Blue team
A visibilidade é fundamental para deter ciberameaças avançadas antes que causem danos: se conseguirmos ver tentativas de intrusão, entradas não autorizadas na rede e outros comportamentos suspeitos à medida que acontecem, é muito mais fácil intervir rapidamente e neutralizá-los
10/04/2023
E mbora as soluções avançadas como proteção de endpoints e firewalls de próxima geração sejam críticas para a defesa, impedir ataques avançados liderados por humanos requer a máxima atenção 24/7. A boa notícia é que a maioria das organizações já recolhe grande parte da telemetria em bruto necessária. As soluções de endpoint, firewall, identidade, e-mail, cloud e rede fornecem informações valiosas que permitem aos analistas de segurança detetar e responder a ataques sofisticados. Combinar telemetria para informações mais rápida e completasCada fonte de telemetria é útil por si só; contudo, quanto mais informações temos sobre todo o ambiente, mais rapidamente podemos reagir. Combinar fontes de telemetria para acelerar a resposta a ameaças é fundamental: por exemplo, um alerta num endpoint e outro num e-mail são suspeitos por si só; no entanto, com dados de firewall, identidade e outros, os analistas podem identificar de forma muito mais fiável as tentativas de exfiltração de dados e comprometimento de emails. Obter visibilidade acionável a partir de telemetria de segurança é uma competência especializada. Muitas tecnologias geram alertas de segurança e enviam dados úteis, mas tirar partido deles é um desafio a que só podem dar resposta analistas altamente qualificados, devido a:
Como resultado, é quase impossível, para a maioria das organizações, correlacionar dados e identificar problemas de forma atempada. As equipas de TI estão sobrecarregadas com alertas e incapazes de identificar quais se relacionam e quais devem ser prioridade. A abordagem MDR da SophosCom o Sophos MDR, recolhemos telemetria a partir dos ambientes de segurança dos nossos clientes, utilizando sinais e alertas de:
Convertemos então este enorme volume de telemetria de segurança em informação acionável e prioritária para os nossos analistas investigarem utilizando o fluxo de eventos MDR da Sophos. A telemetria entra no nosso data lake e é processada através das 6 fases do nosso pipeline de deteção patenteado:
Os resultados limpos, melhorados, correlacionados e agrupados são transmitidos aos peritos da nossa equipa de operações MDR para sua investigação e resposta. A cada dia, processamos cerca de 31 mil milhões de eventos e 358 milhões de deteções, o que resulta em 367 casos investigados pela equipa, 47 escaladas e uma ameaça ativa. Utilizar a telemetria entre ambientes desta forma ajuda o Sophos MDR a detetar e neutralizar as ameaças mais rapidamente do que qualquer outra ferramenta. O seu tempo médio de resposta a ameaças é de apenas 38 minutos, o que é consideravelmente mais rápido do que outros fornecedores de segurança e mais de cinco vezes mais rápido do que até a equipa interna mais rápida do mundo. Para saber mais sobre o Sophos MDR e como utilizamos as deteções em ambientes cruzados para acelerar a resposta a ameaças, fale hoje com os nossos especialistas em segurança.
Conteúdo co-produzido pela MediaNext e pela Sophos |