Saltar para o conteudo
Avanet
Sophos MTR - Caça a Ameaças 24/7 por Especialistas

Sophos MTR - Caça a Ameaças 24/7 por Especialistas

27. NOVEMBRO 2019

No dia 1º de outubro, a Sophos apresentou um serviço promissor que eu gostaria de detalhar um pouco mais para vocês. Estamos falando do MTR ou, por extenso, Managed Threat Response. Este novo produto é resultado das duas aquisições da Sophos: Rook Security e DarkBytes. A Rook Security está especialmente envolvida na parte de serviços desta oferta, enquanto a DarkBytes contribuiu com sua parte tecnológica em Managed Detection and Response (MDR).

O que é o Sophos Managed Threat Response (MTR)?

O Sophos MTR baseia-se no Intercept X Advanced com EDR e aponta diretamente para o grande elefante na sala. 😅 Se você já leu meu artigo sobre Endpoint Detection and Response, sabe qual é o valor agregado desse produto. Mas muitos clientes simplesmente não têm tempo para buscar proativamente possíveis ameaças. Além disso, esse trabalho exige profissionais altamente qualificados e especializados com o nível certo de conhecimento. Pessoas assim não são apenas difíceis de encontrar, como também exigem salários elevados. Estender esse serviço para um suporte 24 horas consumiria boa parte do orçamento de segurança de TI. Normalmente, apenas grandes corporações têm a liberdade e os recursos financeiros para criar incentivos especiais para esses profissionais.

É exatamente aí que entra o novo serviço MTR da Sophos, oferecendo a vocês um serviço 24/7 na forma de uma equipe de segurança de elite que monitora a detecção de ameaças na sua empresa e pode agir imediatamente em situações críticas. O novo produto MTR, portanto, não é mais um item de menu no seu Central Admin Dashboard, mas sim uma resposta focada feita por pessoas. A Sophos destaca especialmente o intervenção autônoma nesse serviço. A equipe Sophos MTR não só o informará sobre um ataque, mas, caso desejado, também adotará as medidas necessárias em seu nome. Você recebe, então, um “serviço totalmente gerenciado”.

Quais variantes do serviço MTR estão disponíveis?

Definitivamente incluiremos a nova oferta MTR em nosso catálogo de produtos e em breve poderemos oferecê-la em nosso site. Basicamente, o serviço está disponível nas seguintes variantes:

  1. Central Intercept X Advanced com EDR e MTR [Standard / Advanced] – esse é o pacote para todos os clientes que ainda não adquiriram uma licença EDR. Isso vale, por exemplo, para clientes com “Intercept X Advanced” ou apenas “Endpoint Protection”.
  2. Central MTR [Standard / Advanced] – essa variante é indicada para os clientes que já possuem “Intercept X Advanced com EDR” e desejam adicionar o MTR como complemento.

Standard ou Advanced – onde estão as diferenças?

Como você já percebeu pelas duas variantes acima, o Sophos MTR é oferecido nas versões Standard e Advanced. Vamos analisar o que está incluído em cada pacote:

Escopo dos serviços da versão Standard

Caça a ameaças baseada em evidências 24/7

Assim que você licencia o Sophos MTR e conclui o processo de onboarding (falaremos mais sobre isso depois), sua conta Central será conectada ao sistema automatizado da equipe MTR. Como esse sistema está sempre aprendendo, ele pode reagir automaticamente a ameaças conhecidas. A caça a ameaças baseada em evidências entra em ação quando algo é detectado no seu sistema, não pode ser completamente solucionado e exige conhecimento humano. Você pode imaginar isso como o “Centro de Análise de Ameaças” em sua conta Central Admin. Lá, você verá ameaças que já foram bloqueadas automaticamente pelo Intercept X Advanced, além de “objetos suspeitos” detectados graças à IA (inteligência artificial), mas que ainda não foram resolvidos. Nessa situação, a equipe MTR está disponível 24/7 para você. Um especialista examina o alerta crítico e, com base na experiência, avalia o nível de gravidade dessa detecção específica e decide quais medidas devem ser tomadas. As conclusões e aprendizados desse incidente são então transferidos para o sistema automatizado da equipe MTR. Da próxima vez em que a mesma detecção ocorrer em outro cenário, o sistema pode reagir automaticamente.

Detecção de ataques

Paralelamente à caça a ameaças baseada em evidências, a equipe MTR foca especialmente em ataques executados por processos legítimos, como o PowerShell. Esses ataques costumam ter sucesso porque são muito difíceis de detectar por ferramentas de monitoramento. A equipe MTR monitora esses processos utilizando métodos de análise próprios para garantir que não sejam usados para fins maliciosos.

Relatórios de atividade

A transparência para você, cliente, é muito importante para a equipe MTR. Por isso, você recebe relatórios de atividade que mostram tudo o que foi feito em seu nome. Você fica sabendo o estado atual dos seus sistemas, quais insights foram coletados no período de relatório e quais ameaças foram neutralizadas. Durante o período em que você utiliza o serviço MTR, é gerado um histograma desses relatórios. Com os dados, a Sophos cria as chamadas “scorecards”, com as quais você pode se comparar a períodos anteriores. Isso proporciona a transparência prometida e permite perceber rapidamente se o serviço MTR está sendo realmente útil.

Security Health Check

Como você pode ver pelos três serviços anteriores, o MTR Standard trata da detecção de ameaças e da prevenção de ataques. No entanto, o Security Health Check garante que seus produtos Central da Sophos, como o Intercept X Advanced com EDR, funcionem sempre com performance máxima. Para isso, a equipe MTR analisa os seus requisitos de rede e sugere ajustes de configuração. Assim, você pode ter certeza de que os produtos Central estão perfeitamente alinhados com a realidade da sua empresa.

