Die aktualisierte Version der Endpoint Detection and Response (EDR)-Lösung von Sophos richtet sich an Security-Analysten und IT-Administratoren und ist ab sofort in Sophos Intercept X Advanced with EDR und Intercept X Advanced for Server with EDR integriert. Damit wird es Security-Analysten ermöglicht, Bedrohungen schneller und einfacher zu identifizieren und zu neutralisieren. So kann aktiv ein sicherer IT-Betrieb aufrechterhalten und das Risiko reduziert werden.
Sophos EDR bietet jetzt einen Überblick über das gesamte Unternehmen. Es ermöglicht Security- und IT-Experten, Fragen in Bezug auf kritische Bedrohungen und auf den sicheren IT-Betrieb schnell und einfach zu beantworten. Zu den neuen Funktionen gehören:
- Live Discover: Erkennt vergangene und aktuelle Aktivitäten und speichert die Daten bis zu 90 Tage. Sofort einsatzbereite SQL-Abfragen ermöglichen es Fragen zur Bedrohungssuche und IT zu beantworten. Sie können aus einer Bibliothek mit vordefinierten Optionen ausgewählt und von Benutzern vollständig angepasst werden. Diese flexible Query Engine bietet Zugriff auf hoch detaillierte Aufzeichnungen über Endpoint-Aktivitäten, die mit der Sophos Deep-Learning-Technologie kontinuierlich aktualisiert werden.
- Live Response: Remote-Reaktion und Fernzugriff auf Endpunkte und Server über eine Command-Line-Schnittstelle, um weitere Untersuchungen durchzuführen und Probleme zu beheben. Dazu gehören einfaches Neustarten von Geräten, Installieren und Deinstallieren von Software, Beenden aktiver Prozesse, Ausführen von Skripts, Bearbeiten von Konfigurationsdateien, Ausführen forensischer Tools, Isolieren von Rechnern und mehr.
- Sophos EDR basiert auf dem neuronalen Deep-Learning-Netzwerk von Sophos, das anhand von Hunderten von Millionen Beispielen und Bedrohungsindikatoren geschult ist. Security-Analysten und IT-Administratoren erhalten außerdem On-Demand-Zugriff auf Bedrohungsinformationen aus den SophosLabs, die täglich mehr als 400.000 Malware-Samples verfolgen, zerlegen und analysieren.
Zudem hat Sophos die Studie „An Insider View into the Increasingly Complex Kingminer Botnet“ veröffentlicht. Sie bestätigt das Einbeziehen von Servern bei Angriffen und die Bedeutung von Threat Intelligence bei der Erkennung solcher Aktivitäten.
Das Kingminer-Botnet versucht in Server einzudringen, indem es Anmeldedaten via Brute-Forcing identifiziert. Sophos hat nun herausgefunden, dass das Botnet den EternalBlue Exploit nutzt, um neben anderen Angriffsmechanismen auch Malware zu verbreiten. Die neue Version von Sophos EDR bietet eine benutzerdefinierte Query Engine und ermöglicht damit das Erkennen von Anzeichen einer Kompromittierung.
„Während Unternehmen zunehmend in die Cloud wechseln und das Remote-Arbeiten ermöglichen, erhöhen Cyber-Kriminelle den Einsatz und schrecken vor nichts zurück, um aus den erweiterten Angriffsflächen Kapital zu schlagen. Server und andere Endpoints sind oft unzureichend geschützt, wodurch Schlupflöcher entstehen, die von Angreifern ausgenutzt werden“, sagt Dan Schiappa, Chief Product Officer bei Sophos. „Sophos EDR identifiziert diese Angriffe, verhindert Attacken und bringt Licht in ansonsten dunkle Bereiche. Live-Abfragen, die nur in Sophos Intercept X with EDR verfügbar sind, ermöglichen es, nach Indikatoren einer Kompromittierung zu suchen und den aktuellen Systemstatus zu ermitteln. Dieses Maß an Information ist entscheidend, um das wechselnde Verhalten der Angreifer zu verstehen und die Verweildauer zu verkürzen.“ (rhh)
