Przejdz do tresci
Avanet
Managed Threat Detection – monitorowanie i wykrywanie 24/7

Managed Threat Detection – monitorowanie i wykrywanie 24/7

W tym wpisie przedstawiam Managed Threat Detection (MTD) dla endpointów i serwerów, dostępny od końca lipca 2021 roku. Sophos kieruje MTD przede wszystkim do klientów, którzy (jeszcze) nie są gotowi zastąpić swojej dotychczasowej ochrony endpointów i serwerów od innego dostawcy agentem Sophos. Dla wszystkich pozostałych klientów, którzy mają już zainstalowanego agenta Sophos na komputerach i serwerach i korzystają co najmniej z Intercept X Essentials, Managed Threat Detection nie jest istotne.

Historia sukcesu Managed Threat Response (MTR)

Niedawno Sophos poinformował, że Managed Threat Response (MTR) chroni już ponad milion urządzeń. Produkty Managed Threat Response Standard i Advanced to dwa najdroższe warianty ochrony komputerów i serwerów, ale jednocześnie zapewniają najwyższy poziom bezpieczeństwa i wykrywania. Do dyspozycji jest zespół ekspertów – analityków, programistów i łowców zagrożeń – którzy pracują przez całą dobę, 7 dni w tygodniu (24/7), aby chronić Państwa i Państwa pracowników przed cyberatakami.

Równoległa praca z rozwiązaniami innych dostawców wcześniej nie była możliwa

„Sophos Managed Threat Response” wymaga klienta MTR, którego nie można używać równolegle z rozwiązaniami innych dostawców, takich jak Microsoft, Symantec, Kaspersky, McAfee czy inni. Nowa usługa „Managed Threat Detection” została natomiast opracowana specjalnie z myślą o równoległym wykorzystaniu z produktami zewnętrznymi i ma dotrzeć do kolejnej grupy klientów, aby marka Sophos mogła postawić stopę w drzwiach.

Jeśli ktoś sądzi, że dzięki Managed Threat Detection może zachować ochronę innego dostawcy i bez klienta MTR otrzyma te same korzyści co klienci Managed Threat Response, jest niestety w błędzie.

Ograniczenia

Rezygnacja z wydajnego klienta MTR Sophos siłą rzeczy wiąże się z pewnymi ograniczeniami. Poniższa tabela porównawcza pokazuje, z jakich funkcji trzeba zrezygnować:

Tabela porównawcza Sophos Central MTR i MTD

Powiadomienie jako jedyny możliwy krok reakcji

W ramach Managed Threat Response Standard i Advanced można wybrać jeden z trzech poziomów reakcji:

  1. Powiadomienie: jeśli zespół Sophos MTR wykryje incydent bezpieczeństwa lub atak, poinformuje o tym klienta, ale nie podejmie działań samodzielnie. Otrzymują Państwo raport dotyczący przyczyny i sposobu wykrycia wraz z konkretnymi krokami, które można podjąć we własnym zakresie, aby usunąć zagrożenie.
  2. Współpraca: zespół Sophos MTR współpracuje z wewnętrznym zespołem IT lub, na życzenie, także z zewnętrzną firmą IT i wspólnie reaguje na wykryte zagrożenia.
  3. Autoryzacja: zespół MTR samodzielnie zajmuje się działaniami ograniczającymi i neutralizującymi zagrożenie, a klient jest jedynie informowany o podjętych krokach.

W przypadku Managed Threat Detection dostępna jest natomiast wyłącznie opcja reakcji „Powiadomienie”. Oznacza to, że otrzymuje się ostrzeżenie w Central Dashboard lub e-mailem, gdy zespół MTR wykryje zagrożenie, ale trzeba je samodzielnie zneutralizować i usunąć. Jeśli jest to aktywne zagrożenie, w którym liczy się każda sekunda, zespół MTR przynajmniej krótko kontaktuje się telefonicznie, choć naprawdę tylko przy aktywnych zagrożeniach.

Sophos Rapid Response jako ostateczne rozwiązanie

W przypadku aktywnego zagrożenia, korzystając z Managed Threat Detection, jest się w praktyce zdanym na siebie, aby zatrzymać atak. Zespół MTR nie może tutaj pomóc, ponieważ na komputerach i serwerach nie jest zainstalowany własny klient Sophos MTR. Właśnie w tym miejscu używane oprogramowanie ochronne innego dostawcy powinno pokazać, co potrafi. Jeśli tego nie zrobi, pozostaje możliwość skorzystania z Sophos Rapid Response Service. Otrzymujecie wtedy błyskawiczną pomoc zespołu ekspertów Sophos, który dezaktywuje istniejące oprogramowanie ochronne na wszystkich komputerach i serwerach, a następnie instaluje klienta MTR.

Uwaga! Sophos Rapid Response nie jest częścią Managed Threat Detection i musi zostać zakupiony osobno za stałą cenę.

Słowo na zakończenie

Dzięki Managed Threat Detection Sophos stworzył usługę, która udostępnia wiedzę ekspertów zespołu MTR również klientom, którzy nie opierają bezpieczeństwa swojej sieci wyłącznie na rozwiązaniach Sophos. Z perspektywy strategicznej ma to pełen sens. Nawet jeśli administrator IT już dziś decyduje, że w przyszłości chce zabezpieczyć sieć firmową rozwiązaniami Sophos, nie zawsze da się to zrealizować w krótkim czasie. Na przeszkodzie mogą stać aktywne umowy lub licencje, które już pochłonęły budżet na kolejne trzy lata.

Managed Threat Detection to swego rodzaju „usługa dodatkowa” stworzona właśnie na takie scenariusze, którą można wdrożyć stosunkowo szybko, aby wzmocnić koncepcję bezpieczeństwa. Zasoby zespołu MTR do wykrywania zagrożeń stają się dzięki temu dostępne dla znacznie szerszej grupy docelowej, co przynosi firmie Sophos wymierne korzyści. Im więcej danych jest dostępnych do analizy, tym lepiej można dopracować algorytmy – i nie ma znaczenia, czy dane te pochodzą od klientów z agentem MTR, czy MTD.

Co do zasady, wszystkim klientom, którzy chcą chronić swoje endpointy i serwery za pomocą rozwiązań Sophos, zawsze rekomendowalibyśmy wariant MTR. Równocześnie mamy świadomość, że to rozwiązanie nie jest odpowiednie dla każdego budżetu. Wciąż jednak lepiej jest zacząć od najdroższego produktu oferującego najwyższy poziom bezpieczeństwa i dopiero później szukać kompromisów, ponieważ z rozwiązaniami bezpieczeństwa jest jak z ubezpieczeniami – dopiero po szkodzie żałuje się, że się oszczędzało. 😜

Dla wszystkich pozostałych, którzy z różnych powodów nie chcą lub nie mogą jeszcze radykalnie przebudować całej infrastruktury, Sophos Central Managed Threat Detection dla endpointów i serwerów jest z pewnością silnym uzupełnieniem. Zdecydowanie warto powierzyć monitorowanie aktywności sieci ekspertom.

David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.