Escopo dos serviços da versão Advanced

Vamos ver quais serviços adicionais você obtém na variante Advanced:

Caça a ameaças sem evidências 24/7

Além da caça a ameaças baseada em evidências do pacote Standard, a versão Advanced oferece também a caça a ameaças sem evidências. Nessa modalidade, a expertise fica totalmente a cargo dos analistas da equipe MTR, que examinam cuidadosamente dispositivos ou contas de usuários especialmente importantes na sua empresa. Eles analisam como a comunicação acontece na rede, se processos suspeitos estão sendo executados ou se há comportamentos incomuns ou atípicos. Com os dados coletados, tentam prever as estratégias dos atacantes e identificar novos Indicadores de Ataque (IoA). Ao detectar um incidente, você recebe um líder de resposta dedicado, que o acompanha por telefone até a resolução completa do problema!

Telemetria otimizada

O pacote Standard do MTR inclui dados fornecidos pelo Intercept X Advanced com EDR. Para melhorar a telemetria, a versão Advanced vai além da simples detecção de eventos em endpoints e incorpora dados de outros produtos Central na análise de ameaças.

Suporte telefônico direto

Outro diferencial da variante Advanced é o acesso direto à equipe de analistas do MTR, disponível 24/7. Assim, se você tiver uma dúvida ou quiser discutir um caso específico, pode ligar diretamente para o Security Operations Center (SOC).

Melhoria proativa do status de segurança

No pacote Advanced, o Security Health Check é elevado a um novo nível. Enquanto a versão Standard oferece recomendações gerais para as configurações dos produtos Central, a equipe MTR agora considera também o contexto de negócio por trás das definições de políticas. Você recebe suporte para eliminar vulnerabilidades de configuração e arquitetura que prejudicam a sua segurança.

Detecção de ativos

Os especialistas da Sophos não se limitam apenas aos processos críticos, mas também mapeiam as aplicações em uso e identificam possíveis vetores de ataque que possam surgir no sistema. A equipe MTR considera um inventário de ativos que ajuda a entender quais aplicações estão rodando em um endpoint e se elas são afetadas por vulnerabilidades abertas. Essas informações geram insights valiosos, adaptados especificamente para cada empresa.

Quais níveis de suporte a equipe Sophos MTR oferece?

Independentemente de você escolher o Standard ou o Advanced, você mantém o controle sobre o nível de autonomia da equipe MTR. Isso é definido logo no início, durante o chamado processo de onboarding. Ao adquirir o Sophos MTR, você pode escolher entre três opções que determinam qual tipo de resposta espera da equipe MTR:

  1. Notificação: se o Sophos MTR detectar um incidente ou ataque, essa opção apenas o informa, mas não age por conta própria. Porém, você recebe um relatório detalhado sobre a causa e a detecção, com etapas práticas para resolver a ameaça por conta própria.
  2. Colaboração: a equipe Sophos MTR atua em conjunto com seus funcionários ou uma consultoria externa e responde às ameaças correspondentes.
  3. Autorização: nesse modo, a equipe MTR cuida autonomamente das ações de contenção e neutralização e apenas o informa sobre as medidas tomadas.

O que diferencia o Sophos MTR da concorrência que oferece serviços similares?

A Sophos cita dois concorrentes, SentinelOne e CrowdStrike, como os maiores rivais. No entanto, o serviço MTR da Sophos oferece uma vantagem decisiva. Um comportamento autônomo e proativo como esse ainda não havia sido visto. Com o nível de resposta Autorização descrito acima, você não precisa mais trabalhar sozinho em listas intermináveis de erros e alertas de ameaça. Tudo pode agora ser conduzido em seu nome por especialistas treinados da Sophos.

Embora SentinelOne e CrowdStrike também ofereçam um serviço similar, ele está disponível apenas no nível de serviço mais alto, que empresas pequenas não conseguem pagar. O maior nível de autorização do Sophos MTR, no entanto, pode ser utilizado por todas as empresas, independentemente do porte ou do nível de serviço contratado.

Quais sistemas o Sophos pode atender com esse serviço atualmente?

O serviço foi lançado apenas no dia 1º de outubro. Por essa razão, atualmente só há suporte para Windows Endpoint 32 e 64 bits. A previsão é que o suporte a outros sistemas, como Windows Server, Linux e Mac OS, chegue no final de novembro de 2019. Contudo, uma data exata ainda não foi definida.

Além disso, o serviço está disponível apenas em inglês nessa primeira fase. Porém, já está nos planos incluir outras línguas no repertório. Quando isso acontecer e quais idiomas serão incluídos ainda não foi decidido.

Conclusão sobre o Sophos Managed Threat Response Service

O que li e ouvi sobre o serviço MTR da Sophos até agora me deixou realmente impressionado! Esse serviço permite que empresas pequenas e médias tenham acesso a uma proteção de TI abrangente e profissional. A busca por profissionais qualificados e experientes é drasticamente reduzida, e você pode contar com os especialistas da Sophos.

Acho também muito acertada a oferta de três níveis de suporte que a Sophos proporciona aos clientes no processo de onboarding. Assim, você decide exatamente o quanto deseja abrir mão do controle. A oferta do “nível Autorização”, que também está disponível na variante Standard, é absolutamente incomparável! Você não precisa contratar o pacote Advanced mais caro para que os especialistas da Sophos cuidem da segurança da sua rede de forma totalmente autônoma.

Se você ficou interessado no Sophos MTR, não hesite em entrar em contato conosco. Em breve publicaremos no nosso site as diferentes variantes do serviço MTR, e aí o preço deixará de ser um segredo. Estamos também à disposição para esclarecer dúvidas pessoalmente.

David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.