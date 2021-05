Sophos presenta Sophos XDR, l’unica soluzione di extended detection and response (XDR) sul mercato in grado di sincronizzare endpoint nativi, server, firewall e sicurezza email.

Grazie all’approccio completo ed integrato, Sophos XDR fornisce una visione olistica dell’ambiente aziendale, caratterizzata dal più elevato numero di dati e da un’analisi approfondita per guidare il rilevamento delle minacce e la risposta alle stesse.

Come sottolineato in una nota ufficiale da Dan Schiappa, chief product officer di Sophos: «La complessità degli attacchi ransomware e delle cyberminacce è in costante crescita e oggi più che mai si rende indispensabile un approccio alla sicurezza informatica completo ed esaustivo. Sophos XDR rappresenta un’autentica rivoluzione nella difesa proattiva dagli attacchi più complessi, soprattutto da quelli che sfruttano molteplici punti di accesso per fare breccia nelle reti aziendali, tramite movimenti laterali che rendono difficile il loro rilevamento e riuscendo così a compiere il maggior numero di danni possibile».

Attacchi “sotto steroidi”

In concomitanza di questo importante lancio, Sophos ha rilasciato la nuova ricerca “Intervento blocca un attacco che sfrutta vulnerabilità ProxyLogon”, che analizza l’attacco che ha colpito una grande azienda partendo dalla compromissione di un server Exchange e approfittando del noto exploit ProxyLogon.

I ricercatori hanno dimostrato come i cybercriminali si siano mossi lateralmente entrando nella rete e come, in circa due settimane, abbiano sottratto credenziali, compromesso i domain controller, stabilito un foothold su molteplici macchine e, attraverso uno strumento di accesso remoto, ottenuto accesso alle macchine hackerate oltre a diffondere un elevato numero di programmi maligni.

Ancora secondo Schiappa: «Come evidenziato dalla nostra ricerca, gli autori dell’attacco sono tornati più e più volte sfruttando strumenti diversificati ma anche avvalendosi dello stesso strumento, come Cobalt Strike, su macchine diverse. Hanno optato per un metodo di accesso da remoto di tipo commerciale, anziché avvalersi dei più noti RDP, facilmente rilevabili dagli esperti di threat hunting. La ricerca indica chiaramente la natura complessa degli attacchi human-operated e conferma quanto difficile sia per i team IT gestire incidenti informatici multi-vettore e multistadio. Chi viene colpito non è in grado di fronteggiare attività malevole provenienti da più parti e, come già evidenziato nel recente rapporto State of Ransomware 2021 questo problema è estremamente diffuso se si considera che il 54% degli IT manager dichiara che gli attacchi sono sempre più complessi e difficili da gestire autonomamente. XDR rappresenta dunque un componente fondamentale per le strategie di difesa e protezione».

Analisi approfondita e un’ampia gamma di informazioni

Sophos XDR offre una maggiore visibilità attraverso tutta la gamma di soluzioni di sicurezza di Sophos, fornendo così un quadro molto preciso e dettagliato delle minacce.

Al centro di Sophos XDR si trova il set di dati più ricco del settore. Sophos XDR offre due tipi di conservazione dei dati, includendo fino a 90 giorni di dati sul dispositivo e 30 giorni di dati cross-product in un data lake in cloud.

L’approccio unico di miscelare i dati per analisi forense sui dispositivi con quelli nel data lake permette di fornire informazioni molto ampie e dettagliate che possono essere utilizzate dagli analisti della sicurezza attraverso Sophos Central e tramite API per esportare i dati in SIEM (security information and event management) security orchestration, SOAR; software di professional service automation (PSA) e sistemi di monitoraggio e gestione da remoto (RMM).

Il data lake ospita informazioni critiche relative a Intercept X, Intercept X for Server, Sophos Firewall, e Sophos Email. Inoltre, anche Sophos Cloud Optix e Sophos Mobile convergeranno in questo stesso repository più avanti nel corso dell’anno.

I team IT potranno accedere in modo semplice a tali dati, al fine di lanciare ricerche attraverso i vari prodotti di sicurezza e andare a fondo nei dettagli specifici di attacchi passati e attuali. L’accesso offline allo storico dei dati garantisce un’ulteriore protezione contro perdita o danneggiamento dei device.

Oltre a Sophos XDR, Sophos ha rilasciato una nuova versione del suo sistema leader di mercato nell’ambito del rilevamento e risposta agli attacchi: Sophos EDR. Le nuove query programmabili e le funzionalità di pivoting customizzabili rendono più semplice e veloce identificare e far fronte agli incidenti informatici.

Grazie all’integrazione con SophosLabs Intelix, gli utenti potranno avvalersi di query preconfigurate e di una potente threat intelligence e con Sophos EDR potranno accedere a sette giorni di dati ospitati in cloud (con possibile upgrade a 30 giorni) nel data lake, oltre ai 90 giorni di dati on-device.

Sophos XDR, Sophos EDR. Sophos ACE

Sophos XDR ed EDR fanno parte dell’ecosistema adattivo di cybersicurezza di Sophos (ACE), una nuova architettura di sicurezza open che ottimizza la prevenzione delle minacce, il rilevamento e la risposta. Sophos ACE sfrutta le potenzialità dell’automazione e degli analytics, oltre agli input ricevuti dalle varie soluzioni Sophos, dai partner, dai clienti, dagli sviluppatori e dagli altri player del mercato della security, al fine di generare un circolo virtuoso di protezione in costante miglioramento ed evoluzione.

Sophos ACE si basa sul data lake, correlando gli insight provenienti dalle soluzioni e dai Servizi Sophos alla threat intelligence fornita dai SophosLabs, all’IA Sophos e al suo team di Managed Threat Response.

Le API consentono a clienti, sviluppatori e Partner di creare strumenti e soluzioni che interagiscono con il Sistema, al fine di trarre il massimo vantaggio dall’integrazione esistente. Sophos guida il settore con tale approccio, già integrato con numerosi vendor.

Come concluso da Schiappa: «I cybercriminali stanno diventando sempre più intelligenti e capaci nell’eludere i sistemi di sicurezza. Il solo modo per stare al passo è sfruttare l’automazione potenziata dall’IA per analizzare e reagire rapidamente alle minacce, affiancandola ad analisti esperti in grado di correlare indicatori sospetti e comprenderne le implicazioni. L’ecosistema adattivo di cybersecurity di Sophos rappresenta l’evoluzione del nostro affermato approccio basato sulla sicurezza sincronizzata e offre una soluzione efficace a un problema complesso. Questo ecosistema intelligente è stato progettato per proteggere l’interconnessione tra l’attività di business e il mondo online, e non poteva arrivare in un momento più strategico di questo, considerando le nuove sfide che l’ultimo anno ha posto in termini di passaggi repentini al lavoro da remoto e brusca accelerazione del ricorso al cloud».