正如SophosLabsUncut的文章《Lemon_DuckPowerShellmalware》所述,這類既精密又復雜的威脅包括由活躍的網絡罪犯發動的無檔案攻擊與PowerShell等管理員工具去提升權限、竊取數據和作橫向擴散。由于主動攻擊者利用了合法工具作非法勾當,讓這種攻擊變得難以偵測,而托管式威脅響應正好有助于解除此類威脅。
Sophos首席技術總監JoeLevy指出:“網絡罪犯不斷調整攻擊手法,并且越來越多的發起精心策劃的由人為互動與自動化技術結合而成的混合式攻擊。一旦有機可乘,他們就會使用“就地取材攻擊”及其他偽裝手法突襲,而這種攻擊也必須通過人為互動來發現并阻止。大多數的托管式偵測及響應(ManagedDetectionandResponse,簡稱MDR)服務只會通知客戶發現潛在威脅,任由他們自行解決問題,但是SophosMTR服務不只會為用戶內部團隊提供額外的威脅情報、獨到的產品知識及無間斷的支援,更會讓他們選擇由訓練有素的響應專家代為采取針對性行動,以解除最精密的攻擊威脅。”
SophosMTR以具備端點偵測與回應(EDR)功能的InterceptXAdvanced為基礎,結合機器學習及專家分析,提供更強效的威脅搜捕及偵測功能、更深入的警告偵查和針對性行動以解除威脅。以上的創新功能源自Sophos此前收購的RookSecurity和DarkBytes,包括:
①由專家主導的威脅搜捕:SophosMTR能夠預測攻擊者行為及識別新的攻擊與感染跡象。Sophos威脅搜捕者會主動搜捕和驗證潛在的威脅及事故,并調查偶發和相連事件,從而發現之前未被偵測過的新威脅。
②先進的敵對偵測:SophosMTR運用備受肯定的偵查技術分辨正當行為和攻擊者采用的策略、技術與流程(TTP),同時配合改良了的SophosCentral遙測功能,提供攻擊行動的詳盡資訊及全貌,進而根據受威脅影響的范疇和嚴重性迅速執行響應措施。
③機器加速人為反應:訓練有素的世界級安全專家團隊掌握各種威脅情報,并用以確認威脅,然后精確且迅速地遙距干擾、控制和解除此等威脅。
④資產發現及規范性安全健康指引:SophosMTR能夠提供關于托管與非托管資產和漏洞的見解,以便進行更全面的影響評估及威脅搜捕。而規范性的指引則有助改良設定和架構弱點,讓企業能主動地通過更嚴密的防護提升其安全態勢。
SophosMTR可根據企業各自的規模和發展成熟程度,量身定制適合的服務層與響應模式,滿足它們獨特且不斷演變的需求。有別于許多只著重于監察和威脅通知的MDR服務,SophosMTR可按照企業的偏好迅速提升保護級別,并采取行動以應對威脅。
SophosMTR現已通過Sophos的全球合作伙伴供應,詳情請參閱SophosNews或瀏覽Sophos.com。
Sophos的合作伙伴及業界分析師表示:
451Research高級資訊安全分析師AaronSherrill指出:“面對來自四方八面的精密攻擊,企業不僅需要偵測威脅,能夠快速作出響應才是關鍵。許多廠商聲稱提供響應功能,但實際上只有少數的核心托管偵測及響應(MDR)方案能采取適當行動解除威脅。Sophos結合了本身備受好評的端點防護、專家團隊及由SophosLabs提供的豐富威脅情報,創造出SophosMTR這款全新產品,正好滿足不斷增長的市場需求。”
