Cyberkriminalität hat hier nichts zu suchen! Im Cyber-Ernstfall hat Sophos den 10-Punkte-Aktionsfall zusammengefasst. (Bild © momius - stock.adobe.com)
Was umfasst der Bereich Endpoint Security?
Unter den Begriff Endpoint Security fallen technische und organisatorische Maßnahmen, die die unterschiedlichen Endgeräte eines Netzwerks vor unbefugtem Zugriff oder der Ausführung schädlicher Software schützen. (Alternative Begriffe für Endpoint Security sind Endpunktsicherheit, Endgerätesicherheit, Endpunktschutz oder Endpoint Protection. )
Der Endpunktschutz stellt sicher, dass die Geräte einen definierten Sicherheitslevel erreichen und Compliance-Vorgaben einer Organisation einhalten. Zu den geschützten Geräten gehören PCs, Laptops, Smartphones, Tablets, Kassenterminals, Drucker, Scanner, Kopierer und viele andere Geräte. Geschützt werden die Endpoints beispielsweise vor Schadsoftware wie Viren oder Ransomware, vor dem Ausnutzen von Sicherheitslücken oder vor unbefugten Zugriffen über Netzwerkschnittstellen.
Zusammen mit wichtigen Sicherheitsmaßnahmen wie zentrale Firewalls, Zugriffssteuerungen und Intrusion Detection bzw. Intrusion Prevention Systemen sorgen dezentrale Endpunktsicherheitsmaßnahmen für die Sicherheit der gesamten IT-Infrastruktur und der IT-Systeme.
Mit dem Sophos EDR/XDR (Endpoint Detection and Response) erhältst du u.a. mit Intercept X Advanced einen idealen Schutz vor externen und internen Angriffen, egal ob in Form von Ransomware oder komplexen Zero-Day Exploits.
Was ist Sophos Intercept X Advanced?
Es handelt sich bei Sophos Intercept X Advanced um den Virenschutz der neuesten Generation. Sophos Intercept X Advanced stellt dabei die Erweiterung zu Intercept X dar, welche die Endpoint Protection miteinschließt.
Welche Methoden setzt Sophos Intercept X Advanced ein?
Die Basis bilden die klassischen Sicherheitsfunktionen wie z.B. Webfilter, Verhaltensanalysen, signaturbasierte Malware-Erkennung sowie die Erkennung von schädlichem Datenverkehr. Darüber hinaus (und um auch tatsächlich von einem Virenschutz der neuesten Generation sprechen zu können) setzt Sophos Intercept X Advanced auch Deep Learning ein, um Malware sowie Exploits zu erkennen oder eine Ursachenanalyse durchzuführen.
Für mehr Details zu den Produkten empfehle ich die Factsheets des Herstellers Intercept X DSNA und Intercept X Mac DS
Woraus setzt sich EDR/XDR zusammen?
Die Lösung kombiniert leistungsstarke Extended Detection and Response (EDR/XDR) mit Endpoint Protection. Nutze die Funktionen entweder zum Threat Hunting, um aktive Angreifer erkennen zu können oder aber in IT-Operations, um sicherzustellen, dass Sicherheitsvorgaben durchgesetzt werden. Der Sophos Data Lake, eine zentrale Komponente von XDR, ist ein Cloud-Data-Repository. Hier lassen sich wichtige Daten von deinen Endpoints, Servern, Firewalls und E-Mails speichern und abrufen und Geräteinformationen auswerten, selbst wenn das betroffene Geräte offline ist. Dies gilt jedoch ausschließlich für die Sophos Produktfamilie.
Wenn du etwas Verdächtiges entdeckst, das genauer untersucht werden soll, kannst du vom Data Lake direkt zu aktuellen Detail-Informationen und bis zu 90 Tage zurückliegenden Daten über das betroffene Gerät wechseln. Sollte tatsächlich ein Problem vorliegen, kannst du remote auf das Gerät zugreifen und Maßnahmen ergreifen wie z. B. die Deinstallation einer Anwendung und Neustart.
Wie funktioniert die Abfrage?
