Managed Threat Detection – 24/7‑bewaking en detectie
In deze blogpost stel ik je graag Managed Threat Detection (MTD) voor endpoints en servers voor, die sinds eind juli 2021 beschikbaar is. Met MTD richt Sophos zich vooral op klanten die (nog) niet klaar zijn om hun bestaande endpoint‑ en serveroplossing van een derde partij te vervangen door de Sophos‑agent. Voor alle andere klanten die de Sophos‑agent al op hun computers en servers hebben geïnstalleerd en minstens Intercept X Essentials gebruiken, is Managed Threat Detection niet relevant.
Het succesverhaal van Managed Threat Response (MTR)
Sophos meldde onlangs dat Managed Threat Response (MTR) inmiddels meer dan een miljoen apparaten beschermt. De producten Managed Threat Response Standard en Advanced zijn de twee duurste varianten om computers en servers te beschermen, maar bieden ook het hoogste niveau van beveiliging en detectie. Je krijgt toegang tot een expertteam van analisten, ontwikkelaars en threat hunters dat 24/7 werkt om jou en je medewerkers tegen cyberaanvallen te beschermen.
Parallel gebruik met oplossingen van derden was tot nu toe niet mogelijk
Voor «Sophos Managed Threat Response» is de MTR‑client vereist, die niet parallel kan worden gebruikt met oplossingen van derden zoals Microsoft, Symantec, Kaspersky, McAfee of andere leveranciers. De nieuwe dienst «Managed Threat Detection» daarentegen is speciaal ontwikkeld voor parallel gebruik naast oplossingen van derden en is bedoeld om een extra doelgroep aan te spreken, zodat Sophos als het ware «een voet tussen de deur» krijgt.
Wie nu denkt met Managed Threat Detection de bescherming van een derde partij te kunnen behouden en zonder de MTR‑client dezelfde voordelen te krijgen als klanten met Managed Threat Response, komt helaas bedrogen uit.
Beperkingen
Het afzien van de krachtige MTR‑client van Sophos brengt logischerwijs een aantal beperkingen met zich mee. De volgende vergelijkingstabel laat zien welke functies ontbreken:
Alleen melding als mogelijke reactie
Bij Managed Threat Response Standard en Advanced kun je kiezen uit drie reactieniveaus:
- Melding: wanneer het Sophos MTR-team een dreiging of aanval ontdekt, brengt het je daarvan op de hoogte, maar onderneemt het niet zelfstandig actie. Je ontvangt een rapport over de oorzaak en de detectie, inclusief concrete stappen om het gevaar zelf te verhelpen.
- Samenwerking: het Sophos MTR-team werkt samen met het eigen IT-team of, indien gewenst, met een externe IT-partner en reageert samen op de betreffende bedreigingen.
- Autorisatie: het MTR-team zorgt volledig zelfstandig voor indammings- en neutralisatiemaatregelen en informeert alleen nog over de genomen stappen.
Bij Managed Threat Detection is daarentegen alleen de reactie-optie “Melding” beschikbaar. Je krijgt dus wel een waarschuwing via het Central-dashboard of per e-mail zodra het MTR-team een bedreiging heeft gedetecteerd, maar je moet die vervolgens zelf neutraliseren en verwijderen. Gaat het om een actieve bedreiging waarbij elke seconde telt, dan neemt het MTR-team in elk geval kort telefonisch contact op, al gebeurt dat echt alleen bij actieve dreigingen.
Sophos Rapid Response als laatste redmiddel
In het geval van een actieve dreiging sta je met Managed Threat Detection er in de praktijk alleen voor als het op het stoppen van een aanval aankomt. Het MTR‑team kan hier helaas niet helpen, omdat de eigen MTR‑client van Sophos niet op de computers en servers is geïnstalleerd. Juist hier zou de gebruikte beveiligingsoplossing van een derde partij moeten uitblinken. Als dat niet gebeurt, is er nog de mogelijkheid om gebruik te maken van de Sophos Rapid Response‑dienst. Daarbij krijg je razendsnel hulp van een Sophos‑expertteam dat op alle computers en servers de bestaande beveiligingssoftware deactiveert en de MTR‑client installeert.
Belangrijk! Sophos Rapid Response maakt geen deel uit van Managed Threat Detection en moet apart tegen een vaste prijs worden aangekocht.
Slotbeschouwing
Met Managed Threat Detection heeft Sophos een dienst gecreëerd die de expertise van het MTR‑team ook beschikbaar maakt voor klanten die hun netwerkbeveiliging niet op Sophos‑oplossingen hebben gebouwd. Vanuit strategisch oogpunt is dat absoluut logisch. Zelfs als een it‑beheerder vandaag beslist om het bedrijfsnetwerk in de toekomst met Sophos‑oplossingen te beschermen, kan dat niet altijd op korte termijn worden gerealiseerd. Er kunnen lopende contracten zijn die in de weg staan of actieve licenties die het budget voor de komende drie jaar al hebben opgesoupeerd.
Met Managed Threat Detection heeft Sophos juist voor dergelijke scenario’s een soort «add‑on‑dienst» gecreëerd die op korte termijn kan worden ingezet om het beveiligingsconcept te versterken. De middelen van het MTR‑team voor het detecteren van bedreigingen worden daarmee beschikbaar voor een veel grotere doelgroep, wat alleen maar in het voordeel van Sophos is. Hoe meer gegevens er voor analyse beschikbaar zijn, hoe beter de algoritmen kunnen worden afgestemd – en het maakt daarbij niet uit of die gegevens afkomstig zijn van klanten met een MTR‑ of MTD‑agent.
In principe zouden wij alle klanten die hun endpoints en servers met Sophos willen beschermen altijd de MTR‑variant aanraden. Tegelijk is het duidelijk dat die oplossing niet op elk budget is afgestemd. Toch is het beter om uit te gaan van het duurste product met het hoogste beveiligingsniveau en van daaruit naar beneden te werken, want beveiligingsoplossingen lijken op verzekeringen – pas als de schade is aangericht, betreurt men dat er bezuinigd werd. 😜
Voor alle anderen die om wat voor reden dan ook nog niet in staat zijn of nog niet willen om de volledige infrastructuur in één keer om te gooien, is Sophos Central Managed Threat Detection voor endpoints en servers zonder twijfel een sterke aanvulling. Het is absoluut aan te raden om de netwerkactiviteiten door een expertteam te laten monitoren.
