Sophos MDR: a resposta a ameaças mais rápida

E mbora as soluções avançadas como proteção de endpoints e firewalls de próxima geração sejam críticas para a defesa, impedir ataques avançados liderados por humanos requer a máxima atenção 24/7.

A boa notícia é que a maioria das organizações já recolhe grande parte da telemetria em bruto necessária. As soluções de endpoint, firewall, identidade, e-mail, cloud e rede fornecem informações valiosas que permitem aos analistas de segurança detetar e responder a ataques sofisticados.

Combinar telemetria para informações mais rápida e completas

Cada fonte de telemetria é útil por si só; contudo, quanto mais informações temos sobre todo o ambiente, mais rapidamente podemos reagir. Combinar fontes de telemetria para acelerar a resposta a ameaças é fundamental: por exemplo, um alerta num endpoint e outro num e-mail são suspeitos por si só; no entanto, com dados de firewall, identidade e outros, os analistas podem identificar de forma muito mais fiável as tentativas de exfiltração de dados e comprometimento de emails.

Obter visibilidade acionável a partir de telemetria de segurança é uma competência especializada. Muitas tecnologias geram alertas de segurança e enviam dados úteis, mas tirar partido deles é um desafio a que só podem dar resposta analistas altamente qualificados, devido a:

• Grandes volumes de dados e formatos muito variáveis
• Diferentes tipos e quantidades de dados de cada fornecedor
• Uma miríade de pontuações de gravidade inconsistentes.

Como resultado, é quase impossível, para a maioria das organizações, correlacionar dados e identificar problemas de forma atempada. As equipas de TI estão sobrecarregadas com alertas e incapazes de identificar quais se relacionam e quais devem ser prioridade.

A abordagem MDR da Sophos

Com o Sophos MDR, recolhemos telemetria a partir dos ambientes de segurança dos nossos clientes, utilizando sinais e alertas de:

• Premiadas soluções de endpoint, e-mail, rede, firewall e segurança em cloud da Sophos
• Tecnologias de terceiros como AWS, Check Point, CrowdStrike, Fortinet, Google, Microsoft, Okta, Palo Alto Networks e outros
• Qualquer combinação de ambas.

Convertemos então este enorme volume de telemetria de segurança em informação acionável e prioritária para os nossos analistas investigarem utilizando o fluxo de eventos MDR da Sophos. A telemetria entra no nosso data lake e é processada através das 6 fases do nosso pipeline de deteção patenteado:

• Ingerir & filtrar – Ingerir telemetria e filtrar ruído indesejado
• Limpar – Transformar os dados num esquema normalizado e mapeá-los com o MITRE ATT&CK®
• Enriquecer – Acrescentar informação adicional sobre ameaças de terceiros e contexto empresarial
• Correlacionar – Agrupar os alertas com base nas entidades, categorização e calendarização MITRE ATT&CK
• Priorizar – Classificar os alertas e grupos segundo ordem de prioridade
• Escalar – Lógica que escala certos clusters para casos a investigar.

Os resultados limpos, melhorados, correlacionados e agrupados são transmitidos aos peritos da nossa equipa de operações MDR para sua investigação e resposta. A cada dia, processamos cerca de 31 mil milhões de eventos e 358 milhões de deteções, o que resulta em 367 casos investigados pela equipa, 47 escaladas e uma ameaça ativa.

Utilizar a telemetria entre ambientes desta forma ajuda o Sophos MDR a detetar e neutralizar as ameaças mais rapidamente do que qualquer outra ferramenta. O seu tempo médio de resposta a ameaças é de apenas 38 minutos, o que é consideravelmente mais rápido do que outros fornecedores de segurança e mais de cinco vezes mais rápido do que até a equipa interna mais rápida do mundo.

Para saber mais sobre o Sophos MDR e como utilizamos as deteções em ambientes cruzados para acelerar a resposta a ameaças, fale hoje com os nossos especialistas em segurança. 

Conteúdo co-produzido pela MediaNext e pela Sophos