente.

Rilevamento degli attacchi

Contemporaneamente alla caccia alle minacce basata su indizi, il team MTR presta particolare attenzione agli attacchi eseguiti tramite processi legittimi, come ad esempio PowerShell. Tali attacchi hanno molto spesso successo, poiché sono molto difficili da rilevare per gli strumenti di monitoraggio. Il team MTR monitora questi processi utilizzando metodi di analisi sviluppati internamente per assicurarsi che non vengano utilizzati per scopi malevoli.

Rapporti di attività

Per il team MTR la trasparenza nei vostri confronti come clienti è molto importante. Per questo motivo, riceverete rapporti di attività in cui vi verrà mostrato tutto ciò che il team MTR ha fatto a vostro nome. Sarete informati sullo stato attuale dei vostri sistemi, sulle conoscenze acquisite durante il periodo di riferimento e sulle minacce che sono state scongiurate. Nel corso del periodo di utilizzo del servizio MTR, si creerà un istogramma di questi rapporti. Con l’aiuto di questi dati, Sophos vi fornirà le cosiddette “scorecard”, con cui potrete confrontarvi con periodi precedenti. In questo modo, otterrete la trasparenza promessa e riconoscerete molto rapidamente se il servizio MTR vi è utile.

Controllo dello stato di sicurezza (Security Health Check)

Come potete vedere dalle tre prestazioni elencate sopra, il servizio MTR Standard si occupa della rilevazione delle minacce e della prevenzione degli attacchi. Con il Security Health Check si garantisce inoltre che i vostri prodotti Sophos Central, come Intercept X Advanced con EDR, possano sempre operare con le massime prestazioni. A tal fine, il team MTR si occupa delle vostre esigenze di rete e formula raccomandazioni per modifiche alla configurazione. Potete quindi essere certi che i prodotti Central saranno perfettamente adattati alla vostra azienda.

Scopo dei servizi della variante Advanced

Vediamo quali servizi aggiuntivi vi vengono offerti nella variante Advanced:

Caccia alle minacce senza indizi 24/7

Oltre alla caccia alle minacce basata su indizi presente nel pacchetto Standard, la variante Advanced offre anche la caccia alle minacce senza indizi. Qui l’expertise è completamente nelle mani degli analisti del team MTR, che esaminano minuziosamente dispositivi o account utente particolarmente importanti nella vostra azienda. Analizzano come avviene la comunicazione nella rete, se vengono eseguiti processi sospetti o se si può rilevare qualsiasi altro comportamento insolito o atipico. Con i dati raccolti, si cerca di prevedere la strategia degli attaccanti e di identificare nuovi indicatori di attacco (IoA). Se viene rilevato un incidente, vi verrà assegnato un responsabile della risposta dedicato che vi assisterà telefonicamente per la completa risoluzione del problema!

Dati di telemetria ottimizzati

Il pacchetto Standard di MTR include i dati forniti da Intercept X Advanced con EDR. Per una telemetria migliorata, la versione Advanced va oltre la mera rilevazione degli eventi sull’endpoint e include i dati di altri prodotti Central nell’analisi delle minacce.

Supporto telefonico diretto

Un altro vantaggio della variante Advanced è l’accesso diretto al team di analisti MTR, disponibile 24 ore su 24, 7 giorni su 7. Quindi, se avete una domanda o, ad esempio, desiderate discutere un caso di minaccia specifico, potete contattare direttamente il Security Operations Center (SOC) telefonicamente.

Miglioramento proattivo dello stato di sicurezza

Nel pacchetto Advanced, il Security Health Check viene portato al livello successivo. Mentre nella variante Standard vengono formulate raccomandazioni generali per la configurazione dei prodotti Central, il team MTR ora considera anche il contesto aziendale dietro le impostazioni di configurazione di, ad esempio, una Policy. Riceverete assistenza per la risoluzione di vulnerabilità di configurazione e architetturali che influiscono negativamente sulla vostra sicurezza.

