Sophos představil rozšířené řešení pro detekci a reakci na hrozby Sophos XDR (eXtended Detection and Response), které synchronizuje nativní zabezpečení koncových bodů, serverů, firewallů a e-mailu. Díky tomuto komplexnímu a integrovanému přístupu poskytuje Sophos XDR ucelený pohled na prostředí organizace, s nejbohatší sadou dat a hloubkovou analýzou pro detekci, vyšetřování a reakci na hrozby.
„Jsme svědky mimořádně vysokého výskytu komplexního ransomwaru a další kybernetické kriminality, takže potřeba účinného a kompletního kybernetického zabezpečení nebyla nikdy tak kriticky důležitá a naléhavá,“ řekl Dan Schiappa, produktový ředitel společnosti Sophos. „Sophos XDR je nové řešení, které mění pravidla hry a umožňuje proaktivní obranu proti nejsofistikovanějším a nejvyhýbavějším útokům, zejména těm, které ke svému průniku využívají více přístupových bodů, provádějí úhybné manévry, aby se vyhnuly detekci, a co nejrychleji způsobují co největší škody.“
Společnost Sophos zveřejnila kromě novinky XDR i nový výzkum „Intervence zastavila útok přes ProxyLogon“, který podrobně popisuje útok na velkou organizaci, jenž začal napadením Exchange serveru útočníky, kteří využili nedávný exploit ProxyLogon. Výzkum ukazuje, jak se útočníci nenápadně pohybovali v síti a během dvou týdnů ukradli přihlašovací údaje k účtům, napadli řadiče domény, zajistili si pozici na několika počítačích, instalovali komerční nástroj pro vzdálený přístup, aby si udrželi přístup k napadeným počítačům, a nasadili řadu škodlivých programů.
„Jak je vysvětleno ve studii, útočníci se vraceli opakovaně, přičemž někdy používali stejné nástroje, jindy různé na různých počítačích, například Cobalt Strike. Používali přitom komerční nástroj pro vzdálený přístup, nikoliv obvyklejší RDP, po kterém by lovci hrozeb spíše pátrali,“ uvedl Schiappa. „Studie vysvětluje komplexní povahu kybernetických útoků řízených lidmi a to, jak je pro týmy IT bezpečnosti obtížné sledovat a zvládnout vícestupňové a vícevektorové incidenty. Cíl jednoduše nemohl držet krok s útočnou aktivitou probíhající ve všech částech infrastruktury. Podle studie Stav ransomwaru v roce 2021 společnosti Sophos je tento problém častější než jen tento jeden incident. Více než 54 % dotázaných IT manažerů uvedlo, že kybernetické útoky jsou příliš pokročilé na to, aby je jejich IT týmy zvládly vlastními silami. XDR je proto kriticky důležitou součástí obrany.“
Hloubková analýza hrozeb s bohatou sadou dat
Sophos XDR rozšiřuje přehled napříč celým svým portfoliem bezpečnostních řešení nové generace a poskytuje tak detailní obraz o hrozbách. Jádrem Sophos XDR je nejbohatší sada dat v oboru. Sophos XDR nabízí dva typy uchovávání dat, včetně až 90denního uchovávání dat v zařízeních a 30denního uchovávání dat napříč produkty v cloudovém datovém úložišti typu data lake. Jedinečný přístup, spočívající ve spojení forenzní analýzy v zařízení a v datovém jezeru, poskytuje nejširší a nejhlubší kontextualizované poznatky, které mohou bezpečnostní analytici využívat prostřednictvím řešení Sophos Central a otevřených rozhraní pro programování aplikací (API) pro začlenění do systémů pro správu bezpečnostních informací a událostí (security information and event management, SIEM); bezpečnostní orchestraci, automatizaci a reakci (security orchestration, automation and response, SOAR); automatizaci profesionálních služeb (professional service automation, PSA) a systémy vzdáleného monitoringu a řízení (remote monitoring and management, RMM).
Datové jezero obsahuje kriticky důležité informace z řešení Intercept X, Intercept X for Server, Sophos Firewall a Sophos Email. Přístup do datového úložiště získají později v letošním roce také řešení Sophos Cloud Optix a Sophos Mobile. Bezpečnostní a IT týmy mohou k těmto datům snadno přistupovat a provádět vyhledávání a vyšetřování hrozeb napříč produkty a rychle studovat detailní informace o minulých i současných aktivitách útočníků. Dostupnost off-line přístupu k historickým datům navíc chrání před ztracenými nebo napadenými zařízeními.