Sophos XDR amplia las nuevas capacidades de EDR (Endpoint Detecction and Response) para las soluciones de ciberseguridad de última generación, creando el sistema de detección y respuesta frente amenazas más completo e integrado
Sophos (LSE: SOPH), líder global en seguridad para protección de redes y endpoints, anuncia el lanzamiento de Sophos XDR, la única solución de detección y respuesta ampliada (XDR por sus siglas en inglés, extended detection and response) que sincroniza la seguridad nativa de los endopints, servidores, el Firewall y el correo electrónico. Con este enfoque global e integrado, Sophos XDR proporciona una visión integral del entorno de una organización con la suma de datos más completo y una capacidad de análisis profunda para la detección, investigación y respuesta frente amenazas.
“Estamos viendo un nivel extraordinariamente alto de ransomware complejo y otros ciberdelitos, y la necesidad de una ciberseguridad efectiva y completa nunca ha sido tan crítica y urgente”, afirma Dan Schiappa, xxxx. “Sophos XDR es una nueva solución que cambia las reglas del juego para defenderse de forma proactiva contra los ataques más sofisticados y evasivos, especialmente aquellos que aprovechan múltiples puntos de acceso para entrar, moverse lateralmente para evitar ser detectados, y hacer el mayor daño posible lo más rápido posible”.
Ataques con esteroides
Sophos también hace públicos los resultados de una nueva investigación, “Cómo la intervención detiene un ataque con ProxyLogon”, en la que detalla un ataque contra una gran empresa que comenzó cuando los atacantes comprometieron un servidor de Excange usando el exploit ProxyLogon. La investigación muestra cómo los ciberdelincuentes se movieron lateralmetne por la red y, durante un periodo de dos semanas, robaron las credenciales de las cuentas; comprometieron controladores de dominio; aseguraron un punto de apoyo en múltiples máquinas; desplegaron una herramienta comercial de acceso remoto para mantener el acceso a las maquinas vulneradas; y lanzaron varios programas maliciosos.
“Como se explica en el informe de la investigación, los atacantes volvieron en varias ocasiones, a veces con herramientas diferentes y otras para desplegar la misma herramienta, por ejemplo Cobalt Strike, en diferentes maquinas. Utilizaron una utilidad de acceso remoto comercial en lugar del RDP más común que suelen usar los atacantes” explica Schiappa. “Este informe expone la compleja naturaleza de los ciberataques dirigidos por humanos y cómo los incidentes de múltiples etapas y vectores son difíciles de rastrear y contener para los equipos de seguridad TI. El radar simplemente no podía seguir la pista de la actividad del ataque que estaba teniendo lugar en todas las partes de la red. Según el informe ‘State of Ransomware 2021’ de Sophos, el problema está extendido más allá de este incidente. Más del 54% de los responsables de TI encuestados asegura que los ciberataques son demasiado avanzados para sus equipos de tI. XDR es un componente de defensa crítico”.
Análisis profundo de amenazas con un completo conjunto de datos
Sophos XDR amplia la visibilidad del portfolio de soluciones de última generación de Sophos para obtener una imagen en profundidad de las amenazas. El núcleo de Sophos XDR es el conjunto de datos más completo del sector. Sophos XDR ofrece dos tipos de retención de datos, que incluyen el almacenamiento de datos en el dispositivo de hasta 90 días, más 30 días de retención de datos de todos los productos en el lago de datos basado en la nube. El enfoque único de combinar el análisis forense tanto en el dispositivo como en el lago de datos proporciona la información contextualizada más amplia y profunda, que pueden aprovechar los analistas de seguridad a través de la consola de gestión Sophos Central o a través de Interfaces de Programación de Aplicaciones (APIs) abiertas para la inclusión en sistemas de gestión de eventos e información de seguridad (SIEM), de orquestación, automatización y respuesta de seguridad (SOAR), de automatización de servicios profesionales (PSA) y sistemas de monitorización y gestión remota (RMM).
El lago de datos o data lake alberga información critica de Intercept X, Intercept X for Server, Sophos Firewall y Sophos Email. Sophos Cloud Optix y Sophos Mobile también se incoporarán al repositorio de datos a finales de este año. Los equipos de seguridad y TI pueden acceder facilmente a estos datos para llevar a cabo búsquedas e investigaciones sobre amenazas cruzando la información entre productos, así como profundizar rápidamente en los detalles más pequeños de la actividad pasada y presente de los atacantes. La disponibilidad de acceso sin conexión a los datos históricos protege aún más contra los dispositivos perdidos o afectados.
