本次擴展式偵測和回應 (XDR) 解決方案,可以同步本地端點、伺服器、防火牆和電子郵件安全性。透過這種全面性的整合,Sophos XDR 可提供企業環境的整體觀點,包含最豐富的資料集,和針對威脅偵測、調查和回應的深入分析。
Sophos 產品總監 Dan Schiappa 表示:「我們看到複雜的勒索軟體和其他網路犯罪異常猖獗,我們急迫需要有效、全面性的網路安全。Sophos XDR 是一種革命性的解決方案,可以主動防禦最複雜和具躲避能力的攻擊,尤其是那些從多點入侵、橫向移動以逃避偵測並儘速造成破壞的攻擊。」
攻擊方興未艾
Sophos並發布最新研究成果《阻斷一場利用 ProxyLogon 的攻擊》,詳細介紹了一個鎖定大型企業的攻擊,攻擊者利用最近的 ProxyLogon 漏洞入侵了一部 Exchange 伺服器。研究表明,攻擊者透過網路橫向移動,並在兩週時間內竊取了帳戶憑證、入侵網域控制站並在多台機器建立據點,甚至還部署商用遠端存取工具以控制被入侵的電腦,以及散布了許多惡意程式。
Schiappa 表示:「如報告中所述,攻擊者多次返回,有時使用不同的工具,有時甚至是在不同的電腦上部署相同的工具 (例如 Cobalt Strike)。他們使用的是商用遠端存取公用程式,而不是威脅搜尋團隊一般尋找的標準性 RDP。
「該報告解釋人為操作的網路攻擊有多麼複雜,以及 IT 安全團隊難以追蹤和遏阻這種多階段、多管道的事件。受害者根本無法應付出現在企業各個部分的攻擊活動。Sophos 的《2021 年勒索軟體現況》報告指出,這個問題比上述單一事件更為嚴重。受訪企業中,超過 54% 的 IT 管理員表示網路攻擊過於先進,IT 團隊無法自行處理。XDR 是重要的防禦武器。」
具有豐富資料集的深度威脅分析
Sophos XDR 擴展了 Sophos 新一代解決方案組合的可見度,可提供對威脅的深入了解。Sophos XDR 的核心是業界最豐富的資料集。Sophos XDR 提供兩種類型的資料保留能力,包括保存在裝置上長達 90 天的資料,以及雲端資料湖中的 30 天跨產品資料。結合從裝置和資料湖進行鑑識的獨特方法,可提供最廣泛、最深入的情境化深入資訊。安全分析人員可以透過 Sophos Central 和開放式的 API 來利用這些深入資訊,將其饋入安全資訊和事件管理 (SIEM)、安全協調/自動化和回應 (SOAR)、專業服務自動化 (PSA) 以及遠程監視和管理 (RMM) 系統。
資料湖中託管了來自 Intercept X、Intercept X for Server、Sophos Firewall 和 Sophos Email 的關鍵資訊。Sophos Cloud Optix 和 Sophos Mobile 也將在今年稍晚饋入這個資料儲存庫。安全和 IT 團隊可以輕鬆使用這個資料,進行跨產品的威脅搜尋和調查,並快速取得過去和當前攻擊者活動的詳細資訊。此外即使離線亦可取得歷史資料的能力,可進一步保護遺失或被影響的裝置。
Sophos 同時發布了新版本的業界最佳端點偵測和回應產品 – Sophos EDR。新的排程查詢和可自訂的內容關聯功能,使安全分析人員和 IT 管理員能夠比以往更快、更輕鬆地準確識別、調查和回應安全問題。透過與 SophosLabs Intelix 整合,使用者可以進一步從新的內建查詢和強大的威脅情報獲益。除了 90 天的裝置上資料外,Sophos EDR 客戶還可以在資料湖中取得 7 天的雲端託管資料 (可升級到 30 天)。
英國豪華服裝零售公司 Ted Baker 的網路安全分析師 Alistair Knowles 表示:「作為全球頂級的英國時裝零售商之一,並在全球擁有數百家商店,安全是重中之重。我們致力於保護忠實客戶的資料,而這就從保護我們的網路免於進階型威脅開始。Sophos XDR 提供了珍貴的端點資料的關鍵可見度,使我們能夠在威脅造成任何損害之前偵測並加以阻止。我們可以輕鬆地在資訊大海中找到那些問題,並透過隨手可得的新舊 (歷史) 資料來確定其範圍。例如,與如 Splunk 等解決方案整合後,就可以更進一步地了解深入資訊。一旦有了消除威脅所需的證據,Sophos 的即時回應功能可以讓我們從遠端修復問題,這在當今的遠距工作環境中勢在必行。」
網路安全進化:適應性的開放式網路安全生態系統
Sophos XDR 和 EDR 是Sophos 自適應網路安全生態系統 (ACE) 的一部分,該生態系統是一種新的開放式安全架構,可最佳化威脅防禦、偵測和回應。Sophos ACE 利用自動化和分析功能,以及 Sophos 產品、合作夥伴、客戶、開發人員和其他安全產業廠商的集體投入,建立出會不斷改進的保護 – 這是一個不斷學習和進步的良性循環。
Sophos ACE 採用資料湖,將來自 Sophos 解決方案和服務中的可執行深入資訊,以及來自 SophosLabs、Sophos AI 和 Sophos Managed Threat Response團隊的威脅情報進行關聯。開放式 API 使客戶、合作夥伴和開發人員能夠打造出與能系統互動並利用現有整合功能的工具和解決方案。Sophos 透過這種方法領導業界,並且已經與許多廠商整合。
攻擊者在躲避偵測方面比以往更加聰明和出色。若要跟上他們的腳步,唯一方法是使用人工智慧技術的自動化來分析行為和事件,並對其做出更快的反應,再加上人類分析人員來關聯起多個可疑訊息並解釋其真實的含義,」Schiappa 表示。「Sophos 自適應網路安全生態系統是 Sophos 廣受讚譽的同步安全的演變,並且是解決複雜問題的最佳答案。智慧生態系統的目的是保護業務與線上環境之間的互連互通,有鑑於過去一年的現實,迫使必須立即轉換成遠距工作和雲端作業,沒有比現在更關鍵的時刻了。」