Przejdz do tresci
Avanet
Sophos MTR – 24/7 wyszukiwanie zagrożeń przez ekspertów

Sophos MTR – 24/7 wyszukiwanie zagrożeń przez ekspertów

27. LISTOPADA 2019

1 października Sophos zaprezentował obiecującą usługę, którą chciałbym przedstawić Wam dokładniej. Mówimy tu o MTR, czyli w pełnym brzmieniu o Managed Threat Response. Ten nowy produkt jest efektem dwóch przejęć: Rook Security i DarkBytes. Rook Security odpowiada głównie za część usługową tej oferty, natomiast DarkBytes dołożył swoją technologiczną cegiełkę w postaci Managed Detection and Response (MDR).

Czym jest Sophos Managed Threat Response (MTR)?

Sophos MTR opiera się na Intercept X Advanced z EDR i uderza prosto w wielkiego słonia w pokoju. 😅 Jeśli przeczytałeś już mój artykuł o Endpoint Detection and Response, wiesz, gdzie leży wartość dodana tego produktu. Wielu klientów po prostu nie ma czasu, żeby samodzielnie wyszukiwać potencjalne zagrożenia. Do tego zadania potrzebni są bardzo wykwalifikowani i wyspecjalizowani specjaliści z właściwym poziomem wiedzy. Takie osoby nie tylko są trudne do znalezienia, ale również wymagają wysokich stawek. Jeśli ten serwis ma działać przez całą dobę, pochłonie sporą część budżetu przeznaczonego na bezpieczeństwo IT. Z reguły tylko bardzo duże korporacje mogą sobie pozwolić na tworzenie specjalnych bodźców dla takich pracowników.

Właśnie tutaj pojawia się nowa usługa Sophos MTR, oferująca całodobowy serwis 24/7 w postaci elitarnych ekspertów, którzy zajmują się wykrywaniem zagrożeń w Twojej firmie i mogą natychmiast reagować w krytycznych sytuacjach. Nowy produkt MTR nie jest kolejnym punktem w menu Twojego Central Admin Dashboard, lecz umożliwia celową odpowiedź realizowaną przez ludzi. Sophos szczególnie podkreśla autonomiczne interwencje w tym serwisie. Zespół Sophos MTR nie tylko Cię poinformuje o ataku, ale jeśli sobie życzysz, podejmie niezbędne działania w Twoim imieniu. Otrzymujesz zatem „usługę w pełni zarządzaną”.

Jakie warianty usługi MTR są dostępne?

Zdecydowanie włączymy tę nową ofertę MTR do naszego katalogu produktów i niedługo będziemy mogli zaproponować ją także na naszej stronie internetowej. Zasadniczo serwis dostępny jest w poniższych wariantach:

  1. Central Intercept X Advanced z EDR i MTR [Standard / Advanced] – to pakiet dla klientów, którzy jeszcze nie kupili licencji EDR. Dotyczy to na przykład klientów korzystających z „Intercept X Advanced” lub tylko z „Endpoint Protection”.
  2. Central MTR [Standard / Advanced] – wariant przeznaczony dla klientów, którzy już korzystają z „Intercept X Advanced z EDR” i chcą dokupić MTR jako rozszerzenie.

Standard czy Advanced – na czym polegają różnice?

Jak już widzisz, Sophos MTR występuje w wersjach Standard oraz Advanced. Zobaczmy, jakie usługi zawiera każdy pakiet:

Zakres usług wariantu Standard

Całodobowe wyszukiwanie zagrożeń oparte na dowodach

Po wykupieniu licencji Sophos MTR i przejściu procesu onboardingu (więcej na ten temat później), Twoje konto Central zostaje połączone z automatycznym systemem zespołu MTR. Ponieważ system ten ciągle się uczy, potrafi automatycznie reagować na znane zagrożenia. Wyszukiwanie zagrożeń oparte na dowodach wkracza do akcji, gdy na Twoim systemie zostanie wykryte coś, co nie mogło zostać całkowicie usunięte i potrzebuje ludzkiej wiedzy. Możesz to sobie wyobrazić jak „Centrum Analizy Zagrożeń” w Twoim Central Admin Account. Z jednej strony zobaczysz tu zagrożenia, które zostały już automatycznie zatrzymane przez Intercept X Advanced, a z drugiej „podejrzane obiekty”, wykryte dzięki AI (sztucznej inteligencji), ale nieusunięte. W takiej sytuacji zespół MTR czuwa nad Tobą 24/7. Ekspert analizuje krytyczny alert i na podstawie doświadczenia decyduje, jak poważne jest dane wykrycie i co trzeba zrobić. Wnioski i wiedza z tego incydentu trafiają następnie do automatycznego systemu MTR, który następnym razem, w podobnej sytuacji, może natychmiast zareagować.

