Blue team
O Sophos XDR permite ampliar novas capacidades de XDR a soluções de cibersegurança de próxima geração, criando um dos sistemas de deteção e resposta a ameaças mais abrangente e integrado do mercado
06/05/2021
A Sophos anunciou o Sophos XDR, que, segundo a própria empresa, é a única solução de deteção e resposta ampliadas (XDR) no mercado que sincroniza o endpoint, o servidor, a firewall e a segurança de email de forma nativa. Através desta abordagem abrangente e integrada, o Sophos XDR oferece uma visão holística do ambiente de uma organização, com o conjunto de dados mais rico e uma análise profunda para a deteção, investigação e resposta a ameaças. “Verificámos um nível extraordinariamente elevado de complexidade no ransomware e outros cibercrimes, pelo que a necessidade de contar com uma cibersegurança eficaz e abrangente nunca foi tão crítica ou urgente”, comentou Dan Schiappa, Chief Product Officer da Sophos. “O Sophos XDR é uma nova e inovadora solução que aplica uma defesa proativa contra os ataques mais sofisticados e evasivos, especialmente aqueles que tiram partido de múltiplos pontos de acesso para conseguir infiltrar-se, que se deslocam lateralmente para evitar a deteção, e que causam o máximo de danos o mais rapidamente possível”. A Sophos publicou também uma nova investigação, “Intervention halts a ProxyLogon-enabled attack”, que explica em detalhe um ataque contra uma grande organização, que começou com o comprometimento de um servidor Exchange através da utilização do recente exploit ProxyLogon. A investigação demonstra como os atacantes se deslocaram lateralmente através da rede e, ao longo de um período de duas semanas, roubaram credenciais de acesso; comprometeram controladores de domínio; asseguraram o controlo de diversas máquinas; implementaram uma ferramenta comercial de acesso remoto para manter o acesso às máquinas que hackearam; e instalaram diversos programas maliciosos. “Tal como explicámos no relatório da investigação, os atacantes regressaram repetidamente, umas vezes com ferramentas diferentes e outras vezes para implementar a mesma ferramenta, como o Cobalt Strike, em diferentes máquinas. Utilizaram um serviço comercial de acesso remoto, em vez do RDP mais comum e de que os threat hunters naturalmente estariam à procura”, explicou Schiappa. “Este relatório detalha a natureza complexa dos ciberataques levados a cabo por humanos, e como os incidentes com múltiplas fases e múltiplos vetores são difíceis de monitorizar e conter pelas equipas de TI. Este alvo simplesmente não pôde acompanhar o ataque, que ocorria em todas as partes do seu ambiente. Segundo o estudo The State of Ransomware 2021 da Sophos, este problema vai muito além deste incidente isolado. Mais de 54% dos gestores de TI inquiridos afirmou que os ciberataques são demasiado avançados para que as suas equipas possam lidar com eles sem ajuda. O XDR é um componente de defesa essencial”. O Sophos XDR amplia a visibilidade sobre o portfólio de soluções de próxima geração da Sophos, de forma a obter uma imagem mais aprofundada das ameaças. No cerne do Sophos XDR está o conjunto de dados mais rico do mercado. O Sophos XDR oferece dois tipos de retenção de dados, incluindo dados nos dispositivos até 90 dias, e 30 dias adicionais de dados cruzados entre produtos no data lake baseado na Cloud. Esta abordagem exclusiva que combina os dados nos dispositivos e no data lake proporciona os conhecimentos contextualizados mais amplos e mais profundos, e de que os analistas de segurança podem tirar partido através da Sophos Central e de interfaces abertas de programação de aplicações (APIs) para aplicar depois nos sistemas de informação de segurança e gestão de ocorrências (SIEM, na sua sigla em inglês); de coordenação, automação e resposta de segurança (SOAR, na sua sigla em inglês); de automação de serviços profissionais (PSA, na sua sigla em inglês); e de monitorização e gestão remotas (RMM, na sua sigla em inglês). O data lake aloja informação crítica proveniente do Intercept X, Intercept X for Server, Sophos Firewall e Sophos Email. Ainda este ano, também o Sophos Cloud Optix e o Sophos Mobile passarão a fornecer dados ao repositório. As