索菲斯 XDR.:通过整个安全生态系统威胁狩猎

差不多十年前,赎金软件开始成为突出的消费者问题,锁定计算机和威胁使用罚款和盗窃时间,以便据说下载未经许可的软件或儿童色情内容。不久之后,网络罪犯转换为实际加密用户的赎金软件’文件,然后很快就意识到公司比消费者更具盈利的受害者。

由于技术提供者和安全公司发现了通过电子邮件,恶意下载或类似方法来阻止恶意软件的方法,恶意下载或类似方法,勒索瓶帮派’ next “big”适应正在切换到 手动部署ransomware 在违反组织之后“planting”恶意软件远远跨越他们的网络和端点。

尽管公司改善了网络卫生,一般防御和检测能力,但这种方法非常成功,即它已经变得普遍存在。

尽管如此,我相信赎金软件已成为如此大问题的主要原因是,永远不会有潜在目标和可能的受害者的短缺。

公众主要听到影响庞大的企业,政府和执法机构的赎金软件攻击,或者在医疗保健或能源等临界部门,但赎金瓶帮派在中小型公司以各种各样的平等的行业之后(尽管他们可能会要求更合理–但仍然很大– sums).

因此,关于一个(Y)组织的破旧的Maxim受到网络攻击的影响“when,” not “if,”已成为一个普遍的真理–特别是当您在混合中添加所有其他类型的网络攻击时。

每个人’一个目标,但不是每个人都必须成为受害者

捍卫者知道,防止每个攻击是不可能的,因此额外的目标是最大限度地减少攻击者’停留时间,希望能够避免最糟糕的结果。

最近参与索菲斯快速反应团队的细节涉及辩护人如何获得鞋面的一个很好的例子。

(疑似赎金瓶)攻击者受到了大型企业的损害’使用近期的Exchange服务器 Perxylogon利用在为期两周的时间内,它们窃取了域管理员帐户凭据,通过网络横向移动,受损域控制器,在多个计算机上建立立足点,部署了商业远程访问工具,以保留对其的访问,并提供恶意程序。

攻击者慢慢地移动,每天只表演少数动作,以努力在雷达下飞行,但最终,他们使用商业远程管理工具的不寻常组合是使安全产品和防守者注意到的是什么。

“它支付股息来识别积极攻击的标志,即使攻击者正在使用工具,您就是不熟悉的,”andrew Brandt,Sophos的主要研究员, 指出.

“检测到记忆中的钴罢工的推出只是一个这样的标志,并帮助客户说服了一个严重的(潜在的昂贵)攻击是积极进行的,尽管我们没有观察到攻击的许多其他常见指标,例如普遍存在在长时间的时间内使用RDP,这将出现在日志条目中。”

索菲斯 XDR.:加宽威胁狩猎的光圈

不言而喻,诸如这些之类的红旗实际上是不可能在没有正确的技术解决方案到位的情况下通知人类安全运营商。

除其他外,索菲斯的快速反应团队还有新的 索菲斯 XDR. 解决方案–一个行业 - 首先(迄今为止)扩展的检测和响应解决方案,可以同步本机终点,服务器,防火墙和电子邮件安全性。

索菲斯 XDR.从组织中收集相关的感官信息’S全部IT环境和安全生态系统,允许威胁猎人查看完整的图片并检测并检查可能否定的线索。

解决方案依赖于业界最富有的数据集:Sophos’S基于云的数据湖,主持从拦截x收集的关键信息(工作站的端点保护),拦截x for server(服务器端点保护),sophos防火墙(具有同步安全性的防火墙)和sophos电子邮件(ai-电源云电子邮件安全性)。

“在该数据湖中,我们丰富了威胁情报的收集数据(来自Sophos Intelix),我们’重新能够运行AI模型,以防止该数据驱动检测,以及一些自动化。我们向安全运营商和从业者提供信息,我们通过我们称之为现场查询的语言来实现这一点,”解释说,Sophos的首席产品官Dan Schiappa解释说。

索菲斯 XDR.威胁狩猎

测试正确

在使Sophos XDR广泛可用之前,该公司纯粹通过与它相关的API纯粹安装了早期访问计划。

“索菲斯XDR价值主张的一部分是我们不’T尝试收集每一点数据,而是只有正确的数据 - 帮助AI引擎得出结论的数据。通过使能够启用API的早期访问,我们能够微调,” Schiappa shared.

索菲斯 XDR.,Sophos EDR(已是 最近配备了 预定查询和可定制的上下文枢转功能),其其余的企业安全解决方案本质上是公司的一部分’s 自适应网络安全生态系统 (王牌),但平台也有开放的API和强大的集成,使第三方可以参与并利用它,即使他们不’t use Sophos’s products.

“他们可以将数据拉出数据湖泊,他们可以将数据提供到数据湖中。他们可以成为自动剧本的一部分,以便响应安全运营商将有洞察力,” he explained.

数据湖宿主7天EDR交付数据和30天的XDR收集的数据。还有90天的粒度数据存储在端点和服务器上,这允许用户执行查询以查看什么’S实时发生在这些设备上。

建立一个捍卫者社区

索菲斯 XDR.可以由经验丰富的安全运营商使用,但它可以使用 ’S也直观地用于那些刚刚开始这一旅程的人或是IT管理员和一家较小公司的指定安全从业者使用。

索菲斯 XDR.威胁狩猎

无论他们的专业知识,他们都可以利用Sophos创建的罐头查询’S威胁猎人,来自参加ACE的其他组织的威胁猎人创建的查询和解决方案’s查询枢轴功能。

“That’是我们的一件事’真的很兴奋:我们有一个社区论坛,客户可以发布他们发现非常有用的查询,而那些可以简单地削减和粘贴到一个’S产品。目标是利用安全从业者的专业知识并将其推进到社区中,” Schiappa added.

最后,那些简单地拒绝的人’T对SoC团队有足够的人力或能力可以将工作外包给 索菲斯管理威胁反应 服务,利用所有相同的功能。

分享这个