Hoppa till innehållet
Avanet
Managed Threat Detection – 24/7‑övervakning och identifiering

Managed Threat Detection – 24/7‑övervakning och identifiering

14. JANUARI 2022

I det här blogginlägget vill jag presentera Managed Threat Detection (MTD) för endpoints och servrar, som har funnits tillgänglig sedan slutet av juli 2021. Med MTD riktar sig Sophos främst till kunder som (ännu) inte är redo att ersätta sin befintliga endpoint‑ och serverlösning från en tredjepartsleverantör med Sophos‑agenten. För alla andra kunder som redan har Sophos‑agenten installerad på sina datorer och servrar och minst använder Intercept X Essentials är Managed Threat Detection inte relevant.

Framgångshistorien bakom Managed Threat Response (MTR)

Sophos meddelade nyligen att Managed Threat Response (MTR) nu skyddar mer än en miljon enheter. Produkterna Managed Threat Response Standard och Advanced är de två dyraste varianterna för att skydda datorer och servrar, men de erbjuder också den högsta nivån av säkerhet och identifiering. Man får tillgång till ett expertteam av analytiker, utvecklare och threat hunters som dygnet runt (24/7) arbetar för att skydda er och era medarbetare mot cyberattacker.

Parallell drift med tredjepartsleverantörer var tidigare inte möjlig

”Sophos Managed Threat Response” kräver MTR‑klienten, som inte kan köras parallellt med lösningar från tredjepartsleverantörer som Microsoft, Symantec, Kaspersky, McAfee eller andra. Den nya tjänsten ”Managed Threat Detection” har däremot utvecklats speciellt för parallell drift med produkter från andra leverantörer och syftar till att nå en ny målgrupp där Sophos kan få in en fot i dörren.

Den som nu tror att man med Managed Threat Detection kan behålla skyddet från en tredjepartsleverantör och utan MTR‑klienten få samma fördelar som kunder med Managed Threat Response har tyvärr fel.

Begränsningar

Att avstå från den kraftfulla MTR‑klienten från Sophos innebär förståeligt nog vissa begränsningar. Vilka funktioner som saknas framgår av jämförelsetabellen nedan:

Jämförelsetabell för Sophos Central MTR och MTD

Avisering som enda åtgärdsnivå

För Managed Threat Response Standard och Advanced kan man välja mellan tre reaktionsnivåer:

  1. Avisering: om Sophos MTR-team upptäcker ett hot eller en attack informerar de om detta, men agerar inte självständigt. Du får en rapport om orsaken och upptäckten med konkreta steg som du själv kan genomföra för att åtgärda hotet.
  2. Samarbete: Sophos MTR-team arbetar tillsammans med det egna IT-teamet eller, om så önskas, med en extern IT-partner och reagerar gemensamt på de aktuella hoten.
  3. Auktorisering: MTR-teamet hanterar helt på egen hand åtgärder för att begränsa och neutralisera hotet och informerar endast om vilka insatser som har genomförts.

För Managed Threat Detection finns däremot bara reaktionsalternativet “Avisering”. Man får alltså en varning via Central-dashboarden eller per e-post när MTR-teamet har identifierat ett hot, men måste sedan själv neutralisera och undanröja det. Om det rör sig om ett aktivt hot där varje sekund räknas, ringer MTR-teamet åtminstone ett kort samtal, men verkligen bara vid aktiva hot.

Sophos Rapid Response som sista utväg

Vid ett aktivt hot är man med Managed Threat Detection i praktiken ensam om att stoppa en attack. MTR‑teamet kan tyvärr inte stötta här, eftersom Sophos egen MTR‑klient inte är installerad på datorerna och servrarna. Det är just här som det använda skyddet från tredjepartsleverantören egentligen borde glänsa. Om så inte är fallet finns fortfarande möjligheten att använda Sophos Rapid Response‑tjänsten. Där får man blixtsnabb hjälp av ett Sophos‑expertteam som inaktiverar den befintliga skyddsmjukvaran på alla datorer och servrar och installerar MTR‑klienten.

Viktigt! Sophos Rapid Response ingår inte i Managed Threat Detection och måste köpas separat till ett fast pris.

Avslutande ord

Med Managed Threat Detection har Sophos skapat en tjänst som gör expertisen hos MTR‑teamet tillgänglig även för kunder vars nätverkssäkerhet inte är baserad på Sophos‑lösningar. Och det är ur ett strategiskt perspektiv helt logiskt. Även om en it‑administratör redan idag bestämmer sig för att i framtiden skydda företagsnätverket med lösningar från Sophos, går det inte alltid att genomföra detta på kort sikt. På vägen kan det finnas löpande avtal eller aktiva licenser som redan bundit upp budgeten för de kommande tre åren.

Med Managed Threat Detection har Sophos skapat en slags ”tilläggstjänst” just för sådana scenarier, som på kort sikt kan övervägas för att stärka säkerhetskonceptet. MTR‑teamets resurser för identifiering av hot görs därmed tillgängliga för en betydligt större målgrupp, vilket bara kan gynna Sophos. Ju mer data som finns tillgänglig för analys, desto bättre kan algoritmerna finjusteras – och det spelar ingen roll om dessa data kommer från kunder med MTR‑ eller MTD‑agent.

Grundläggande skulle vi alltid rekommendera MTR‑varianten till alla kunder som vill skydda sina endpoints och servrar med Sophos. Vi är dock medvetna om att den lösningen inte passar alla budgetar. Det är ändå bättre att utgå från den dyraste produkten med högst säkerhetsnivå och sedan arbeta sig nedåt, för med säkerhetslösningar är det lite som med försäkringar – först när skadan är skedd ångrar man att man sparade in. 😜

För alla andra som av olika skäl ännu inte vill eller kan byta ut hela infrastrukturen på en gång är Sophos Central Managed Threat Detection för endpoints och servrar utan tvekan ett starkt komplement. Det är definitivt rekommenderat att låta nätverksaktiviteterna övervakas av ett expertteam.

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.