Sophos Endpoint-Schutz mit EDR/XDR und MTR

Tim
von Tim
01:50 MIN

Bedrohungen und Angriffe im Netz sind allgegenwärtig. Sie entwickeln sich stetig weiter und werden immer komplexer und dedizierter in Unternehmensumgebungen platziert. Um Unternehmen bestmöglich  zu schützen, gibt es zahlreiche Angebote am Security-Markt. Wir stellen Ihnen heute die Sophos-Endpoint-Lösung EDR/XDR und MTR genauer vor und welche Mehrwerte Sie von dem Einsatz der Lösungen kurz- und mittelfristig erwarten können. 

Cyberkriminalität hat hier nichts zu suchen! Im Cyber-Ernstfall hat Sophos den 10-Punkte-Aktionsfall zusammengefasst. (Bild © unsplash.com)

Cyberkriminalität hat hier nichts zu suchen! Im Cyber-Ernstfall hat Sophos den 10-Punkte-Aktionsfall zusammengefasst. (Bild © momius - stock.adobe.com)

Was umfasst der Bereich Endpoint Security?

Unter den Begriff Endpoint Security fallen technische und organisatorische Maßnahmen, die die unterschiedlichen Endgeräte eines Netzwerks vor unbefugtem Zugriff oder der Ausführung schädlicher Software schützen. (Alternative Begriffe für Endpoint Security sind Endpunktsicherheit, Endgerätesicherheit, Endpunktschutz oder Endpoint Protection. )

Der Endpunktschutz stellt sicher, dass die Geräte einen definierten Sicherheitslevel erreichen und Compliance-Vorgaben einer Organisation einhalten. Zu den geschützten Geräten gehören PCs, Laptops, Smartphones, Tablets, Kassenterminals, Drucker, Scanner, Kopierer und viele andere Geräte. Geschützt werden die Endpoints beispielsweise vor Schadsoftware wie Viren oder Ransomware, vor dem Ausnutzen von Sicherheitslücken oder vor unbefugten Zugriffen über Netzwerkschnittstellen. 

Zusammen mit wichtigen Sicherheitsmaßnahmen wie zentrale Firewalls, Zugriffssteuerungen und Intrusion Detection bzw. Intrusion Prevention Systemen sorgen dezentrale Endpunktsicherheitsmaßnahmen für die Sicherheit der gesamten IT-Infrastruktur und der IT-Systeme.

Mit dem Sophos EDR/XDR (Endpoint Detection and Response) erhalten Sie u.a. mit Intercept X Advanced  einen idealen Schutz vor externen und internen Angriffen, egal ob in Form von Ransomware oder komplexen Zero-Day Exploits.

Was ist Sophos Intercept X Advanced?

Es handelt sich bei Sophos Intercept X Advanced um den Virenschutz der neuesten Generation. Sophos Intercept X Advanced stellt dabei die Erweiterung zu Intercept X dar, welche die Endpoint Protection miteinschließt. 

Welche Methoden setzt Sophos Intercept X Advanced ein? 

Die Basis bilden die klassischen Sicherheitsfunktionen wie z.B. Webfilter, Verhaltensanalysen, signaturbasierte Malware-Erkennung sowie die Erkennung von schädlichem Datenverkehr. Darüber hinaus (und um auch tatsächlich von einem Virenschutz der neuesten Generation sprechen zu können) setzt Sophos Intercept X Advanced auch Deep Learning ein, um Malware sowie Exploits zu erkennen oder eine Ursachenanalyse durchzuführen. 

Für mehr Details zu den Produkten empfehle ich die Factsheets des Herstellers Intercept X DSNA und Intercept X Mac DS

Woraus setzt sich EDR/XDR zusammen?

