Met XDR wil Sophos expertise rond cyberveiligheid eenvoudiger en transparanter maken met slimme en duidelijke analysemogelijkheden. Hiermee wil het securityspecialisten efficiëntere tools geven zodat ze sneller gevaarlijke dreigingen kunnen detecteren en mitigeren.
Wie in de cyberveiligheidswereld thuis is, weet maar al te goed dat fabrikanten graag met afkortingen en acroniemen strooien om nieuwe functies te introduceren. Sophos is daar niet immuun voor en tekent met EDR en XDR present op de buzzword bingo.
Binnen Intercept X, de endpointoplossing van Sophos, kan je vandaag gebruik maken van EDR, kort voor Endpoint Detection and Response. Hiermee kan je dreigingen opzoeken en gebruik maken van custom SQL-queries die toegang hebben tot 90 dagen aan endpoint- en serverdata. De dienst geeft security-specialisten daarnaast ook de mogelijkheid om snel en gericht te reageren.
Sophos XDR (Extended Detection Response) doet daar nog een schep bovenop door niet alleen endpoints en servers te monitoren, maar ook de firewall, e-mail en binnenkort de cloudomgeving, smartphones en tablets.
Historische data
EDR, en bijgevolg XDR, is vaak een essentieel onderdeel voor IT securityteams om gevaren tijdig te ontdekken. Zo kan je bijvoorbeeld handig zien welke toestellen online staan in het netwerk en onbekende apparaten er direct uit halen. “We hebben vandaag veel queries ingebouwd om de werkdruk van een security-analist te verlichten”, zegt Brian Schippers, sales engineer bij Sophos.
“Omdat Sophos Central een online platform is, voegen we regelmatig nieuwe queries toe. Ook vanuit de community wanneer partners of klanten een eigen query maken, worden die gedeeld met anderen zodat zij gebruik kunnen maken van die automatisatie.”
Waar EDR vandaag toelaat om tot 90 dagen aan historische data te herbekijken voor real-time en historische analyses, voegt Sophos bij XDR nog 30 dagen aan cloudopslag toe in de Sophos Data Lake. Zo heb je zelfs wanneer een toestel offline is nog steeds toegang tot kritische data om verdachte zaken te onderzoeken. Dat is niet alleen handig wanneer een toestel verloren is of stuk gaat, maar ook wanneer een toestel offline wordt gehaald door een aanval.
Sophos ACE
Sophos XDR en EDR zijn onderdeel van het Sophos Adaptive Cybersecurity Ecosysteem (ACE). Dat is een nieuwe architectuur die aanvalsbescherming, detectie en reactie optimaliseert en gebruik maakt van automatisatie en analytics. Sophos ACE verzamelt collectief input van eigen producten, partners, klanten en ontwikkelaars om continu te verbeteren.
“API’s zijn belangrijk voor partners en klanten om beter samen te werken in één ecosysteem”, zegt Schippers. “Dat gecombineerd met onze eigen Threat Intelligence waarbij we Sophos AI, Sophos Labs en Sophos Security Operations bundelen, zorgt voor next-gen intelligentie die vandaag nodig is in een steeds meer intergeconnecteerde digitale wereld.”
API’s zijn belangrijk voor partners en klanten om beter samen te werken in één ecosysteem
Brian Schippers, Sales Engineer bij Sophos
Het real-time delen van gevaren, gezondheids- en security-informatie geeft onderdelen binnen Sophos Central de mogelijkheid om automatisch gevaren counteren. Hiermee wil de fabrikant opnieuw kostbare tijd van manuele analyse uit de handen van de securityspecialisten nemen zodat zij zich kunnen focussen op andere online gevaren.
Sophos ACE is een open platform dat sinds zijn lancering begin mei samenwerkt met diverse SOAR/SIEM-, PSA-, RMM-oplossingen.
Cloud en mobile
Vandaag haalt Sophos XDR zijn data uit endpoint, server, firewall en e-mail. In de loop van Q3 komt daar volgens Schippers ook cloud en mobile bij. “De integratie van Cloud Optix is voor ons een belangrijke volgend kwartaal. Welk bedrijf heeft vandaag geen data in de cloud staan? We willen daarom data visualiseren in AWS, Microsoft Azure en Google Cloud. Met die informatie kunnen we heel wat extra intelligentie toevoegen aan XDR.”
Met Cloud Optix krijg je een compleet beeld van je cloudomgeving door de visualisatie van cloud-assets en netwerktrafiek. Sophos Mobile voegt dan weer extra data toe van de Unified Endpoint Management (UEM)-oplossing in de Sophos data lake.
Eigen SOC of als dienst
Bedrijven die een Security Operations Center (SOC) hebben, kunnen met XDR direct aan de slag. Wie niet zo’n gespecialiseerd team heeft van security-experts om diverse redenen, kan beroep doen op een externe dienst van Sophos die het werk uit handen neemt. Via Managed Threat Response (MTR) staat er volgens Schippers de klok rond altijd een securityteam klaar voor gevaaranalyses.
“Een rapid response team neemt tijdig actie om vanop afstand potentiële gevaren te verstoren, vangen en neutraliseren. Daarna krijg de IT-afdeling binnen de organisatie een advies met verschillende actiepunten om de kern van het probleem aan te pakken om te voorkomen dat het opnieuw gebeurd.”
We plakken geen minimum bedrijfsgrootte op XDR omdat klanten ook gewoon een product op zichzelf van Sophos kunnen gebruiken.
Brian Schippers, Sales Engineer bij Sophos
Dankzij MTR wil Sophos zaken als XDR, die vaak enkel voor enterprise-klanten beschikbaar zijn met een SOC, tastbaar maken voor middelgrote bedrijven. “We plakken geen minimum bedrijfsgrootte op XDR omdat klanten ook gewoon een product op zichzelf van Sophos kunnen gebruiken. In de toekomst kunnen ze dat uitbreiden en kan er worden gekeken naar XDR. De instapdrempel is laag, aan de organisatie om te kiezen wanneer het die stap zet”, sluit Schippers af.
lees ook