Wykrywanie ataków

Równolegle do wyszukiwania zagrożeń opartego na dowodach, zespół MTR kładzie duży nacisk na ataki przeprowadzane przez legitimne procesy, np. PowerShell. Takie ataki często odnoszą sukces, ponieważ bardzo trudno jest je wykryć przez narzędzia monitorujące. Zespół MTR monitoruje te procesy przy użyciu autorskich metod analitycznych, aby upewnić się, że nie są wykorzystywane w celach złośliwych.

Raporty aktywności

Przejrzystość wobec Ciebie jako klienta to kluczowa sprawa dla zespołu MTR. Dlatego otrzymujesz raporty aktywności, które pokazują wszystko, co zespół wykonał w Twoim imieniu. Dowiesz się, jaki jest aktualny stan Twoich systemów, jakie spostrzeżenia zebrano w okresie raportowania i jakie zagrożenia udało się odwrócić. W trakcie korzystania z usługi MTR tworzony jest histogram tych raportów. Na podstawie tych danych Sophos przygotowuje tzw. „scorecardy”, dzięki którym możesz porównać obecną sytuację z poprzednimi okresami. To zapewnia obiecaną przejrzystość i pozwala szybko ocenić, czy usługa MTR przynosi korzyści.

Security Health Check

Jak widzisz, standardowy pakiet MTR dotyczy wykrywania zagrożeń i zapobiegania atakom. Security Health Check odpowiada jednak za to, aby produkty Sophos Central, takie jak Intercept X Advanced z EDR, pracowały zawsze z maksymalną wydajnością. W tym celu zespół MTR analizuje potrzeby Twojej sieci i sugeruje zmiany w konfiguracji. Dzięki temu możesz być pewien, że produkty Central są idealnie dopasowane do Twojej firmy.

Zakres usług wariantu Advanced

Przyjrzyjmy się teraz, jakie dodatkowe usługi oferuje wariant Advanced:

Całodobowe wyszukiwanie zagrożeń bez dowodów

Poza wyszukiwaniem zagrożeń opartym na dowodach w pakiecie Standard, wersja Advanced zapewnia również wyszukiwanie zagrożeń bez dowodów. Tutaj wiedza ekspercka w całości należy do analityków zespołu MTR, którzy wnikliwie badają szczególnie ważne urządzenia lub konta użytkowników w Twojej firmie. Patrzą na to, jak odbywa się komunikacja w sieci, czy podejrzane procesy są uruchamiane lub czy pojawiają się nietypowe zachowania. Na podstawie zgromadzonych danych starają się przewidzieć strategie atakujących i zidentyfikować nowe Wskaźniki Ataku (IoA). W przypadku wykrycia incydentu przypisywany jest dedykowany lider reakcji, który telefonicznie wspiera Cię aż do całkowitego rozwiązania problemu!

Optymalizowane dane telemetryczne

Pakiet Standard obejmuje dane dostarczane przez Intercept X Advanced z EDR. Aby polepszyć telemetrię, wersja Advanced wychodzi poza samą detekcję zdarzeń na punktach końcowych i uwzględnia dane z innych produktów Central podczas analizy zagrożeń.

Bezpośrednie wsparcie telefoniczne

Kolejną zaletą wariantu Advanced jest bezpośredni dostęp do zespołu analityków MTR, dostępnego 24/7. Jeśli masz pytanie lub chcesz omówić konkretny przypadek zagrożenia, możesz skontaktować się z Security Operations Center (SOC) bezpośrednio telefonicznie.

Proaktywna poprawa stanu bezpieczeństwa

W pakiecie Advanced Security Health Check zostaje wyniesiony na wyższy poziom. Podczas gdy wariant Standard daje ogólne rekomendacje konfiguracyjne dla produktów Central, zespół MTR uwzględnia teraz również kontekst biznesowy stojący za ustawieniami polityk. Otrzymujesz wsparcie w usuwaniu słabości konfiguracyjnych i architektonicznych, które negatywnie wpływają na Twoje bezpieczeństwo.

