Sophos acaba de lanzar Sophos XDR, la única solución de detección y respuesta ampliada (XDR por sus siglas en inglés, extended detection and response) que sincroniza la seguridad nativa de los endopints, servidores, el Firewall y el correo electrónico. Con este enfoque global e integrado, Sophos XDR proporciona una visión integral del entorno de una organización con la suma de datos más completo y una capacidad de análisis profunda para la detección, investigación y respuesta frente amenazas.
“Estamos viendo un nivel extraordinariamente alto de ransomware complejo y otros ciberdelitos, y la necesidad de una ciberseguridad efectiva y completa nunca ha sido tan crítica y urgente”, afirma Dan Schiappa, “Sophos XDR es una nueva solución que cambia las reglas del juego para defenderse de forma proactiva contra los ataques más sofisticados y evasivos, especialmente aquellos que aprovechan múltiples puntos de acceso para entrar, moverse lateralmente para evitar ser detectados, y hacer el mayor daño posible lo más rápido posible”.
Índice de temas
Ataques con esteroides
Sophos también hace públicos los resultados de una nueva investigación, “Cómo la intervención detiene un ataque con ProxyLogon”, en la que detalla un ataque contra una gran empresa que comenzó cuando los atacantes comprometieron un servidor de Excange usando el exploit ProxyLogon. La investigación muestra cómo los ciberdelincuentes se movieron lateralmente por la red y, durante un periodo de dos semanas, robaron las credenciales de las cuentas; comprometieron controladores de dominio; aseguraron un punto de apoyo en múltiples máquinas; desplegaron una herramienta comercial de acceso remoto para mantener el acceso a las maquinas vulneradas; y lanzaron varios programas maliciosos.
“Como se explica en el informe de la investigación, los atacantes volvieron en varias ocasiones, a veces con herramientas diferentes y otras para desplegar la misma herramienta, por ejemplo Cobalt Strike, en diferentes maquinas. Utilizaron una utilidad de acceso remoto comercial en lugar del RDP más común que suelen usar los atacantes”explica Schiappa. “Este informe expone la compleja naturaleza de los ciberataques dirigidos por humanos y cómo los incidentes de múltiples etapas y vectores son difíciles de rastrear y contener para los equipos de seguridad TI. El radar simplemente no podía seguir la pista de la actividad del ataque que estaba teniendo lugar en todas las partes de la red. Según el informe ‘State of Ransomware 2021’ de Sophos, el problema está extendido más allá de este incidente. Más del 54% de los responsables de TI encuestados asegura que los ciberataques son demasiado avanzados para sus equipos de tI. XDR es un componente de defensa crítico”.
Análisis profundo de amenazas con un completo conjunto de datos
Sophos XDR amplia la visibilidad del portfolio de soluciones de última generación de Sophos para obtener una imagen en profundidad de las amenazas. El núcleo de Sophos XDR es el conjunto de datos más completo del sector. Sophos XDR ofrece dos tipos de retención de datos, que incluyen el almacenamiento de datos en el dispositivo de hasta 90 días, más 30 días de retención de datos de todos los productos en el lago de datos basado en la nube. El enfoque único de combinar el análisis forense tanto en el dispositivo como en el lago de datos proporciona la información contextualizada más amplia y profunda, que pueden aprovechar los analistas de seguridad a través de la consola de gestión Sophos Central o a través de Interfaces de Programación de Aplicaciones (APIs) abiertas para la inclusión en sistemas de gestión de eventos e información de seguridad (SIEM), de orquestación, automatización y respuesta de seguridad (SOAR), de automatización de servicios profesionales (PSA) y sistemas de monitorización y gestión remota (RMM).
El lago de datos o data lake alberga información critica de Intercept X, Intercept X for Server, Sophos Firewall y Sophos Email. Sophos Cloud Optix y Sophos Mobile también se incoporarán al repositorio de datos a finales de este año. Los equipos de seguridad y TI pueden acceder facilmente a estos datos para llevar a cabo búsquedas e investigaciones sobre amenazas cruzando la información entre productos, así como profundizar rápidamente en los detalles más pequeños de la actividad pasada y presente de los atacantes. La disponibilidad de acceso sin conexión a los datos históricos protege aún más contra los dispositivos perdidos o afectados.
Sophos lanza hoy, además, una nueva versión de su solución líder en el sector de detección y respuesta de endpoint, Sophos EDR. Las nuevas consultas programadas y las capacidades de pivoteo contextual personalizables hace que los analistas de seguridad y los administradores de TI identifiquen, investigen y respondan a los incidentes de seguridad con velocidad y precisión de forma más fáil y rápida que nunca antes. Los usuarios se benefician además de las nuevas consultas preconfiguradas y de la potencia de la Threat Intelligence gracias a la integración con SophosLabs Intelix. Los clientes de Sophos EDR tienen acceso a 7 días de datos alojados en la nube (actualizables hasta 30 días) en la plataforma de datos, además de 90 días de datos acumulados en el dispositivo.
“Como una de las principales firmas de la moda británica a nivel mundial, con cientos de tiendas en todo el mundo, la seguridad es una prioridad absoluta. Estamos comprometidos con proteger los datos de nuestros clientes, y eso empieza por proteger nuestra red frente amenazas avanzadas”, comenta Alistair Knowles, analista de ciberseguridad de Ted Baker. “Sophos XDR proporciona una visibilidad crítica en la mina de oro de los valiosos datos de los endpoints, lo que nos permite detectar y detener amenazas antes de que causen ningún daño. Podemos buscar fácilmente esos incidentes que son como una aguja en un pajar y determinar su alcance con los datos nuevos y los datos históricos almacenados y a nuestro alcance. La integración con soluciones como Splunk, por ejemplo, lo lleva al siguiente nivel con conocimiento aún más profundo. Una vez que tenemos los datos forenses necesarios para neutralizar una amenaza, las capacidades de Live Response de Sophos nos permiten remediar los problemas de forma remota, algo que es imprescindible en los entornos de trabajo remoto actuales”.
