Lançamos recentemente o Sophos Network Detection and Response (NDR) e ele já oferece valor real para organizações que buscam elevar suas defesas contra invasores sofisticados e ameaças de dia zero.
O Sophos NDR monitora continuamente o tráfego de rede para detectar atividades suspeitas que podem ser indicativas de atividade do invasor, aproveitando uma combinação de aprendizado de máquina, análise avançada e técnicas de correspondência baseadas em regras.
Ele detecta uma ampla variedade de riscos de segurança, incluindo dispositivos não autorizados (dispositivos não autorizados e potencialmente mal-intencionados que se comunicam pela rede), dispositivos desprotegidos (dispositivos legítimos que podem ser usados como ponto de entrada), ameaças internas, ataques de dia zero e ameaças envolvendo dispositivos IoT e OT.
Além disso, quando combinado com outra telemetria de segurança, o Sophos NDR permite que os analistas de ameaças pintem uma imagem mais completa e precisa de todo o caminho e progressão do ataque, permitindo uma resposta mais rápida e abrangente.
O Sophos NDR é uma integração complementar para o Sophos MDR, nosso serviço gerenciado de detecção e resposta líder de mercado que hoje atende a mais de 14.000 organizações em todo o mundo. Ainda este ano, também disponibilizaremos o Sophos NDR com Sophos Extended Detection and Response (XDR) para aquelas organizações que preferem conduzir suas próprias atividades de caça a ameaças – mais sobre isso em um post futuro.
A importância da detecção e resposta da rede
A NDR é uma parte essencial de uma estratégia eficaz de defesa em profundidade. Porque? Porque a rede é o único lugar onde um adversário furtivo e comprometido não pode se esconder.
Os atacantes fazem de tudo para evitar serem detectados e a Evasão de Defesa é uma Tática MITRE ATT&CK bem conhecida no nível do sistema. As explorações podem se esconder das soluções de EDR, e os adversários podem desabilitar e excluir logs do sistema. Mas eles ainda precisam atravessar a rede.
À medida que os adversários continuam a desenvolver suas táticas, técnicas e procedimentos (TTPs) para contornar os controles de segurança, o NDR está rapidamente se tornando um imperativo de segurança.
Sophos NDR: detecção inigualável de ameaças à rede
O Sophos NDR é alimentado por cinco mecanismos de detecção de ameaças em tempo real que usam tecnologias multicamadas patenteadas para detectar até mesmo os ataques mais furtivos.
O mecanismo de detecção de dados é um mecanismo de consulta extensível que usa um modelo de previsão de aprendizado profundo para analisar o tráfego criptografado e identificar padrões em fluxos de rede não relacionados.
Deep Packet Inspection usa indicadores conhecidos de comprometimento para identificar agentes de ameaças e táticas, técnicas e procedimentos mal-intencionados no tráfego de rede criptografado e não criptografado.
Encrypted Payload Analytics detecta servidores C2 de dia zero e novas variantes de famílias de malware com base em padrões encontrados no tamanho da sessão, direção e tempos entre chegadas.
Domain Generation Algorithm identifica a tecnologia de geração de domínio dinâmico usada pelo malware para evitar a detecção.
Session Risk Analytics é um poderoso mecanismo de lógica que utiliza regras que enviam alertas com base em fatores de risco baseados em sessão.
Esses cinco mecanismos monitoram o tráfego leste-oeste (interno) e norte-sul (entrada/saída) para detectar e sinalizar anomalias indicativas de atividade de ameaça. Os alertas gerados pelo Sophos NDR incluem:
- Atividade de varredura de rede
- Sessões SSH inesperadas para sistemas nunca antes acessados
- Suspeita de atividade de sinalizadorConexões C2 suspeitas
- Comunicação em portas não padrão
- Malware presente no tráfego criptografado
- Execução codificada do PowerShell
- Volumes anormais de dados enviados
Aproveitando a telemetria Sophos NDR para interromper ameaças avançadas
A telemetria de segurança de rede é um poderoso recurso de busca de ameaças por conta própria e especialmente útil quando combinada com sinais de todo o ecossistema de segurança.
O Sophos MDR utiliza alertas da Sophos e soluções de rede, endpoint, firewall, e-mail, identidade e nuvem de terceiros para acelerar a detecção e resposta a ameaças.
Os alertas são processados por meio do Sophos MDR Detection Pipeline, onde são transformados em esquema normalizado, mapeados para a estrutura MITRE ATT&CK® e enriquecidos com inteligência de terceiros. Os alertas relacionados são agrupados em clusters que são então priorizados e escalados para especialistas em detecção para investigação e resposta.
Deixe-me orientá-lo por alguns cenários de exemplo em que o Sophos MDR aproveita a telemetria do Sophos NDR em conjunto com insights de outras tecnologias.
Cenário 1
- A solução de e-mail detecta uma mensagem contendo um anexo malicioso
- A proteção de endpoint detecta um download de arquivo suspeito
- A proteção de endpoint detecta que um processo desconhecido iniciou um shell interativo
- O Sophos NDR detecta uma conexão suspeita de Comando e Controle (C2)
- A proteção de endpoint detecta suspeita de coleta de credenciais
- Sophos NDR detecta movimento lateral suspeito usando SSH
Ao correlacionar os alertas de e-mail, endpoint e NDR, o Sophos MDR pode determinar rapidamente que provavelmente houve um ataque de phishing bem-sucedido que resultou em roubo de credenciais e movimentação lateral. Munidos dessa percepção, podemos intervir para conter, neutralizar e remediar rapidamente o ataque, minimizando o impacto.
Cenário 2
- Sophos NDR detecta um dispositivo se comunicando na rede interna
- A proteção de endpoint não tem nenhum dispositivo conhecido sob gerenciamento
A combinação de pontos de dados dessas duas tecnologias separadas nos permite identificar que há um dispositivo não gerenciado se comunicando na rede. Neste ponto, investigamos mais para determinar se é o resultado de uma violação interna da política do usuário ou de um sistema gerenciado pelo adversário e, em seguida, tomamos as medidas apropriadas.
Já está usando uma solução NDR alternativa? Sem problemas.
Entendemos que as organizações já possuem soluções de segurança implementadas. O desafio para muitas empresas é como gerenciar, interpretar e responder às informações que fornecem. Com muita frequência, falamos com equipes de TI que estão se afogando em alertas ou incapazes de digerir a complexa telemetria.
Com os pacotes de integração complementar Sophos MDR, nossos analistas podem aproveitar a telemetria das ferramentas de segurança de terceiros que você já está usando (incluindo soluções NDR da Darktrace e Thinkst Canary) para detectar e responder a ataques avançados liderados por humanos. Com nossos especialistas gerenciando suas operações de segurança, você pode elevar suas defesas e aumentar o retorno sobre seus investimentos existentes.
Saber mais
Para saber mais sobre o Sophos NDR e o Sophos MDR e os resultados superiores de segurança cibernética que nossos clientes desfrutam, marque uma ligação com um de nossos especialistas em segurança hoje mesmo. Certifique-se de verificar nosso canal da comunidade NDR também.
Se você gostaria de ouvir o que nossos clientes têm a dizer sobre o Sophos MDR, dê uma olhada nas análises independentes no Gartner Peer Insights e verifique por que somos o serviço MDR classificado nº 1 pela G2 Peer Reviews.