Naar de inhoud
Avanet
Sophos MTR - 24/7 Threat Hunting door experts

Sophos MTR - 24/7 Threat Hunting door experts

27. NOVEMBER 2019

Op 1 oktober heeft Sophos een veelbelovende dienst geïntroduceerd die ik jullie graag wat nader wil voorstellen. Het gaat over MTR of voluit Managed Threat Response. Dit nieuwe product is het resultaat van de twee overnames Rook Security en DarkBytes. Rook Security is met name vertegenwoordigd in de dienstverlening van dit aanbod, terwijl DarkBytes met Managed Detection and Response (MDR) haar deel van de technologie heeft bijgedragen.

Wat is Sophos Managed Threat Response (MTR)?

Sophos MTR is gebaseerd op Intercept X Advanced met EDR en pakt de grote, dikke olifant in de kamer aan. 😅 Als je mijn artikel over Endpoint Detection and Response al hebt gelezen, weet je waar de meerwaarde van dit product ligt. Maar veel klanten hebben simpelweg geen tijd om zelfstandig op zoek te gaan naar mogelijke bedreigingen. Daarbij komt dat voor deze baan hooggekwalificeerd en gespecialiseerd personeel nodig is met de juiste hoeveelheid expertise. Zulke mensen zijn niet alleen bijzonder moeilijk te vinden, maar hebben ook een zeer hoog salarisniveau. Als deze dienst moet worden uitgebreid naar een 24-uurs service, vreet dit een zeer groot deel van het kapitaal voor jullie IT-beveiliging op. Over het algemeen hebben hier alleen zeer grote bedrijven de mogelijkheid en ook de financiële middelen om speciale prikkels voor medewerkers te creëren.

Precies hier komt de nieuwe MTR-dienst van Sophos om de hoek kijken en biedt jullie een 24/7 dienstverlening in de vorm van een elite beveiligingsteam, dat zich bezighoudt met het opsporen van bedreigingen in jullie bedrijf en in delicate situaties direct kan ingrijpen. Het nieuwe MTR-product is dus geen extra menu-item in jullie Central Admin Dashboard, maar biedt een gerichte reactie door mensen. Sophos benadrukt vooral het zelfstandige ingrijpen bij deze dienst. Het MTR-team van Sophos zal jullie bij een aanval dus niet alleen informeren, maar indien gewenst ook namens jullie de nodige maatregelen nemen. Jullie krijgen dus een “fully-managed service”.

Welke varianten van de MTR-dienst zijn er?

We zullen het nieuwe MTR-aanbod zeker in onze productcatalogus opnemen en al snel via onze website kunnen aanbieden. De dienst is in principe verkrijgbaar in de volgende varianten:

  1. Central Intercept X Advanced met EDR en MTR [Standard / Advanced] - Dit is het pakket voor alle klanten die nog geen EDR-licentie hebben gekocht. Dit betreft dus klanten met bijvoorbeeld “Intercept X Advanced” of alleen de “Endpoint Protection”.
  2. Central MTR [Standard / Advanced] - Deze variant is geschikt voor alle klanten die al “Intercept X Advanced met EDR” in gebruik hebben en MTR als add-on willen kopen.

Standard of Advanced - Waar zitten de verschillen precies?

Zoals jullie bij de hierboven opgesomde twee varianten al kunnen zien, wordt Sophos MTR aangeboden in een Standard- en een Advanced-variant. Laten we eens kijken welke diensten in de twee pakketten zijn opgenomen:

Dienstverleningsomvang van de Standard-variant

24/7 op bewijs gebaseerde bedreigingsdetectie

Zodra je Sophos MTR hebt gelicentieerd en het onboardingproces hebt doorlopen (hierover later meer), wordt je Central Account aangesloten op het geautomatiseerde systeem van het MTR-team. Aangezien dit systeem voortdurend leert, kan het automatisch reageren op bekende bedreigingen. De op bewijs gebaseerde bedreigingsdetectie komt dan in actie wanneer er iets op je systeem is gedetecteerd dat niet volledig kon worden opgelost en menselijke expertise vereist. Je kunt je dit een beetje voorstellen als in het “Bedreigingsanalysecentrum” in je Central Admin Account. Daar zie je enerzijds bedreigingen die door Intercept X Advanced al geautomatiseerd zijn gestopt en anderzijds “verdachte objecten” die dankzij AI (kunstmatige intelligentie) zijn gedetecteerd, maar niet konden worden opgelost. In zo’n situatie staat het MTR-team 24/7 voor je klaar. Een expert bekijkt de kritieke aanwijzing dan nauwkeurig en beslist op basis van zijn ervaring welke ernst deze specifieke detectie heeft en wat er moet gebeuren. De bevindingen en kennis van dit incident worden vervolgens overgedragen aan het geautomatiseerde systeem van het MTR-team. De volgende keer dat dezelfde detectie in een ander scenario optreedt, kan het systeem er automatisch op reageren.

