Sophos Endpoint Protection mit Intercept X

8 Min. Lesezeit
16. November 2022

Sophos-EPS_

Die Sophos Endpoint Protection mit Intercept X bietet eine Vielzahl an umfassenden Funktionen, auf die wir in diesem Artikel im Detail eingehen werden.

Übersicht:

Sophos gibt an, den 1. Platz bei der Schutzleistung zu belegen. In unabhängigen Produkttests wurde mehrfach festgestellt, dass Sophos mehr Malware und Exploits blockiert als der Wettbewerb.  Welche Techniken hinter der Sophos Endpoint Protection stehen, schauen wir uns nachfolgend im Detail an.

Was ist Sophos Deep Learning?

Die von Sophos entwickelten neuronalen Deep-Learning-Netzwerke, welche eine Sonderform des Machine Learning darstellen, wehren mehr Endpoint-Bedrohungen ab als je zuvor. Hohe Genauigkeitsraten in der Erkennung von noch die zuvor gesehener Malware sorgen für vorrausschauende Abwehrmaßnahmen und eine hohe Effektivität. Intercept X wird durch Deep Learning nicht nur intelligenter, sondern auch skalierbarer und leistungsstärker gegenüber unbekannten Bedrohungen. Es ist in der Lage, sich die gesamte beobachtbare Bedrohungslandschaft als Teil seines Trainingsprozesses zu „merken“. Dies bedeutet, je mehr Informationen das System verarbeiten kann, desto genauer werden die Vorhersagen sein.

Deep Learning-Bedrohungsprävention umfasst:

  • Das Malware-Erkennungsmodell wurde von einem internen Forscherteam mithilfe von DARPA-gestützter Technologie erstellt, um die „DNA“ von Malware aufzudecken.
  • Intercept X wurde von den Besten getestet. Unabhängige Tester von Drittanbietern haben immer wieder festgestellt, dass die Sophos Deep-Learning-Technologie mit geringen Fehlalarmen äußerst effektiv ist.
  • Die Datenforscher der SophosLabs arbeiten mit hunderten Millionen Malware-Samples, um die bestmöglichen Vorhersagemodelle zu erstellen. Und sie arbeiten mit Bedrohungsforschern zusammen, um sich ständig zu verbessern.

Sophos Intercept X bietet nicht nur eine leistungsstarke Deep-Learning-Malware-Erkennung, es bietet auch Anti-Ransomware, aktiven Angriffsschutz und Anti-Exploit-Technologie sowie die Möglichkeit, erweiterte Erkennungs- und Reaktionsfunktionen (XDR) hinzuzufügen, die ebenfalls Deep Learning nutzen. Diese automatisierte, proaktive Erkennung sorgt dafür, dass Endpunkte vor komplexen, fortschrittlichen Angriffen geschützt sind.

sophos-ecosystem-acp jena-1030x501
 
 
 

Bietet Sophos einen Schutz vor Ransomware?

Ja, mit Sophos erhalten Sie einen größtmöglichen Schutz vor Ransomware. Die Kombination aller technologischen Möglichkeiten, die Sophos anbietet und welche wir auch in diesem Artikel vorstellen, ermöglichen Ihren Mitarbeitern auch im Falle eines Angriffs, ohne Unterbrechungen weiterzuarbeiten.

Immer häufiger erreichen uns Anfragen von Unternehmen im Mittelstand, welche nicht ausreichend geschützt waren, nun aber einen Ransomware-Angriff erlebt haben und im wahrsten Sinne handlungsunfähig sind. Sophos hingegen entdeckt und blockiert Ransomware-Angriffe, bevor diese in Ihrem Unternehmen ernsthaften Schaden anrichten können. Dabei spielt es keine Rolle, ob es sich um Verschlüsselungsprozesse, dateibasierte oder auch Master-Boot-Record-Ransomware handelt.

Massive Angriffe durch Ransomware ziehen meist eine komplette Verschlüsselung der Dateien nach sich. Die Erpresser versuchen anschließend, ein Lösegeld zu erwirken. Wenn Sie Sophos Intercept X nutzen, ist es äußerst wahrscheinlich, dass der Angriff bereits vor der Datenverschlüsselung auffällt und nachhaltig gestoppt wird. Äußerst wahrscheinlich deshalb, weil es keinen 100 %igen Schutz gibt. Denn Ransomware wird zum Großteil immer in Kombination mit Echtzeit-Hacking angewandt. Sophos Intercept X überwacht Ihre gesamte IT-Infrastruktur und stört bei Attacken die komplette Angriffskette. Das zuvor erläuterte Deep Learning verhindert häufig Angriffe, bevor ein Schaden auftritt. Sollte es den Hackern doch gelungen sein, auch nur ansatzweise Daten zu verschlüsseln, sorgt CryptoGuard innerhalb von Sekunden dafür, die unbefugte Verschlüsselung rückgängig zu machen.

Sollte es zu einem Angriff kommen, erhalten Sie von Sophos im Nachgang eine detaillierte Analyse zur Verfügung, wie sich die Bedrohung Zugriff verschafft hat, welche Bereiche betroffen waren und wann die Bedrohung blockiert wurde.