equipas de segurança e de TI podem aceder facilmente a estes dados para levar a cabo threat hunts e investigações cruzadas entre produtos, e para analisar rapidamente detalhes granulares da atividade passada e presente dos atacantes. A disponibilização de acesso offline ao histórico de dados representa uma proteção adicional contra dispositivos perdidos ou afetados. Adicionalmente, a Sophos lançou também uma nova versão do Sophos EDR – a sua ferramenta de deteção e resposta a ameaças de endpoint líder de mercado. Novas consultas agendadas e capacidades dinâmicas contextuais personalizáveis fazem com que seja mais fácil e rápido do que nunca para os analistas de segurança e gestores de TI identificar, investigar e dar resposta a incidentes de segurança com rapidez e precisão. Os utilizadores beneficiam ainda de novas consultas pré-configuradas e poderosos conhecimentos sobre ameaças através da integração com o SophosLabs Intelix. Os clientes Sophos EDR podem aceder a dados alojados no data lake na Cloud por sete dias (atualizável para 30 dias), para além dos dados nos dispositivos durante 90 dias. “Sendo uma das mais importantes marcas de retalho britânicas, com centenas de lojas em todo o mundo, a segurança é uma das nossas prioridades de topo. Estamos empenhados na proteção dos dados dos nossos fiéis clientes, e ela começa pela proteção das nossas redes contra ameaças avançadas”, comentou Alistair Knowles, Cyber Security Analyst da Ted Baker. “O Sophos XDR proporciona visibilidade essencial sobre uma ‘mina de ouro’ de valiosos dados do endpoint, permitindo-nos detetar e deter as ameaças antes que estas causem quaisquer danos. Podemos procurar facilmente aqueles incidentes que são como ‘agulhas no palheiro’ e determinar o seu alcance, dispondo de dados novos e antigos na ponta dos nossos dedos. A integração com soluções como o Splunk, por exemplo, leva-nos ao nível seguinte, com conhecimentos ainda mais profundos. Assim que dispomos dos dados necessários para neutralizar uma ameaça, as capacidades de Live Response da Sophos permitem-nos resolver as situações de forma remota, algo imperativo no contexto atual de teletrabalho”. Os Sophos XDR e EDR fazem parte do ecossistema de cibersegurança adaptativo (ACE, na sua sigla em inglês) da Sophos, uma nova e aberta arquitetura de segurança que otimiza a prevenção, deteção e resposta a ameaças. O Sophos ACE tira partido da automação e da análise, bem como do contributo coletivo dos produtos, parceiros, clientes e programadores da Sophos e de outros fornecedores de segurança do mercado, para criar uma proteção que melhora constantemente – um ciclo virtuoso que está sempre a aprender e a progredir. O Sophos ACE baseia-se no data lake, em conhecimentos práticos correlacionados provenientes dos serviços e soluções Sophos, bem como em inteligência sobre ameaças proporcionada pelas equipas SophosLabs, Sophos AI e Sophos Managed Threat Response. As interfaces abertas de programação de aplicações (APIs) permitem aos clientes, parceiros e programadores construir ferramentas e soluções que interagem com o sistema e tirar partido das integrações existentes. “Os atacantes estão a tornar-se mais inteligentes e melhores do que nunca a evitar a deteção. A única forma de os acompanhar é através da automação habilitada por IA para analisar e reagir mais rapidamente a comportamentos e eventos, juntamente com analistas humanos para correlacionar diversos sinais suspeitos e interpretar o seu verdadeiro significado”, afirmou Schiappa. “O ecossistema adaptativo de cibersegurança da Sophos é uma evolução da sua aclamada abordagem de segurança sincronizada, e uma solução bela e elegante para um problema complexo. O ecossistema inteligente está concebido para proteger a interconectividade das nossas empresas e do mundo online, e não poderia chegar num momento mais crucial, tendo em conta a realidade do último ano, que forçou mudanças súbitas no trabalho remoto e na adoção da cloud”. O Sophos XDR, bem como as capacidades de EDR atualizadas para o Intercept X Advanced with EDR e o Intercept X Advanced for Server with EDR, estarão disponíveis em todo o mundo a 19 de maio através dos parceiros da Sophos. |