Hoppa till innehållet
Avanet
Sophos MTR – 24/7 Threat Hunting av experter

Sophos MTR – 24/7 Threat Hunting av experter

27. NOVEMBER 2019

Den 1 oktober introducerade Sophos en lovande tjänst som jag vill berätta mer om för er. Vi talar om MTR, eller uttryckt i klartext: Managed Threat Response. Denna nya produkt är resultatet av två förvärv: Rook Security och DarkBytes. Rook Security representerar främst tjänstedelen av erbjudandet medan DarkBytes bidrog med sin del av teknologin genom Managed Detection and Response (MDR).

Vad är Sophos Managed Threat Response (MTR)?

Sophos MTR bygger på Intercept X Advanced med EDR och tar sig an den stora elefanten i rummet. 😅 Om du redan har läst min artikel om Endpoint Detection and Response så vet du var mervärdet ligger. Men många kunder har helt enkelt inte tid att själva söka efter potentiella hot. Dessutom kräver den här uppgiften högt kvalificerad och specialiserad personal med rätt nivå av kompetens. Sådana människor är inte bara svåra att hitta, de har också väldigt höga löneanspråk. Om tjänsten ska utökas till ett 24-timmarsstöd äter det upp en stor del av kapitalet för din IT-säkerhet. Vanligtvis är det bara mycket stora koncerner som har möjlighet och ekonomiska muskler att skapa speciella incitament för sådana medarbetare.

Precis här kommer Sophos nya MTR-tjänst in i bilden, och erbjuder er en 24/7-tjänst i form av ett elit-team som tar hand om hotdetektering i ert företag och kan ingripa direkt i kritiska situationer. Den nya MTR-produkten är alltså inte ytterligare en menyval i ditt Central Admin Dashboard, utan ett målinriktat mänskligt responscenter. Sophos betonar särskilt den autonoma interventionen i den här tjänsten. Sophos MTR-teamet kommer inte bara informera dig om en attack, utan tar, om du så vill, också själva nödvändiga åtgärder. Du får därmed en ”fully-managed service”.

Vilka varianter av MTR-tjänsten finns det?

Vi kommer definitivt att ta in det nya MTR-erbjudandet i vår produktkatalog och snart kunna erbjuda det via vår webbplats. Tjänsten finns i huvudsak i följande varianter:

  1. Central Intercept X Advanced med EDR och MTR [Standard / Advanced] – detta är paketet för kunder som ännu inte har köpt en EDR-licens. Det gäller till exempel kunder med ”Intercept X Advanced” eller bara ”Endpoint Protection”.
  2. Central MTR [Standard / Advanced] – den här varianten passar kunder som redan använder ”Intercept X Advanced med EDR” och vill lägga till MTR som tillägg.

Standard eller Advanced – vad skiljer dem åt?

Som du redan ser av de två varianterna ovan erbjuds Sophos MTR i både Standard och Advanced. Låt oss titta närmare på vilka tjänster som ingår i respektive paket:

Tjänstinnehåll i Standardvarianten

24/7 hotjakt baserad på bevis

När du licensierat Sophos MTR och genomgått onboarding-processen (mer om det senare) kopplas ditt Central-konto till MTR-teamets automatiserade system. Eftersom systemet ständigt lär sig kan det reagera automatiskt på kända hot. Den bevisbaserade hotjakten aktiveras när något har upptäckts i ditt system som inte kunde lösas helt och kräver mänsklig expertis. Du kan föreställa dig det som ett ”Threat Analysis Center” i ditt Central Admin-konto. Där ser du dels hot som redan blockerats automatiskt av Intercept X Advanced, dels ”misstänkta objekt” som upptäckts tack vare AI (artificiell intelligens) men som inte kunnat lösas. I en sådan situation finns MTR-teamet vid din sida dygnet runt. En expert granskar den kritiska indikationen och avgör utifrån erfarenhet hur allvarlig det är och vad som behöver göras. Insikterna och kunskapen från incidenten förs sedan över till MTR-teamets automatiserade system. Nästa gång samma upptäckt sker i ett annat scenario kan systemet reagera automatiskt.

Attackdetektion

Parallellt med den bevisbaserade hotjakten ägnar MTR-teamet extra uppmärksamhet åt attacker som utförs via legitima processer, som PowerShell. Sådana attacker lyckas ofta eftersom de är svåra för övervakningsverktyg att upptäcka. MTR-teamet övervakar dessa processer med egenutvecklade analysmetoder för att säkerställa att de inte utnyttjas i illasinnade syften.

Aktivitetsrapporter

Transparens gentemot dig som kund är oerhört viktigt för MTR-teamet. Därför får du aktivitetsrapporter som visar allt som MTR-teamet gjort åt dig. Du får reda på vilket tillstånd dina system befinner sig i, vilka insikter som samlats in under rapportperioden och vilka hot som avvärjts. Under den tid du använder MTR-tjänsten skapas ett histogram av dessa rapporter. Med hjälp av dessa data skapar Sophos så kallade ”scorecards”, som du kan jämföra med tidigare perioder. Det ger den utlovade transparensen och gör det lätt att snabbt avgöra om MTR-tjänsten är till nytta för dig.

Security Health Check

Som du kan se handlar MTR Standard om att upptäcka hot och förebygga attacker. Dessutom säkerställer Security Health Check att dina Sophos Central-produkter, till exempel Intercept X Advanced med EDR, alltid arbetar med maximal prestanda. För detta ändamål går MTR-teamet igenom dina nätverksbehov och föreslår konfigurationsändringar. Du kan känna dig trygg med att Central-produkterna är väl anpassade till din verksamhet.

