Managed Threat Detection – monitorowanie i wykrywanie 24/7
W tym wpisie na blogu przedstawiam Managed Threat Detection (MTD) dla endpointów i serwerów, dostępny od końca lipca 2021 roku. Z rozwiązaniem MTD firma Sophos kieruje swoją ofertę przede wszystkim do klientów, którzy (jeszcze) nie są gotowi zastąpić swojej dotychczasowej ochrony endpointów i serwerów od innego dostawcy agentem Sophos. Dla wszystkich pozostałych klientów, którzy mają już zainstalowanego agenta Sophos na swoich komputerach i serwerach i korzystają co najmniej z Intercept X Essentials, Managed Threat Detection ma mniejsze znaczenie.
Historia sukcesu Managed Threat Response (MTR)
Niedawno Sophos poinformował, że Managed Threat Response (MTR) chroni już ponad milion urządzeń. Produkty Managed Threat Response Standard i Advanced to dwa najdroższe warianty ochrony komputerów i serwerów, ale jednocześnie zapewniają najwyższy poziom bezpieczeństwa i wykrywania. Do dyspozycji jest zespół ekspertów – analityków, programistów i łowców zagrożeń – którzy pracują przez całą dobę, 7 dni w tygodniu (24/7), aby chronić Państwa i Państwa pracowników przed cyberatakami.
Równoległa praca z rozwiązaniami innych dostawców wcześniej nie była możliwa
„Sophos Managed Threat Response” wymaga klienta MTR, który nie pozwala na równoległe działanie z rozwiązaniami innych dostawców, takimi jak Microsoft, Symantec, Kaspersky, McAfee czy inni. Nowa usługa „Managed Threat Detection” została natomiast opracowana specjalnie z myślą o równoległym wykorzystaniu z produktami zewnętrznymi i ma na celu dotarcie do nowej grupy klientów, otwierając tym samym drzwi dla marki Sophos.
Jeśli ktoś sądzi, że dzięki Managed Threat Detection zachowa rozwiązanie ochronne innego dostawcy i bez klienta MTR otrzyma te same korzyści, co klienci Managed Threat Response, jest niestety w błędzie.
Ograniczenia
Rezygnacja z wydajnego klienta MTR Sophos wiąże się z pewnymi ograniczeniami. To, z jakich funkcji trzeba zrezygnować, pokazuje poniższa tabela porównawcza:
Powiadomienie jako jedyny możliwy krok reakcji
W ramach Managed Threat Response Standard i Advanced można wybrać jeden z trzech poziomów reakcji:
- Powiadomienie: jeśli zespół Sophos MTR wykryje incydent bezpieczeństwa lub atak, poinformuje o tym klienta, ale nie podejmie działań samodzielnie. Otrzymują Państwo raport dotyczący przyczyny i sposobu wykrycia wraz z konkretnymi krokami, które można podjąć we własnym zakresie, aby usunąć zagrożenie.
- Współpraca: zespół Sophos MTR współpracuje z wewnętrznym zespołem IT lub, na życzenie, także z zewnętrzną firmą IT i wspólnie reaguje na wykryte zagrożenia.
- Autoryzacja: zespół MTR samodzielnie zajmuje się działaniami ograniczającymi i neutralizującymi zagrożenie, a klient jest jedynie informowany o podjętych krokach.
W przypadku Managed Threat Detection dostępna jest natomiast wyłącznie opcja reakcji „Powiadomienie”. Oznacza to, że wprawdzie otrzymują Państwo ostrzeżenie w dashboardzie Central lub e-mailem, gdy zespół MTR wykryje zagrożenie, ale jego neutralizacja i usunięcie pozostają po Państwa stronie. Jeśli chodzi o aktywne zagrożenie, w którym liczy się każda sekunda, zespół MTR przynajmniej krótko kontaktuje się telefonicznie, ale naprawdę tylko w przypadku aktywnych zagrożeń.
Sophos Rapid Response jako ostateczne rozwiązanie
W przypadku aktywnego zagrożenia, korzystając z Managed Threat Detection, jest się w praktyce pozostawionym samemu sobie w kwestii zatrzymania ataku. Zespół MTR nie może tutaj pomóc, ponieważ na komputerach i serwerach nie jest zainstalowany klient MTR Sophos. To właśnie w takiej sytuacji używana ochrona innego dostawcy powinna wykazać się skutecznością. Jeśli tak się nie dzieje, pozostaje możliwość skorzystania z usługi Sophos Rapid Response. Otrzymuje się wówczas błyskawiczne wsparcie od zespołu ekspertów Sophos, który wyłącza istniejące oprogramowanie ochronne na wszystkich komputerach i serwerach, a następnie instaluje klienta MTR.
Uwaga! Sophos Rapid Response nie jest częścią Managed Threat Detection i musi zostać zakupiony osobno za stałą cenę.
Słowo na zakończenie
Dzięki Managed Threat Detection Sophos stworzył usługę, która udostępnia wiedzę ekspertów zespołu MTR również klientom, którzy nie opierają bezpieczeństwa swojej sieci wyłącznie na rozwiązaniach Sophos. Z perspektywy strategicznej ma to pełen sens. Nawet jeśli administrator IT już dziś decyduje, że w przyszłości chce zabezpieczyć sieć firmową rozwiązaniami Sophos, nie zawsze da się to zrealizować w krótkim czasie. Na przeszkodzie mogą stać aktywne umowy lub licencje, które już pochłonęły budżet na kolejne trzy lata.
Managed Threat Detection to swego rodzaju „usługa dodatkowa” stworzona właśnie na takie scenariusze, którą można wdrożyć stosunkowo szybko, aby wzmocnić koncepcję bezpieczeństwa. Zasoby zespołu MTR do wykrywania zagrożeń stają się dzięki temu dostępne dla znacznie szerszej grupy docelowej, co przynosi firmie Sophos wymierne korzyści. Im więcej danych jest dostępnych do analizy, tym lepiej można dopracować algorytmy – i nie ma znaczenia, czy dane te pochodzą od klientów z agentem MTR, czy MTD.
Co do zasady, wszystkim klientom, którzy chcą chronić swoje endpointy i serwery za pomocą rozwiązań Sophos, zawsze rekomendowalibyśmy wariant MTR. Równocześnie mamy świadomość, że to rozwiązanie nie jest odpowiednie dla każdego budżetu. Wciąż jednak lepiej jest zacząć od najdroższego produktu oferującego najwyższy poziom bezpieczeństwa i dopiero później szukać kompromisów, ponieważ z rozwiązaniami bezpieczeństwa jest jak z ubezpieczeniami – dopiero po szkodzie żałuje się, że się oszczędzało. 😜
Dla wszystkich pozostałych, którzy z różnych powodów nie chcą lub nie mogą jeszcze radykalnie przebudować całej infrastruktury, Sophos Central Managed Threat Detection dla endpointów i serwerów jest z pewnością silnym uzupełnieniem. Zdecydowanie warto powierzyć monitorowanie aktywności sieci ekspertom.
