Niewiele przedsiębiorstw dysponuje odpowiednimi narzędziami, ekspertami oraz ma na tyle zdefiniowane procesy, żeby skutecznie realizować założenia polityki bezpieczeństwa przez całą dobę, a jednocześnie aktywnie bronić się przed nowymi zagrożeniami. Dlatego Sophos oferuje usługę Managed Threat Response (MTR), w ramach której to inżynierowie tego dostawcy biorą na siebie zadanie wykrywania i neutralizacji nawet najbardziej złożonych zagrożeń.

Podczas świadczenia usługi MTR wykorzystywane jest narzędzie do ochrony urządzeń końcowych Intercept X Advanced with EDR. Umożliwia ono połączenie technik uczenia maszynowego oraz prowadzonej przez ekspertów analizy w celu uzyskania jak najwyższego współczynnika, dogłębnego badania alertów, wykrywania i eliminacji zagrożeń.

Korzystanie z usługi MTR nie odbiera jednak przedsiębiorstwom możliwości sprawowania kontroli nad bezpieczeństwem własnej infrastruktury i danych. Usługobiorcy podejmują decyzję w związku z incydentami, którymi mają zająć się eksperci Sophosa oraz charakterem współpracy. Do wyboru są trzy modele: wyłącznie powiadomienie o wykryciu zagrożenia oraz dostarczenie szczegółów na jego temat, współpraca ekspertów Sophosa z wewnętrznym działem IT użytkownika nad wyeliminowaniem ataku albo pełne przekazanie usługodawcy odpowiedzialności za neutralizację zagrożenia oraz dostarczenie raportu z przeprowadzonej akcji.

Wykrywanie według wskaźników

Usługa MTR jest świadczona na dwóch poziomach – standardowym i rozszerzonym (wymienione wcześniej modele współpracy obowiązują na obu poziomach). Klienci korzystający z obsługi standardowej mogą liczyć na automatyczne blokowanie znanych zagrożeń oraz nadzorowane przez ekspertów weryfikowanie stanu bezpieczeństwa firmowej infrastruktury pod kątem możliwości przeprowadzania nietypowego ataku, o którym informowałyby nieznane wcześniej jego wskaźniki (Indicator of Attack – IoA) oraz naruszenia (Indicator of Compromise – IoC).

Rozszerzony model świadczenia usługi MTR rozbudowano między innymi o mechanizmy wykrywania ataku z wykorzystaniem dodatkowych wskaźników, takich jak profil usługobiorcy czy posiadane przez niego cyfrowe zasoby. W przypadku wykrycia zagrożenia do dyspozycji klienta wyznaczany jest koordynator, który zadba o przepływ informacji, aż do momentu neutralizacji ataku. Zapewniono także pełną analizę danych telemetrycznych pochodzących nie tylko z urządzeń końcowych, ale także innych produktów podłączonych do platformy Sophos Central. Eksperci Sophosa zobligowani są także do systematycznego dostarczania raportów i rekomendacji ze wskazówkami prowadzącymi do poprawy poziomu bezpieczeństwa.

Reagowanie na żądanie

Usługa MTR rozliczana jest w abonamencie, natomiast firmom, które są zainteresowane współpracą o charakterze incydentalnym, Sophos proponuje usługę Rapid Response. Aktywowana jest przez klienta w momencie zaobserwowania przez niego podejrzanej sytuacji, która może być efektem cyberataku. Wówczas w ciągu paru godzin inżynierowie Sophosa uzyskują dostęp do krytycznej infrastruktury klienta w celu oceny skali oraz wpływu ataku na bezpieczeństwo danych.  

Z usługi Rapid Response mogą korzystać zarówno przedsiębiorstwa, które już są użytkownikami rozwiązań Sophosa, jak też te, które dopiero rozważają rozpoczęcie współpracy. To pierwsze tego typu rozwiązanie dostępne w ramach stałej, jednorazowej opłaty, uzależnionej od liczby użytkowników i serwerów w przedsiębiorstwie klienta. Zwykle tego typu usługi rozliczane są według stawki godzinowej.

Dodatkowe informacje: Monika Sierocinski, Team Lead Channel Account Manager, Sophos, monika.sierocinski@sophos.com