Tjänstinnehåll i Advancedvarianten

Låt oss gå igenom vilka extra tjänster som ingår i Advanced:

24/7 hotjakt utan bevis

Utöver den bevisbaserade hotjakten i Standardpaketet erbjuder Advanced även hotjakt utan bevis. Här ligger expertisen helt hos MTR-teamets analytiker, som noggrant granskar särskilt viktiga enheter eller användarkonton i din organisation. De studerar hur kommunikationen sker i nätverket, om misstänksamma processer körs eller om något annat onormalt eller avvikande förekommer. Med den insamlade datan försöker de förutsäga angriparnas strategi och identifiera nya indikatorer på angrepp (IoA). När en incident upptäcks tilldelas du en dedikerad responsledare som hjälper dig via telefon tills problemet är helt löst!

Optimerad telemetri

MTR Standard innehåller data som tillhandahålls av Intercept X Advanced med EDR. För att förbättra telemetrin går Advanced-versionen bortom enbart upptäckt av endpoint-händelser och inkluderar data från andra Central-produkter i hotanalysen.

Direkt telefonsupport

En annan fördel med Advanced är direkt tillgång till MTR-analytikerna, som är tillgängliga dygnet runt. Har du en fråga eller vill diskutera ett specifikt hot kan du ringa Security Operations Center (SOC) direkt.

Proaktiv förbättring av säkerhetsläget

I Advanced-paketet lyfts Security Health Check till nästa nivå. Medan Standardvarianten ger generella rekommendationer för Central-konfigurationer, tar MTR-teamet nu även hänsyn till affärssammanhanget bakom policyinställningarna. Du får hjälp med att åtgärda konfigurations- och arkitekturmått som påverkar säkerheten negativt.

Upptäckt av tillgångar

Sophos-specialister analyserar inte bara kritiska driftprocesser, utan skaffar sig också en överblick över använda applikationer och identifierar möjliga angreppspunkter. MTR-teamet tar hänsyn till ett så kallat tillgångsregister som hjälper till att förstå vilka program som körs på en endpoint och om de påverkas av öppna sårbarheter. Det ger värdefulla insikter som är anpassade till just ditt företag.

Vilka stödnivåer erbjuder Sophos MTR-teamet?

Oavsett om du väljer Standard- eller Advancedvarianten behåller du kontrollen över hur självständigt MTR-teamet ska agera. Det regleras i början, under det så kallade onboarding-processen. När du köper Sophos MTR kan du välja mellan tre alternativ som bestämmer vilken respons du förväntar dig av teamet:

  1. Notifikation: Om Sophos MTR upptäcker ett incident- eller attackfall informerar det bara om händelsen på den här nivån – inga egna åtgärder vidtas. Du får däremot en detaljerad rapport om orsaken och upptäckten med konkreta steg för att själv hantera hotet.
  2. Samarbete: Sophos MTR-teamet samarbetar med dina medarbetare eller en extern rådgivningsfirma och reagerar på motsvarande hot.
  3. Auktorisering: Här agerar MTR-teamet helt självständigt med innehålls- och neutraliseringsåtgärder och informerar dig endast om de åtgärder som vidtagits.

Vad särskiljer Sophos MTR från konkurrenterna som erbjuder liknande tjänster?

Sophos namnger två konkurrenter, SentinelOne och CrowdStrike, som de tuffaste rivalerna. Sophos MTR erbjuder dock en avgörande fördel. Autonomt agerande – och proaktivt dessutom – har tidigare inte funnits. Genom den ovan nämnda Auktoriseringsnivån behöver du inte längre själv ta dig igenom ändlösa listor med felmeddelanden och hotvarningar. Allt detta kan nu tas om hand av Sophos utbildade specialister åt dig.

Även om SentinelOne och CrowdStrike erbjuder liknande tjänster så gäller det endast den högsta servicenivån som små företag inte har råd med. Den högsta auktorisationsnivån i Sophos MTR kan däremot utnyttjas av alla företag, oberoende av storlek eller valt servicenivå.

Vilka system kan Sophos för närvarande betjäna med den här tjänsten?

Tjänsten lanserades först den 1 oktober. Av den anledningen erbjuds just nu endast stöd för Windows Endpoint 32- och 64-bit. Stöd för andra system, såsom Windows Server, Linux och Mac OS, förväntas följa i slutet av november 2019. Ett exakt datum har dock ännu inte offentliggjorts.

Dessutom är tjänsten i första fasen endast tillgänglig på engelska. Det planeras dock att inkludera fler språk i repertoaren. När det sker och vilka språk som läggs till är ännu inte fastställt.

Slutsats om Sophos Managed Threat Response Service

Det jag hittills läst och hört om Sophos MTR imponerar verkligen på mig! Tack vare den här tjänsten får även små och medelstora företag möjligheten att ha ett omfattande och professionellt IT-skydd. Letandet efter kvalificerad och erfaren personal minskar kraftigt, och du kan luta dig mot Sophos experter.

Jag uppskattar också de tre olika stödnivåerna som Sophos erbjuder alla kunder under onboarding-processen. Du bestämmer själv hur mycket kontroll du vill lämna ifrån dig. Erbjudandet om ”Auktoriseringsnivån”, som även finns i Standardvarianten, är helt enkelt oöverträffat! Du behöver inte teckna det dyrare Advanced-paketet om du vill att Sophos-specialisterna hanterar säkerheten åt dig helt självständigt.

Skulle Sophos MTR låta intressant så tveka inte att kontakta oss. Vi kommer snart publicera de olika varianterna av MTR tjänsten på vår webbplats så priset inte längre är något mysterium. Vi svarar gärna på öppna frågor i en personlig diskussion.

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.