Die Lösung kombiniert leistungsstarke Extended Detection and Response (EDR/XDR) mit Endpoint Protection. Nutzen Sie die Funktionen entweder zum Threat Hunting, um aktive Angreifer erkennen zu können oder aber in IT-Operations, um sicherzustellen, dass Sicherheitsvorgaben durchgesetzt werden. Der Sophos Data Lake, eine zentrale Komponente von XDR, ist ein Cloud-Data-Repository. Hier lassen sich wichtige Daten von Ihren Endpoints, Servern, Firewalls und E-Mails speichern und abrufen und Geräteinformationen auswerten, selbst wenn das betroffene Geräte offline ist. Dies gilt jedoch ausschließlich für die Sophos Produktfamilie. 

Wenn Sie etwas Verdächtiges entdecken, das genauer untersucht werden soll, können Sie vom Data Lake direkt zu aktuellen Detail-Informationen und bis zu 90 Tage zurückliegenden Daten über das betroffene Gerät wechseln. Sollte tatsächlich ein Problem vorliegen, können Sie remote auf das Gerät zugreifen und Maßnahmen ergreifen wie z. B. die Deinstallation einer Anwendung und Neustart.

Wie funktioniert die Abfrage?

Wählen Sie aus einer Library vorformulierter SQL-Abfragen und führen Sie diese aus. Auf Wunsch können Sie diese Abfragen auch anpassen oder selbst formulieren, wobei alles SQL-basiert ist. Auch in der Sophos Community werden regelmäßig neue Abfragen veröffentlicht.

Wichtig: Hierzu benötigen Sie definitiv Manpower oder sogar ein eigenes SOC, da die Abfrage manuell geschieht und tiefes Know-How nicht nur im Bereich Endpoint, sondern auch in den Bereichen Microsoft und Netzwerkkommunikation von Vorteil sind.

Folgende Produkte beinhalten EDR/XDR:

Was soll ich tun, insofern ich keine Ressourcen bzw. Manpower für den Betrieb der EDR/XDR Lösung habe?

Das Sophos MTR (Managed Threat Detection and Response) ist ein 24/7 Full Managed Service Konzept, bei dem Ihnen ein Expertenteam vom Hersteller zur Seite steht und proaktiv nach Bedrohungen sucht. Bei aktiver Bedrohung werden direkt Maßnahmen ergriffen, um selbst hochkomplexe Angriffe unschädlich zu machen. Sie als Nutzer erhalten außerdem konkrete Ratschläge, um die Ursache zu identifizieren und einem erneuten Angriff nach dem gleichen Muster vorzubeugen. Die meisten erfolgreichen Angriffe beruhen auf der Ausführung eines Prozesses, der für Überwachungstools und deren Administratoren seriös erscheinen. Mithilfe von Sophos eigens entwickelter Analyseverfahren ermittelt das Expertenteam den Unterschied zwischen seriösem Verhalten und den Taktiken, Techniken und Prozessen von Angreifern. 

Zusammenfassungen der Aktivitäten jedes Falls geben Ihnen einen detaillierten Einblick in die gesamte Angriffskette und die Ratschläge des Expertenteams helfen Ihnen die richtigen Anpassungen an Ihrem Netzwerk durchzuführen. So weiß Ihr Team, welche Bedrohungen erkannt und welche Reaktionsmaßnahmen in den jeweiligen Reporting-Zeiträumen ergriffen wurden.

Was ist Sophos MTR?

Sophos MTR basiert auf der Technologie Intercept X Advanced with EDR und vereint leistungsstarkes Machine Learning mit Expertenanalysen. So erhalten Sie eine optimale Bedrohungssuche und -erkennung, eine fundierte Analyse der Warnmeldungen sowie gezielte Maßnahmen zur schnellen und vollständigen Beseitigung von Bedrohungen. 

Diese leistungsstarke Kombination aus bewährter Sophos Endpoint Protection, intelligenter EDR/XDR und hochqualifizierten Sicherheitsexperten ermöglicht dank maschinengestützter Technologie eine besonders schnelle Reaktion.

Folgende Produkte beinhalten MTR

Die wichtigsten Unterschiede

MTR-Standard

MTR-Advanced

Mehr Details über das Produkt finden Sie hier  Gerne erhalten Sie von uns ein individuelles Angebot, sprechen Sie unser Team einfach an.

Zu den Kommentaren ()