Sophos baut Endpoint Detection and Response (EDR) mit neuer Version aus

Sophos Intercept X with EDR bietet branchenweit erstmals Live-Erkennungs- und Reaktionsfähigkeiten für Securtiy-Analysten und IT-Administratoren.

Die SophosLabs erkannten, dass das Kingminer Botnet jetzt auch den EternalBlue Exploit für die Verbreitung von Malware nutz – die neue EDR-Engine erkennt Anzeichen einer Kompromittierung.

Sophos stellt die aktualisierte Version seiner Endpoint Detection and Response (EDR)-Lösung vor. Sophos EDR richtet sich an Security-Analysten und IT-Administratoren und ist ab sofort in Sophos Intercept X Advanced with EDR und Intercept X Advanced for Server with EDR integriert. Bedeutende Weiterentwicklungen und neue Funktionen ermöglichen es Security-Analysten, Bedrohungen schneller und einfacher zu identifizieren und zu neutralisieren. So kann aktiv ein sicherer IT-Betrieb aufrechterhalten und das Risiko reduziert werden.

Sophos Studie bestätigt Notwendigkeit von Threat Intelligence

Zudem hat Sophos die neue Studie „An Insider View into the Increasingly Complex Kingminer Botnet“ veröffentlicht. Die Studie bestätigt das Einbeziehen von Servern bei Angriffen und die Bedeutung von Threat Intelligence bei der Erkennung solcher Aktivitäten. Das Kingminer-Botnet versucht in Server einzudringen, indem es Anmeldedaten via Brute-Forcing identifiziert. Sophos hat nun herausgefunden, dass das Botnet den EternalBlue Exploit nutzt, um neben anderen Angriffsmechanismen auch Malware zu verbreiten. Die neue Version von Sophos EDR bietet eine benutzerdefinierte Query Engine und ermöglicht damit das Erkennen von Anzeichen einer Kompromittierung.

„Während Unternehmen zunehmend in die Cloud wechseln und das Remote-Arbeiten ermöglichen, erhöhen Cyberkriminelle den Einsatz und schrecken vor nichts zurück, um aus den erweiterten Angriffsflächen Kapital zu schlagen. Server und andere Endpoints sind oft unzureichend geschützt, wodurch Schlupflöcher entstehen, die von Angreifern ausgenutzt werden“, sagt Dan Schiappa, Chief Product Officer bei Sophos. „Sophos EDR identifiziert diese Angriffe, verhindert Attacken und bringt Licht in ansonsten dunkle Bereiche. Live-Abfragen, die nur in Sophos Intercept X with EDR verfügbar sind, ermöglichen es, nach Indikatoren einer Kompromittierung zu suchen und den aktuellen Systemstatus zu ermitteln. Dieses Maß an Information ist entscheidend, um das wechselnde Verhalten der Angreifer zu verstehen und die Verweildauer zu verkürzen.“

Neue EDR Kernfunktionen

Sophos EDR bietet jetzt einen Überblick über das gesamte Unternehmen. Es ermöglicht Security- und IT-Experten, Fragen in Bezug auf kritische Bedrohungen und auf den sicheren IT-Betrieb schnell und einfach zu beantworten. Zu den neuen Funktionen gehören:

Live Discover: Erkennt vergangene und aktuelle Aktivitäten und speichert die Daten bis zu 90 Tage. Sofort einsatzbereite SQL-Abfragen ermöglichen es Fragen zur Bedrohungssuche und IT zu beantworten. Sie können aus einer Bibliothek mit vordefinierten Optionen ausgewählt und von Benutzern vollständig angepasst werden. Diese flexible Query Engine bietet Zugriff auf hoch detaillierte Aufzeichnungen über Endpoint-Aktivitäten, die mit der Sophos Deep-Learning-Technologie kontinuierlich aktualisiert werden.

Live Response: Remote-Reaktion und Fernzugriff auf Endpunkte und Server über eine Command-Line-Schnittstelle, um weitere Untersuchungen durchzuführen und Probleme zu beheben. Dazu gehören einfaches Neustarten von Geräten, Installieren und Deinstallieren von Software, Beenden aktiver Prozesse, Ausführen von Skripts, Bearbeiten von Konfigurationsdateien, Ausführen forensischer Tools, Isolieren von Rechnern und mehr.

Sophos EDR basiert auf dem neuronalen Deep-Learning-Netzwerk von Sophos, das anhand von Hunderten von Millionen Beispielen und Bedrohungsindikatoren geschult ist. Security-Analysten und IT-Administratoren erhalten außerdem On-Demand-Zugriff auf Bedrohungsinformationen aus den SophosLabs, die täglich mehr als 400.000 Malware-Samples verfolgen, zerlegen und analysieren. 

Verfügbarkeit

Sophos Intercept X Advanced with EDR und Intercept X Advanced for Server mit EDR steht ab sofort und ohne zusätzliche Kosten zur Verfügung. Sophos EDR unterstützt Windows, MacOS und Linux. Die neuen Funktionen Live Discover und Live Response lassen sich einfach im Threat-Analysecenter auf der Cloud-basierten Plattform Sophos Central verwalten, um Informationen in Echtzeit mit dem gesamten Portfolio an Next Generation Cyber-Sicherheitslösungen von Sophos über den Synchronized Security-Ansatz auszutauschen. In Kombination mit Sophos Managed Threat Response (MTR), einem Dienst zur Bedrohungssuche, -erkennung und -bewältigung, können Unternehmen ihre Schutz durch Analysen von Experten erweitern und damit eine zusätzliche proaktive Schutzstrategie verfolgen.

429