Rilevamento degli asset

Il personale specializzato di Sophos non solo analizza i processi operativi critici, ma si fa anche un’idea delle applicazioni utilizzate e identifica i possibili punti di attacco che possono derivare nel sistema. A tal fine, il team MTR tiene conto di un cosiddetto inventario degli asset, che aiuta a capire quali applicazioni sono in esecuzione su un endpoint e se queste sono interessate da vulnerabilità aperte. In questo modo si ottengono informazioni dettagliate preziose, specificamente orientate all’azienda in questione.

Quali livelli di supporto sono offerti dal team Sophos MTR?

Indipendentemente dalla scelta della variante Standard o Advanced, mantenete il controllo su quanto autonomamente il team MTR debba operare. Questo viene regolato fin dall’inizio durante il cosiddetto processo di onboarding. Quando acquistate il servizio Sophos MTR, potete scegliere tra tre opzioni che determinano la risposta che vi aspettate dal team MTR:

  1. Notifica: Se il team Sophos MTR ha rilevato un incidente di minaccia o un attacco, a questo livello vi informerà solo, ma non agirà autonomamente per voi. Riceverete comunque un rapporto dettagliato sulla causa e il rilevamento con passaggi attuabili per risolvere autonomamente il pericolo.
  2. Collaborazione: Il team Sophos MTR lavora in collaborazione con i vostri dipendenti o con una società di consulenza esterna e reagisce alle minacce corrispondenti.
  3. Autorizzazione: Qui il team MTR si occupa in modo completamente autonomo delle azioni di contenimento e neutralizzazione e vi informa solo sulle misure adottate.

Cosa distingue Sophos MTR dalla concorrenza che offre un servizio comparabile?

Sophos cita due concorrenti, SentinelOne e CrowdStrike, che in termini di offerta rientrano tra la concorrenza più agguerrita. Il servizio MTR di Sophos offre però un vantaggio decisivo. Un’azione autonoma e proattiva, finora non esisteva. Grazie al livello di reazione Autorizzazione sopra elencato, con Sophos non dovrete più elaborare autonomamente lunghe liste di messaggi di errore e minacce. Tutto ciò può ora essere gestito a vostro nome da specialisti qualificati di Sophos.

Anche se SentinelOne e CrowdStrike offrono un servizio simile, è solo per il livello di servizio più alto, che una piccola azienda non può permettersi. Il livello di autorizzazione più alto di Sophos MTR, invece, può essere utilizzato da tutte le aziende, indipendentemente dalle dimensioni o dal livello di servizio prenotato.

Quali sistemi Sophos può attualmente servire con questo servizio?

Il servizio è stato attivato solo il 1° ottobre. Per questo motivo, attualmente è offerto solo il supporto per endpoint Windows a 32 e 64 bit. Il supporto per altri sistemi, come Windows Server, Linux e Mac OS, dovrebbe seguire entro la fine di novembre 2019. Tuttavia, una data precisa non è ancora stata specificata.

Inoltre, il servizio nella prima fase è disponibile solo in inglese. È tuttavia previsto di includere altre lingue nel repertorio. Quando ciò accadrà e quali lingue saranno non è ancora stato stabilito.

Conclusioni sul servizio Sophos Managed Threat Response

Quello che ho letto e sentito finora sul servizio MTR di Sophos mi ha davvero convinto molto! Grazie a questo servizio di Sophos, anche le piccole e medie imprese hanno la possibilità di permettersi una protezione completa e professionale in materia di sicurezza IT. La ricerca di personale qualificato ed esperto viene quindi notevolmente ridotta e potete affidarvi agli esperti di Sophos stessi.

Trovo anche molto riusciti i tre diversi livelli di supporto che Sophos offre a tutti i clienti durante il processo di onboarding. Potete quindi decidere in totale autonomia quanto controllo volete cedere. Assolutamente impareggiabile è anche l’offerta del “livello di autorizzazione”, disponibile anche nella variante Standard! Quindi non avete bisogno di acquistare il pacchetto Advanced più costoso se gli specialisti Sophos devono occuparsi completamente autonomamente della sicurezza della vostra rete.

Se ora avete acquisito interesse per Sophos MTR, non esitate a contattarci. Pubblicheremo presto le diverse varianti del servizio MTR anche sul nostro sito web, in modo che il prezzo non sarà più un segreto. Saremo inoltre lieti di chiarire eventuali domande aperte in un colloquio personale.

David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.