正如SophosLabsUncut的文章《Lemon_DuckPowerShellmalware》所述,这类既精密又复杂的威胁包括由活跃的网络罪犯发动的无档案攻击与PowerShell等管理员工具去提升权限、窃取数据和作横向扩散。由于主动攻击者利用了合法工具作非法勾当,让这种攻击变得难以侦测,而托管式威胁响应正好有助于解除此类威胁。
Sophos首席技术总监JoeLevy指出:“网络罪犯不断调整攻击手法,并且越来越多的发起精心策划的由人为互动与自动化技术结合而成的混合式攻击。一旦有机可乘,他们就会使用“就地取材攻击”及其他伪装手法突袭,而这种攻击也必须通过人为互动来发现并阻止。大多数的托管式侦测及响应(ManagedDetectionandResponse,简称MDR)服务只会通知客户发现潜在威胁,任由他们自行解决问题,但是SophosMTR服务不只会为用户内部团队提供额外的威胁情报、独到的产品知识及无间断的支援,更会让他们选择由训练有素的响应专家代为采取针对性行动,以解除最精密的攻击威胁。”
SophosMTR以具备端点侦测与回应(EDR)功能的InterceptXAdvanced为基础,结合机器学习及专家分析,提供更强效的威胁搜捕及侦测功能、更深入的警告侦查和针对性行动以解除威胁。以上的创新功能源自Sophos此前收购的RookSecurity和DarkBytes,包括:
①由专家主导的威胁搜捕:SophosMTR能够预测攻击者行为及识别新的攻击与感染迹象。Sophos威胁搜捕者会主动搜捕和验证潜在的威胁及事故,并调查偶发和相连事件,从而发现之前未被侦测过的新威胁。
②先进的敌对侦测:SophosMTR运用备受肯定的侦查技术分辨正当行为和攻击者采用的策略、技术与流程(TTP),同时配合改良了的SophosCentral遥测功能,提供攻击行动的详尽资讯及全貌,进而根据受威胁影响的范畴和严重性迅速执行响应措施。
③机器加速人为反应:训练有素的世界级安全专家团队掌握各种威胁情报,并用以确认威胁,然后精确且迅速地遥距干扰、控制和解除此等威胁。
④资产发现及规范性安全健康指引:SophosMTR能够提供关于托管与非托管资产和漏洞的见解,以便进行更全面的影响评估及威胁搜捕。而规范性的指引则有助改良设定和架构弱点,让企业能主动地通过更严密的防护提升其安全态势。
SophosMTR可根据企业各自的规模和发展成熟程度,量身定制适合的服务层与响应模式,满足它们独特且不断演变的需求。有别于许多只着重于监察和威胁通知的MDR服务,SophosMTR可按照企业的偏好迅速提升保护级别,并采取行动以应对威胁。
SophosMTR现已通过Sophos的全球合作伙伴供应,详情请参阅SophosNews或浏览Sophos.com。
Sophos的合作伙伴及业界分析师表示:
451Research高级资讯安全分析师AaronSherrill指出:“面对来自四方八面的精密攻击,企业不仅需要侦测威胁,能够快速作出响应才是关键。许多厂商声称提供响应功能,但实际上只有少数的核心托管侦测及响应(MDR)方案能采取适当行动解除威胁。Sophos结合了本身备受好评的端点防护、专家团队及由SophosLabs提供的丰富威胁情报,创造出SophosMTR这款全新产品,正好满足不断增长的市场需求。”