 

Was ist Sophos Intercept X mit EDR und XDR?

  • EDR = Endpoint Detection and Response
  • XDR = Extended Detection and Response

Sophos EDR bietet Ihnen umfassende und fortschrittliche Tools, die Sie für erweitertes Threat Hunting und zur Durchsetzung von Sicherheitsvorgaben benötigen. Threat Hunting ist eine proaktive Methode zur Verbesserung der Cybersecurity, denn Netzwerke und IT-Umgebungen werden vorbeugend nach potenziellen Bedrohungen durchsucht. Zusammengefasst bietet Ihnen Sophos EDR die Möglichkeit, Endpoints von Clients und Servern vor Ort als auch in der Cloud zu überprüfen.

Sophos Intercept X Advanced mit XDR kombiniert die leistungsstarke Endpoint Detection and Response (EDR) mit dem Malware- und Exploit-Schutz.

Mithilfe von KI-gesteuerten Analysen erkennt und analysiert Intercept X verdächtige Aktivitäten in Ihrer IT-Infrastruktur. Ein entscheidender Vorteil bei Sophos ist, dass Sie exklusiven Zugriff auf Experten-Know-how erhalten, für das Sie normalerweise hochqualifizierte Analysten einstellen müssten.

Mit Sophos XDR erhalten Sie Zugriff auf leistungsstarke, sofort einsatzbereite und individuell anpassbare SQL-Abfragen, die auf bis zu 90 Tage Endpoint- und Serverdaten zugreifen können. Anhand dieser Informationen können Entscheidungen auf der Basis fundierter Daten getroffen werden. Mutmaßungen gehören damit der Vergangenheit an. Diese wertvollen Daten und die umfassenden Funktionen können Sie zum Threat Hunting verwenden, um aktive Angreifer zu erkennen, oder aber in IT Operations, um sicherzustellen, dass Sicherheitsvorgaben durchgesetzt werden. Wird ein Sicherheitsproblem entdeckt oder verstärkt sich ein Verdacht, so haben Sie jederzeit die Möglichkeit, per Remote-Zugriff gezielte Maßnahmen zu ergreifen.

Sophos XDR kombiniert native Endpoint-, Server-, Firewall-, Cloud-, E-Mail-, Mobile- und Microsoft-Office-365-Integrationen, damit erhalten Sie ein noch umfassenderes Bild Ihrer Cybersicherheit. Sie können schnell von einer ganzheitlichen Ansicht zu Detailinformationen wechseln. Nachfolgend nun ein paar Beispiele, wie welche Informationen Ihnen zur Verfügung stehen:

  • Ermitteln Sie Bezüge zwischen Indicators of Compromise von mehreren Datenquellen, um Bedrohungen schnell zu erkennen, zu lokalisieren und zu beseitigen.
  • Analysieren Sie verdächtige Hosts und finden Sie ungeschützte Geräte in Ihrer gesamten Umgebung mithilfe von ATP- und IPS-Ereignissen der Firewall.
  • Gehen Sie Problemen mit dem Büronetzwerk auf den Grund und ermitteln Sie, welche Anwendung diese verursacht.
  • Erkennen Sie nicht verwaltete Gast- und IoT-Geräte in Ihrer gesamten Unternehmensumgebung.

 

Beispiele für Abfragen:

  • Warum läuft ein System langsam? Steht ein Neustart aus?
  • Welche Geräte verfügen über bekannte Schwachstellen, unbekannte Dienste oder nicht autorisierte Browser-Erweiterungen?
  • Werden auf dem System Programme ausgeführt, die entfernt werden sollten?
  • Versuchen Prozesse, eine Netzwerkverbindung über Nicht-Standard-Ports herzustellen?
  • Haben Prozesse in letzter Zeit Dateien oder Registry-Schlüssel geändert?

Gezielte Maßnahmen ergreifen

Über die Cloud-Management-Konsole können Sie jederzeit remote auf Geräte zugreifen, auch wenn diese nicht vor Ort sind. Mittels Befehlszeile können Sie beispielsweise Geräte neu starten, aktive Prozesse beenden, Skripte / Programme ausführen, Software installieren bzw. deinstallieren, Konfigurationsdateien bearbeiten sowie forensische Tools ausführen.

Zusammenfassung: Die Vorteile der Sophos EDR im Überblick

Durch die Kombination von EDR und XDR wird die überwiegende Mehrheit der Bedrohungen schon so früh blockiert, dass eine manuelle Analyse nicht mehr erforderlich ist.

  • Unbekannte und neue Bedrohungen abwehren
    Deep Learning, eine erweiterte Form von Machine Learning, erkennt neue und unbekannte Malware.
  • Bewährter Schutz vor Ransomware
    Ransomware-Schutz verhindert die Verschlüsselung Ihrer Dateien und versetzt sie zurück in einen sicheren Zustand.
  • Abwehr von Exploits
    Exploit-Techniken werden oft von Angreifern genutzt, um sich Zugang zu Unternehmen zu verschaffen. Intercept X wehrt solche Angriffe mit Exploit Prevention ab.
  • Keine Chance für Hacker
    Hacking-Techniken wie Credential Harvesting, Lateral Movement und Rechteausweitung werden zuverlässig gestoppt.
 

