正如SophosLabsUncut的文章《Lemon_DuckPowerShellmalware》所述,這類既精密又復雜的威脅包括由活躍的網(wǎng)絡罪犯發(fā)動的無檔案攻擊與PowerShell等管理員工具去提升權限、竊取數(shù)據(jù)和作橫向擴散。由于主動攻擊者利用了合法工具作非法勾當,讓這種攻擊變得難以偵測,而托管式威脅響應正好有助于解除此類威脅。
Sophos首席技術總監(jiān)JoeLevy指出:“網(wǎng)絡罪犯不斷調整攻擊手法,并且越來越多的發(fā)起精心策劃的由人為互動與自動化技術結合而成的混合式攻擊。一旦有機可乘,他們就會使用“就地取材攻擊”及其他偽裝手法突襲,而這種攻擊也必須通過人為互動來發(fā)現(xiàn)并阻止。大多數(shù)的托管式偵測及響應(ManagedDetectionandResponse,簡稱MDR)服務只會通知客戶發(fā)現(xiàn)潛在威脅,任由他們自行解決問題,但是SophosMTR服務不只會為用戶內部團隊提供額外的威脅情報、獨到的產(chǎn)品知識及無間斷的支援,更會讓他們選擇由訓練有素的響應專家代為采取針對性行動,以解除最精密的攻擊威脅。”
SophosMTR以具備端點偵測與回應(EDR)功能的InterceptXAdvanced為基礎,結合機器學習及專家分析,提供更強效的威脅搜捕及偵測功能、更深入的警告?zhèn)刹楹歪槍π孕袆右越獬{。以上的創(chuàng)新功能源自Sophos此前收購的RookSecurity和DarkBytes,包括:
①由專家主導的威脅搜捕:SophosMTR能夠預測攻擊者行為及識別新的攻擊與感染跡象。Sophos威脅搜捕者會主動搜捕和驗證潛在的威脅及事故,并調查偶發(fā)和相連事件,從而發(fā)現(xiàn)之前未被偵測過的新威脅。
②先進的敵對偵測:SophosMTR運用備受肯定的偵查技術分辨正當行為和攻擊者采用的策略、技術與流程(TTP),同時配合改良了的SophosCentral遙測功能,提供攻擊行動的詳盡資訊及全貌,進而根據(jù)受威脅影響的范疇和嚴重性迅速執(zhí)行響應措施。
③機器加速人為反應:訓練有素的世界級安全專家團隊掌握各種威脅情報,并用以確認威脅,然后精確且迅速地遙距干擾、控制和解除此等威脅。
④資產(chǎn)發(fā)現(xiàn)及規(guī)范性安全健康指引:SophosMTR能夠提供關于托管與非托管資產(chǎn)和漏洞的見解,以便進行更全面的影響評估及威脅搜捕。而規(guī)范性的指引則有助改良設定和架構弱點,讓企業(yè)能主動地通過更嚴密的防護提升其安全態(tài)勢。
SophosMTR可根據(jù)企業(yè)各自的規(guī)模和發(fā)展成熟程度,量身定制適合的服務層與響應模式,滿足它們獨特且不斷演變的需求。有別于許多只著重于監(jiān)察和威脅通知的MDR服務,SophosMTR可按照企業(yè)的偏好迅速提升保護級別,并采取行動以應對威脅。
SophosMTR現(xiàn)已通過Sophos的全球合作伙伴供應,詳情請參閱SophosNews或瀏覽Sophos.com。
Sophos的合作伙伴及業(yè)界分析師表示:
451Research高級資訊安全分析師AaronSherrill指出:“面對來自四方八面的精密攻擊,企業(yè)不僅需要偵測威脅,能夠快速作出響應才是關鍵。許多廠商聲稱提供響應功能,但實際上只有少數(shù)的核心托管偵測及響應(MDR)方案能采取適當行動解除威脅。Sophos結合了本身備受好評的端點防護、專家團隊及由SophosLabs提供的豐富威脅情報,創(chuàng)造出SophosMTR這款全新產(chǎn)品,正好滿足不斷增長的市場需求。”