Sophos lanza hoy, además, una nueva versión de su solución líder en el sector de detección y respuesta de endpoint, Sophos EDR. Las nuevas consultas programadas y las capacidades de pivoteo contextual personalizables hace que los analistas de seguridad y los administradores de TI identifiquen, investigen y respondan a los incidentes de seguridad con velocidad y precisión de forma más fáil y rápida que nunca antes. Los usuarios se benefician además de las nuevas consultas preconfiguradas y de la potencia de la Threat Intelligence gracias a la integración con SophosLabs Intelix. Los clientes de Sophos EDR tienen acceso a 7 días de datos alojados en la nube (actualizables hasta 30 días) en la plataforma de datos, además de 90 días de datos acumulados en el dispositivo.
“Como una de las principales firmas de la moda británica a nivel mundial, con cientos de tiendas en todo el mundo, la seguridad es una prioridad absoluta. Estamos comprometidos con proteger los datos de nuestros clientes, y eso empieza por proteger nuestra red frente amenazas avanzadas”, comenta Alistair Knowles, analista de ciberseguridad de Ted Baker. “Sophos XDR proporciona una visibilidad crítica en la mina de oro de los valiosos datos de los endpoints, lo que nos permite detectar y detener amenazas antes de que causen ningún daño. Podemos buscar fácilmente esos incidentes que son como una aguja en un pajar y determinar su alcance con los datos nuevos y los datos históricos almacenados y a nuestro alcance. La integración con soluciones como Splunk, por ejemplo, lo lleva al siguiente nivel con conocimiento aún más profundo. Una vez que tenemos los datos forenses necesarios para neutralizar una amenaza, las capacidades de Live Response de Sophos nos permiten remediar los problemas de forma remota, algo que es imprescindible en los entornos de trabajo remoto actuales”.
Cybersecurity Evolved: Un ecosistema de ciberseguridad adaptable y abierto
Sophos XDR y EDR forman parte del ecosistema de ciberseguridad adaptable (ACE) de Sophos, una nueva arquitectura de seguridad abierta que optimiza la prevención, detección y respuesta ante amenazas. Sophos ACE aprovecha la automatización y el análisis, así como la aportación colectiva de los productos, partners, clientes, desarrolladores de Sophos y otros fabricantes del sector de la seguridad para crear una protección que mejora continuamente, un ciclo virtuoso que aprende y avanza constantemente.
Sophos ACE se basa en la plataforma de datos, correlacionando información procesable de las soluciones y servicios de Sophos, así como la Threat Intelligence de SophosLabs, Sophos AI y el equipos de Sophos Managed Threat Response. Las APIs abiertas permiten a los clientes, partners y desarrolladores crear herramientas y soluciones que interactúan con el sistema y aprovechan las integraciones existentes. Sophos lidera el sector con este enfoque y se integra ya con muchos proveedores.
“Los atacantes se están volviendo más inteligentes y mejores que nunca para evitar que los detecten. La única manera de mantener el ritmo es mediante la automatización impulsada por Inteligencia Artificial para analizar y reaccionar más rápido frente a los comportamientos y acciones, junto a la colaboración de analistas humanos para correlacionar múltiples señales sospechosas e interpretar su verdadero significado”, expone Schiappa. “El ecosistema de ciberseguridad adaptable de Sophos es una evolución del aclamado enfoque de Seguridad Sincronizada de Sophos, y una solución maravillosamente elegante para un problema complejo. El ecosistema inteligente esta diseñado para proteger la interconexión de nuestros negocios y el mundo online, y no podría llegar en un momento más crucial dadas las realidades del año pasado que forzaron cambios repentinos en el trabajo remoto y la adopción de la nube”.
Disponibilidad
Sophos XDR, así como las funciones EDR actualizadas para Intercept X Advanced with EDR e Intercept X Advanced for server with EDR estarán disponibles en todo el mundo el 19 de mayo a través de los partners de Sophos. Los partners y clientes pueden gestionar fácilmente todas las soluciones de productos XDR y EDR en la plataforma Sophos Central basada en la nube a través de una única interfaz de usuario.