Wykrywanie zasobów

Eksperci Sophos nie skupiają się jedynie na krytycznych procesach operacyjnych, ale również analizują używane aplikacje i wskazują potencjalne punkty wejścia dla ataków. Zespół MTR bierze pod uwagę tzw. inwentaryzację zasobów, pomagając zrozumieć, jakie aplikacje działają na danym punkcie końcowym i czy są one podatne na znane luki. To generuje cenne informacje dostosowane do konkretnej firmy.

Jakie poziomy wsparcia oferuje zespół Sophos MTR?

Niezależnie od tego, czy wybierzesz wariant Standard, czy Advanced, zachowujesz kontrolę nad tym, jak autonomicznie ma działać zespół MTR. Ustalane jest to na początku, w trakcie tzw. procesu onboardingu. Kupując usługę Sophos MTR, możesz wybrać jedną z trzech opcji, które określają, jaką reakcję oczekujesz od zespołu MTR:

  1. Powiadomienie: jeśli Sophos MTR wykryje incydent lub atak, na tym poziomie jedynie Cię o tym informuje, ale nie reaguje samodzielnie. Otrzymujesz jednak obszerny raport z analizą przyczyny i detekcji wraz z praktycznymi krokami do samodzielnego rozwiązania zagrożenia.
  2. Współpraca: zespół Sophos MTR współpracuje z Twoimi pracownikami lub zewnętrzną firmą doradczą i reaguje na odpowiednie zagrożenia.
  3. Autoryzacja: tutaj zespół MTR samodzielnie przeprowadza działania zawierające i neutralizujące, a następnie informuje Cię tylko o podjętych krokach.

Co wyróżnia Sophos MTR spośród konkurencji oferującej podobne usługi?

Sophos wymienia dwóch konkurentów, SentinelOne i CrowdStrike, jako największych rywali. Jednak Sophos MTR oferuje decydującą przewagę. Autonomiczne działanie, i to jeszcze proaktywne, dotychczas nie było możliwe. Dzięki wymienionemu wcześniej poziomowi reakcji Autoryzacja nie musisz już samodzielnie przebrnąć przez długie listy błędów i komunikatów o zagrożeniach. Wszystko może zostać przejęte w Twoim imieniu przez wyszkolonych specjalistów Sophos.

Choć SentinelOne i CrowdStrike również oferują podobne usługi, dotyczą one tylko najwyższej warstwy serwisowej, na którą małe firmy nie mogą sobie pozwolić. Natomiast najwyższy poziom autoryzacji Sophos MTR jest dostępny dla wszystkich firm, niezależnie od rozmiaru i wykupionego poziomu usługi.

Jakie systemy Sophos jest w stanie obsłużyć tym serwisem obecnie?

Usługa ruszyła dopiero 1 października. Dlatego obecnie oferowane jest wsparcie tylko dla Windows Endpoint 32-bit i 64-bit. Obsługa innych systemów, takich jak Windows Server, Linux i Mac OS, ma pojawić się pod koniec listopada 2019 roku. Dokładna data nie została jeszcze podana.

Ponadto w pierwszej fazie serwis dostępny jest wyłącznie w języku angielskim. Planowane jest jednak rozszerzenie repertuaru o kolejne języki. Kiedy to nastąpi i jakie języki zostaną dodane, nie zostało jeszcze ustalone.

Wnioski o Sophos Managed Threat Response

To, co dotychczas przeczytałem i usłyszałem o usłudze Sophos MTR, zrobiło na mnie naprawdę duże wrażenie! Dzięki niej małe i średnie firmy mogą korzystać z kompleksowej i profesjonalnej ochrony w obszarze bezpieczeństwa IT. Poszukiwanie wykwalifikowanego i doświadczonego personelu zostaje znacząco ograniczone, a Ty możesz polegać na ekspertach Sophos.

Bardzo cenię sobie także trzy różne poziomy wsparcia, które Sophos proponuje klientom podczas onboardingu. Sam decydujesz, ile kontroli chcesz oddać. Oferta poziomu „Autoryzacja”, dostępna także w wariancie Standard, jest absolutnie bezkonkurencyjna! Nie musisz wykupywać droższego pakietu Advanced, jeśli specjaliści Sophos mają działać w Twoim imieniu w pełni autonomicznie.

Jeśli zainteresował Cię Sophos MTR, nie wahaj się z nami skontaktować. Wkrótce opublikujemy na naszej stronie wszystkie warianty usługi MTR, dzięki czemu cena przestanie być tajemnicą. Chętnie też wyjaśnimy otwarte pytania w osobistej rozmowie.

David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.