Wähle aus einer Library vorformulierter SQL-Abfragen und führe diese aus. Auf Wunsch kannst du diese Abfragen auch anpassen oder selbst formulieren, wobei alles SQL-basiert ist. Auch in der Sophos Community werden regelmäßig neue Abfragen veröffentlicht.
Wichtig: Hierzu benötigst du definitiv Manpower oder sogar ein eigenes SOC, da die Abfrage manuell geschieht und tiefes Know-How nicht nur im Bereich Endpoint, sondern auch in den Bereichen Microsoft und Netzwerkkommunikation von Vorteil sind.
Folgende Produkte beinhalten EDR/XDR:
- Sophos Central Intercept X Advanced with EDR/XDR (Für Endpoints)
- Sophos Central Intercept X Advanced for Server with EDR/XDR (Für Server)
Was soll ich tun, insofern ich keine Ressourcen bzw. Manpower für den Betrieb der EDR/XDR Lösung habe?
Das Sophos MTR (Managed Threat Detection and Response) ist ein 24/7 Managed Service Konzept, bei dem dir ein Expertenteam vom Hersteller zur Seite steht und proaktiv nach Bedrohungen sucht. Bei aktiver Bedrohung werden direkt Maßnahmen ergriffen, um selbst hochkomplexe Angriffe unschädlich zu machen. Du als Nutzer erhältst außerdem konkrete Ratschläge, um die Ursache zu identifizieren und einem erneuten Angriff nach dem gleichen Muster vorzubeugen. Die meisten erfolgreichen Angriffe beruhen auf der Ausführung eines Prozesses, der für Überwachungstools und deren Administratoren seriös erscheinen. Mithilfe von Sophos eigens entwickelter Analyseverfahren ermittelt das Expertenteam den Unterschied zwischen seriösem Verhalten und den Taktiken, Techniken und Prozessen von Angreifern.
Zusammenfassungen der Aktivitäten jedes Falls geben dir einen detaillierten Einblick in die gesamte Angriffskette und die Ratschläge des Expertenteams helfen ihnen die richtigen Anpassungen an ihrem Netzwerk durchzuführen. So weiß ihr Team, welche Bedrohungen erkannt und welche Reaktionsmaßnahmen in den jeweiligen Reporting-Zeiträumen ergriffen wurden.
Was ist Sophos MTR?
Sophos MTR basiert auf der Technologie Intercept X Advanced with EDR und vereint leistungsstarkes Machine Learning mit Expertenanalysen. So erhalten Sie eine optimale Bedrohungssuche und -erkennung, eine fundierte Analyse der Warnmeldungen sowie gezielte Maßnahmen zur schnellen und vollständigen Beseitigung von Bedrohungen.
Diese leistungsstarke Kombination aus bewährter Sophos Endpoint Protection, intelligenter EDR/XDR und hochqualifizierten Sicherheitsexperten ermöglicht dank maschinengestützter Technologie eine besonders schnelle Reaktion.
Folgende Produkte beinhalten MTR
- Sophos Central Intercept X Advanced with EDR and MTR Standard
- Sophos Central Intercept X Advanced with EDR and MTR Advanced
- Sophos Central Intercept X Advanced for Server with EDR and MTR Standard
- Sophos Central Intercept X Advanced for Server with EDR and MTR Advanced
Die wichtigsten Unterschiede
MTR-Standard
- Indizienbasierte Suche (Bedeutet, dass du hier mitwirken und die Bedrohungsexperten von Sophos informieren musst, sobald etwas auffälliges vorliegt)
- Kein dedizierter Ansprechpartner bei Sophos
MTR-Advanced
- 24x7 indizienlose Bedrohungssuche (Bedeutet, dass Sie hier wirklich nur reaktiv bleiben und Sophos selbst alle Daten von ihnen überprüft)
- Dedizierter Ansprechpartner bei Sophos
- Direkter Telefon-Support
- Proaktive Verbesserung des Sicherheitsstatus (Erhalten von Hilfestellungen zur Behebung von Konfigurations- und Architektur-Schwachstellen)
Mehr Details über das Produkt finden Siehier Gerne erhalten Sie von uns ein individuelles Angebot, sprechen Sie unser Team einfach an.