Aanvalsdetectie

Tegelijkertijd met de op bewijs gebaseerde bedreigingsdetectie, legt het MTR-team een speciale focus op aanvallen die via serieuze processen, zoals PowerShell, worden uitgevoerd. Dergelijke aanvallen zijn zeer vaak succesvol, omdat ze voor monitoringtools erg moeilijk te detecteren zijn. Het MTR-team bewaakt deze processen met behulp van zelf ontwikkelde analysemethoden om ervoor te zorgen dat ze niet voor kwaadaardige doeleinden worden misbruikt.

Activiteitenrapporten

Transparantie naar jullie als klanten is voor het MTR-team erg belangrijk. Daarom ontvangen jullie activiteitenrapporten waarin wordt weergegeven wat het MTR-team namens jullie allemaal heeft gedaan. Jullie vernemen de huidige staat van jullie systemen, welke inzichten er tijdens de rapportageperiode zijn verzameld en welke bedreigingen konden worden afgewend. Over de periode dat jullie de MTR-dienst gebruiken, ontstaat dan een histogram van deze rapporten. Met behulp van deze gegevens stelt Sophos zogenaamde “Scorecards” op, waarmee jullie je met eerdere periodes kunnen vergelijken. Daardoor krijgen jullie de beloofde transparantie en zien jullie heel snel of de MTR-dienst jullie iets oplevert.

Security Health Check

Zoals u aan de hand van de bovenste drie diensten kunt zien, draait het bij de MTR-dienst Standard om het opsporen van bedreigingen en het voorkomen van aanvallen. Met de Security Health Check wordt er echter ook voor gezorgd dat uw Sophos Central-producten, zoals Intercept X Advanced met EDR, altijd met maximale prestaties kunnen werken. Daarvoor houdt het MTR-team zich bezig met uw netwerkvereisten en geeft het aanbevelingen voor configuratiewijzigingen. U kunt er dus zeker van zijn dat de Central-producten perfect op uw bedrijf worden afgestemd.

Dienstverleningsomvang van de Advanced-variant

Laten we eens kijken welke aanvullende diensten u in de Advanced-variant worden aangeboden:

24/7 Indruk-onafhankelijke bedreigingsdetectie

Naast de op bewijs gebaseerde bedreigingsdetectie in het Standard-pakket, krijgt u bij de Advanced-variant ook de indruk-onafhankelijke bedreigingsdetectie. Hier ligt de expertise volledig bij de analisten van het MTR-team, die bijzonder belangrijke apparaten of gebruikersaccounts in uw bedrijf nauwkeurig onder de loep nemen. Ze kijken daarbij naar hoe er in het netwerk wordt gecommuniceerd, of er verdachte processen worden uitgevoerd of dat er anderszins ongewoon of atypisch gedrag kan worden vastgesteld. Met de verzamelde gegevens wordt geprobeerd de strategie van aanvallers te voorspellen en nieuwe aanvalsindicatoren (IoA) te identificeren. Als een incident wordt gedetecteerd, krijgt u een toegewijde responsleider toegewezen, die u telefonisch bijstaat bij de complete oplossing van het probleem!

Geoptimaliseerde telemetrische gegevens

Het Standard-pakket van MTR omvat de gegevens die door Intercept X Advanced met EDR ter beschikking worden gesteld. Voor een verbeterde telemetrie gaat de Advanced-versie verder dan de pure detectie van gebeurtenissen op het endpoint en omvat gegevens van andere Central-producten in de bedreigingsanalyse.

Directe telefonische ondersteuning

Een ander voordeel van de Advanced-variant is een directe toegang tot het MTR-analistenteam, dat 24/7 voor u bereikbaar is. Als u dus een vraag heeft of bijvoorbeeld over een specifieke bedreiging wilt spreken, kunt u rechtstreeks telefonisch contact opnemen met het Security Operations Center (SOC).

Proactieve verbetering van de beveiligingsstatus

In het Advanced-pakket wordt de Security Health Check naar een hoger niveau getild. Terwijl in de Standard-variant algemene aanbevelingen voor de configuratie van de Central-producten worden gedaan, houdt het MTR-team nu ook rekening met de zakelijke context achter de configuratie-instellingen van bijvoorbeeld een beleid. U krijgt hulp bij het verhelpen van configuratie- en architectonische zwakke plekken die een negatieve invloed hebben op uw beveiliging.

