Όταν η Sophos ξεκίνησε να αναπτύσσει τη δική της λύση extended detection & response (XDR) εστίασε σε ένα βασικό μάντρα: αν θέλεις το καλύτερο XDR, χρειάζεσαι τα καλύτερα δεδομένα.
Το Sophos XDR χρησιμοποιεί ως κινητήριο δύναμη τα δεδομένα. Παρέχει τα πιο ολοκληρωμένα και υψηλής ακρίβειας δεδομένα σε πολλαπλές διαστάσεις για την μεγαλύτερης ακρίβειας ανίχνευση, διερεύνηση και ανταπόκριση απειλών. Και αυτό επιτυγχάνεται χάρη στο εύρος των δεδομένων, το εύρος των πηγών και την ποιότητα των δεδομένων.
Εύρος δεδομένων
Το Sophos XDR συνδυάζει 90 ημέρες πλούσιων δεδομένων που προέρχονται από τερματικές συσκευές και διακομιστές με 30 ημέρες δεδομένων τηλεμετρίας μεταξύ προϊόντων (cross-product) που έχει στην τεράστια λίμνη δεδομένων της. Ο συνδυασμός παρέχει το μεγαλύτερο σύνολο, τόσο σε εύρος όσο και σε βάθος, αλληλοσχετιζόμενων πληροφοριών τόσο για τις εν ενεργεία συσκευές όσο και για τις συσκευές που βρίσκονται εκτός σύνδεσης.
Γιατί χρειάζεστε τόσο τα δεδομένα που προέρχονται από τις συσκευές όσο και τα δεδομένα που βρίσκονται αποθηκευμένα σε μια λίμνη δεδομένων; Οι δύο τύποι δεδομένων αλληλοσυμπληρώνονται, κάτι που αποτελεί κλειδί για την αναχαίτηση/ αποτροπή επιθέσεων υψηλού κινδύνου.
Τα δεδομένα από τη συσκευή παρέχουν μία ζωντανή εικόνα όλων όσων συμβαίνουν τώρα στις τερματικές συσκευές και στους διακομιστές σας καθώς και ένα απίστευτα λεπτομερές ιστορικό δραστηριότητας των τελευταίων 90 ημερών – πολύ πιο λεπτομερές από αυτό που τυπικά διατηρείται από μια λίμνη δεδομένων.
Όλες οι βασικές πληροφορίες και όλα τα συμβάντα καταγράφονται. Σε αυτό περιλαμβάνονται η επεξεργασία πληροφοριών έως στο επίπεδο του νήματος (έναρξη, διακοπή, διεργασία-γονέας, διεργασία-παιδί), αλλαγές στο μητρώο (registry), προγράμματα που εκτελούνται, συμβάντα συστήματος και πολλά άλλα.
Η λίμνη δεδομένων παρέχει το δικό της σύνολο πλεονεκτημάτων, όπως η ικανότητα εντοπισμού περιστατικών συσχετίζοντας πληροφορίες σε ολόκληρη την υποδομή/ περιουσία σας.
Ιδιαίτερα σημαντικό είναι το γεγονός ότι επιτρέπει επίσης στους χρήστες να προχωρούν σε queries τόσο για τις συσκευές εντός όσο και για τις συσκευές εκτός σύνδεσης – ακόμη και για συσκευές που ενδέχεται να είχαν βρεθεί εκτός σύνδεσης κατά τη διάρκεια μιας επίθεσης. Τα δεδομένα ωστόσο που αποθηκεύονται σε ένα αποθετήριο στο σύννεφο είναι πάντα ιστορικά και δεν παρέχουν ζωντανή εικόνα (σε πραγματικό χρόνο).
