O Sophos MDR utiliza alertas de todo o ambiente de segurança para acelerar a identificação e neutralização de ameaças.
A visibilidade é a chave para interromper uma ameaça cibernética avançada antes que grandes danos sejam causados: se você puder ver tentativas de invasão, entrada não autorizada na rede e outros comportamentos suspeitos no momento em que estão acontecendo, será muito mais fácil intervir rapidamente e neutralizá-los.
E, embora as soluções de tecnologia avançada – incluindo proteção de endpoint de última geração e firewalls – sejam camadas críticas de defesa, impedir ataques avançados liderados por humanos requer olhos atentos 24 horas por dia, 7 dias por semana.
A boa notícia é que a maioria das organizações já está reunindo grande parte da telemetria bruta necessária para ver esses riscos por meio de seus investimentos em segurança existentes.
Endpoint, firewall, identidade, e-mail, nuvem e soluções de rede fornecem informações valiosas que permitem que analistas de segurança qualificados detectem e respondam a ataques sofisticados.
Combinando telemetria para insights mais rápidos e profundos
Cada fonte de telemetria é útil individualmente. No entanto, quanto mais sinais os analistas de ameaças puderem reunir de todo o ambiente, mais eles verão e mais rápido poderão reagir. Vejamos alguns exemplos de como podemos combinar fontes de telemetria para acelerar a resposta a ameaças.
Como podemos ver, o sinal de endpoint no primeiro cenário e o sinal de e-mail no segundo cenário são suspeitos por conta própria. No entanto, juntamente com os dados do firewall, telemetria de identidade e outros insights, os analistas podem identificar com muito mais confiança as tentativas de exfiltração de dados no primeiro cenário e o comprometimento do e-mail comercial no segundo.
O desafio do defensor: complexidade da telemetria
Obter visibilidade acionável da telemetria de segurança é uma habilidade especializada. Embora muitas tecnologias gerem alertas de segurança e insights úteis para analistas altamente treinados, aproveitar as informações é muito desafiador.
Defensores enfrentam:
- Enormes volumes de dados
- Inúmeras classificações de pontuação de gravidade inconsistentes (1-10, 5-1, alta/média/baixa, etc.)
- Diferentes tipos e quantidades de dados de cada provedor
- Formatos de relatórios altamente variados
Como resultado, é quase impossível para a maioria das organizações correlacionar dados e identificar problemas em tempo hábil. As equipes de TI acabam sobrecarregadas por alertas, incapazes de identificar quais estão relacionados e o que priorizar.
A abordagem Sophos MDR
Na Sophos MDR, quanto mais vemos, mais rápido agimos. Coletamos telemetria de todos os ambientes de segurança de nossos clientes, usando sinais e alertas de:
- Soluções premiadas de endpoint, email, rede, firewall e segurança em nuvem da Sophos
- Tecnologias de terceiros , incluindo Amazon Web Services (AWS), Check Point, CrowdStrike, Darktrace, Fortinet, Google, Microsoft, Okta, Palo Alto Networks, Rapid7 e muitos outros
- Qualquer combinação dos dois
Em seguida, convertemos esse enorme volume de telemetria de segurança em insights acionáveis e priorizados para que nossos analistas investiguem usando o Sophos MDR Event Flow.
A telemetria entra em nosso data lake e é processada por meio dos seis estágios de nosso pipeline de detecção patenteada:
- Ingerir e filtrar – Ingerir telemetria e filtrar ruídos indesejados
- Limpar – Transforme dados em esquema normalizado e mapeie para MITRE ATT&CK®
- Enriquecer – Adicione inteligência de ameaças de terceiros e informações de contexto de negócios adicionais
- Correlacionar – alertas de cluster com base em entidades, categorização MITRE ATT&CK e tempo
- Priorizar – Pontue alertas e clusters para classificar em ordem de priorização
- Escalar – Lógica que escalar certos clusters em casos para investigação
As saídas limpas, aprimoradas, correlacionadas e agrupadas são então passadas para os especialistas em nossa equipe de operações de MDR para investigação e resposta.
Para dar uma ideia da escala em que fazemos isso: em um dia típico, processamos cerca de 31 bilhões de eventos e 358 milhões de detecções. Isso resulta em 367 casos que são investigados pela equipe, levando a 47 escalações e uma ameaça ativa.
Aproveitar a telemetria entre ambientes dessa maneira ajuda o Sophos MDR a detectar e neutralizar ameaças mais rapidamente do que qualquer outra pessoa. Nosso tempo médio de resposta a ameaças é de apenas 38 minutos, o que é consideravelmente mais rápido do que outros fornecedores de segurança e mais de cinco vezes mais rápido do que a equipe interna mais rápida.
Saber mais
A visibilidade é vital para interromper ataques cibernéticos avançados liderados por humanos no início da cadeia de ataque. Felizmente, toda organização já está gerando telemetria de segurança que pode ser usada por analistas qualificados para detectar e responder a ataques. O Sophos MDR aproveita esses dados, aplicando nosso processo exclusivo de fluxo de eventos de segurança e experiência humana incomparável para identificar e neutralizar rapidamente as ameaças antes que o dano seja causado.
Para saber mais sobre o Sophos MDR e como usamos as detecções entre ambientes para acelerar a resposta a ameaças, fale hoje mesmo com nossos especialistas em segurança .
do original em: https://news.sophos.com/en-us/2023/02/13/sophos-mdr-full-environment-detections-for-faster-threat-response/