Asset-detectie

Het Sophos-vakpersoneel bespreekt niet alleen de kritieke bedrijfsprocessen, maar krijgt ook een overzicht van de gebruikte applicaties en detecteert mogelijke aanvalspunten die daardoor in het systeem kunnen ontstaan. Het MTR-team houdt daarbij rekening met een zogenaamde asset-inventaris, die helpt te begrijpen welke applicaties op een endpoint worden uitgevoerd en of deze getroffen zijn door open kwetsbaarheden. Hierdoor ontstaat waardevolle detailinformatie, die specifiek is afgestemd op het betreffende bedrijf.

Welke niveaus van ondersteuning worden door het Sophos MTR-team aangeboden?

Ongeacht of u kiest voor de Standard- of Advanced-variant, u behoudt de controle over hoe autonoom het MTR-team moet werken. Dit wordt direct aan het begin geregeld tijdens het zogenaamde onboardingproces. Wanneer u de Sophos MTR-dienst aanschaft, kunt u kiezen uit drie opties die bepalen welke reactie u van het MTR-team verwacht:

  1. Melding: Als het Sophos MTR-team een bedreigingsgeval of een aanval heeft gedetecteerd, zal het u op dit niveau alleen informeren, maar niet zelfstandig voor u optreden. U ontvangt echter wel een gedetailleerd rapport over de oorzaak en de detectie met uitvoerbare stappen om het gevaar zelfstandig te verhelpen.
  2. Samenwerking: Het Sophos MTR-team werkt samen met uw medewerkers of een extern adviesbureau en reageert op de desbetreffende bedreigingen.
  3. Autorisatie: Hier zorgt het MTR-team volledig zelfstandig voor inperkings- en neutralisatieacties en informeert u alleen over de genomen maatregelen.

Wat onderscheidt Sophos MTR van de concurrentie die ook een vergelijkbare dienst aanbiedt?

Sophos noemt met SentinelOne en CrowdStrike twee concurrenten die qua aanbod tot de zwaarste concurrentie behoren. De MTR-dienst van Sophos biedt echter een doorslaggevend voordeel. Zelfstandig handelen en dat ook nog proactief, was er tot nu toe namelijk nog niet. Door de hierboven vermelde reactiefase Autorisatie, hoeft u bij Sophos niet langer zelfstandig ellenlange lijsten met fout- en bedreigingsmeldingen af te werken. Dit alles kan nu namens u worden overgenomen door getrainde specialisten van Sophos.

Hoewel SentinelOne en CrowdStrike ook een dergelijke dienst aanbieden, is dit alleen voor het hoogste serviceniveau, dat een klein bedrijf zich niet kan veroorloven. Het hoogste autorisatieniveau bij Sophos MTR kan daarentegen door alle bedrijven worden gebruikt, ongeacht de grootte of het geboekte serviceniveau.

Welke systemen kan Sophos op dit moment met deze dienst bedienen?

De dienst is pas op 1 oktober in gebruik genomen. Om deze reden wordt momenteel alleen ondersteuning geboden voor Windows Endpoint 32- en 64-bit. De ondersteuning voor andere systemen, zoals Windows Server, Linux en Mac OS, zal naar verwachting eind november 2019 volgen. Een exacte datum is echter nog niet genoemd.

Verder is de dienst in de eerste fase alleen in het Engels beschikbaar. Het is echter de bedoeling om andere talen in het repertoire op te nemen. Wanneer dit gebeurt en welke talen het dan zullen zijn, staat echter nog niet vast.

Conclusie over de Sophos Managed Threat Response Service

Wat ik tot nu toe over de MTR-dienst van Sophos heb gelezen en gehoord, heeft me echt overtuigd! Door deze dienstverlening van Sophos krijgen ook kleine en middelgrote bedrijven de mogelijkheid om zich een uitgebreide en professionele beveiliging in de IT-beveiliging te veroorloven. Het zoeken naar gekwalificeerd en ervaren personeel wordt daardoor sterk verminderd en jullie kunnen een beroep doen op de experts van Sophos zelf.

Ook zeer geslaagd vind ik de drie verschillende ondersteuningsniveaus die Sophos alle klanten bij het onboardingproces ter keuze stelt. Jullie kunnen dus volledig zelf beslissen hoeveel controle jullie willen afgeven. Absoluut ongeëvenaard is ook het aanbod van het “Autorisatie-niveau”, dat ook in de Standard-variant ter keuze staat! Jullie hoeven dus niet het duurdere Advanced-pakket aan te schaffen, als de Sophos-specialisten volledig zelfstandig voor de beveiliging van jullie netwerk moeten zorgen.

Mochten jullie nu interesse hebben gekregen in Sophos MTR, aarzel dan niet om contact met ons op te nemen. We zullen de verschillende varianten van de MTR-dienst binnenkort ook op onze website publiceren, waardoor de prijs dan ook geen geheim meer zal zijn. Open vragen beantwoorden we ook graag in een persoonlijk gesprek.

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.