Οι δύο τύποι δεδομένων συνεργάζονται. Η λίμνη δεδομένων παρέχει μία εικόνα 10.000-ποδιών και βοηθά στη συσχέτιση συμβάντων σε ολόκληρη την υποδομή/ περιουσία σας τόσο από τις εν ενεργεία όσο και από τις ανενεργές (εκτός σύνδεσης) συσκευές σας. Από εκεί, μπορείτε να στραφείτε στα εν ενεργεία συστήματα σας και να αποκτήσετε πρόσβαση στο πλουσιότερο σύνολο δεδομένων εντός των συσκευών σας για να δείτε τι συμβαίνει ακριβώς εκείνη τη στιγμή ή τι συνέβη τις τελευταίες 90 ημέρες.
Ο συνδυασμός δεδομένων που βρίσκονται στις συσκευές με τις πληροφορίες που είναι αποθηκευμένες στη λίμνη δεδομένων διασφαλίζει ότι θα έχετε την ευρύτερη εικόνα για τα δεδομένα, ώστε να μην σας ξεφύγει το παραμικρό.
Πηγές δεδομένων
Το Sophos XDR είναι η πρώτη και μοναδική λύση XDR που συγχρονίζει την εγγενή ασφάλεια τερματικών συσκευών, διακομιστών, ηλεκτρονικού ταχυδρομείου και το τείχος προστασίας – ενώ σύντομα έρχονται και ενσωματώσεις για φορητές συσκευές και το σύννεφο.
Αυτό το ευρύ φάσμα πηγών δεδομένων πηγαίνει κατά πολύ μακρύτερα την ορατότητα από τις τερματικές συσκευές και τους διακομιστές. Αντ’ αυτού, έχετε μία πλήρη εικόνα όταν ανιχνεύετε ή διερευνάτε συμβάντα.
Για παράδειγμα, θα μπορούσατε να χρησιμοποιήσετε δεδομένα από το τείχος προστασίας (firewall) για να εντοπίσετε ύποπτη κίνηση (δεδομένων) που προέρχεται από μία μη διαχειριζόμενη τερματική συσκευή ή να διερευνήσετε μια ύποπτη επίθεση ηλεκτρονικού ψαρέματος (phishing) για να διαπιστώσετε αν υπήρξε περαιτέρω κίνηση σε κάποιο κακόβουλο domain.
Όλες οι πηγές δεδομένων βρίσκονται ήδη ενσωματωμένες όταν έχετε στη διάθεση σας στοιχεία με δυνατότητες Sophos XDR. Δεν χρειάζεται να δημιουργήσετε τη δική σας προσαρμοσμένη (custom) υποδομή.
Ποιότητα δεδομένων
Κατά τη διεξαγωγή του threat detection & response, η ύπαρξη πολλών δεδομένων είναι μόνο ένα μέρος της εξίσωσης.
Επειδή ο τεράστιος όγκος δεδομένων μπορεί να είναι υπερβολικός, αυτό που χρειάζεστε είναι δεδομένα υψηλής ποιότητας.
Το Sophos XDR διαθέτει περισσότερα δεδομένα υψηλής ποιότητας, κάτι που σημαίνει ότι παρέχει «καλύτερα σήματα και λιγότερο θόρυβο» για περισσότερο αποτελεσματική ανίχνευση. Και αυτό είναι δυνατό επειδή το Sophos XDR έχει φτιαχτεί πάνω το Intercept X, την καλύτερη προστασία τερματικών συσκευών στον κόσμο.
Το Intercept X φιλτράρει αποτελεσματικά τον θόρυβο που καταλήγει να προκαλεί σύγχυση στους αναλυτές, παρέχοντας τους με τη δυνατότητα να επικεντρωθούν εκεί που είναι πραγματικά σημαντικό.
Για την περαιτέρω βελτίωση της ποιότητας των δεδομένων, το Sophos XDR παρέχει ένα επιπλέον πλαίσιο που βάζει τα δεδομένα στη σωστή του προοπτική. Αυτό το πλαίσιο περιλαμβάνει επιπλέον πληροφορίες και δεδομένα από την SophosLabs και την ομάδα Sophos AI.
Πηγή: Sophos