Sophos Intercept X jetzt testen!

Sophos Intercept X bietet Ihrem Unternehmen modernste Technologien mit umfassendem Schutz sowie eine einfache Bereitstellung.

 
 

Was ist Extended Detection and Response (XDR) im Detail?

Sophos XDR liefert Ihnen alle erforderlichen Daten um die vernetzte IT-Infrastruktur Ihres Unternehmen im Detail zu überprüfen. Dabei stehen Ihnen Live- und auch Verlaufsdaten zur Verfügung, welche Ihnen bei Bedarf gezielt Informationen über betroffene Geräte zur Verfügung stellen. Die Live-Abfrage von Endpoint-Daten in Echtzeit in Verbindung mit Cloud-Daten aus dem Sophos Data Lake verschaffen Ihnen einen optimalen Überblick. Für die Abfragen stehen Ihnen im Übrigen bereits in einer Library vorformulierte und anpassbare Vorlagen zur Verfügung, welche Sie zusätzlich zu Ihren eigens formulierten Abfragen sofort verwenden können. Vom Threat Hunting bis zu IT-Operations-Szenarien wird alles abgedeckt und Sie erhalten sofort Einblicke in alle relevanten Informationen. Alle verdächtigen Elemente werden Ihnen komfortabel in einer Liste zusammengefasst, damit Sie genau wissen, wo eventuell Handlungsbedarf besteht.

Unterstützt werden Sie bei den Analysen vom bereits erwähnten Machine Learning und der Threat Intelligence, welche eine KI-priorisierte Risikobewertung für jede Erkennung durchführen. Die möglichen Risikoelemente werden auf einer Skala von 0 – 10 bewertet und enthalten wichtige Informationen wie die Beschreibung der Erkennung, Prozessname und Hash. Einfach und unkompliziert können Sie anschließend individuelle Analysen durchführen, das Gerät isolieren oder weiterführende Informationen aus dem Sophos Data Lake abrufen.

 

Was ist Sophos Managed Threat Response (MTR)?

Mit dem Sophos Managed Threat Response erhalten Sie eine proaktive 24×7 Bedrohungssuche durch die Security-Experten von Sophos als Fully-Managed-Service.

Sophos MTR-Infografik

Im Ernstfall steht Ihnen dieses Team sofort zu Verfügung und ergreift Maßnahmen, um auch hochkomplexe Bedrohungen und Angriffe abzuwehren bzw. unschädlich zu machen. Dabei werden je nach Risikobewertung der Bedrohung geeignete Maßnahmen angewandt. Zudem erhalten Sie kontinuierlich konkrete Handlungsempfehlungen zur Verbesserung Ihrer IT-Sicherheit. Aber keine Sorge, auch wenn Sie sich für Sophos MTR entscheiden, bleibt die Entscheidungsgewalt bei Ihnen. Wann potenzielle Vorfälle eskaliert werden, welche Maßnahmen ergriffen werden, können Sie jederzeit transparent einsehen. Sophos informiert Sie in wöchentlichen und monatlichen Reports über alle Vorgänge und Maßnahmen, die zu Ihrer Sicherheit getroffen wurden.

 

Was ist Sophos Central?

Sophos Central ist eine cloudbasierte Endpoint Protection bzw. die zentrale Management-Plattform für alle Ihre Sophos Cybersecurity-Lösungen.

Die zuvor im Detail erläuterte Endpoint-Security von Intercept X ist in Sophos Central integriert, so dass Sie jederzeit und überall auf Ihre Endpoint-Security zugreifen und sie verwalten können. Sophos Central ist die cloudbasierte Verwaltungsplattform für alle Sophos-Lösungen. Sie können potenzielle Bedrohungen analysieren, Richtlinien erstellen und bereitstellen, Ihre Umgebung verwalten, sehen, was wo installiert ist, und vieles mehr – alles über eine zentrale Konsole.

Sophos Central ist eine zentrale Cloud-Management-Lösung für alle Ihre Sophos Next-Gen-Technologien: Endpoint, Server, Mobile, Firewall, Zero Trust Network Access (ZTNA), E-Mail und vieles mehr. Die Lösung bietet eine cloudbasierte Management-Konsole, Informationsaustausch in Echtzeit zwischen Produkten und eine automatisierte Reaktion auf Vorfälle. So wird Cybersecurity einfacher und deutlich effektiver.

Sophos Central bietet Ihnen leistungsstarke Dashboards, Reports und Benachrichtigungen. Visuell ansprechende Dashboards stellen Ihnen zu jeder Zeit und überall alle wichtigen Daten und Informationen zur Verfügung. Bei Bedarf stehen Ihnen auch Detail-Informationen und die Möglichkeit zum sofortigen Eingreifen zur Verfügung.

 

Was ist das Sophos Integrations- und APIs-Programm?

Um die Automatisierung Ihrer Überwachungs-, Sicherheits- und Verwaltungsaktivitäten in Sophos Central noch weiter zu erleichtern, stellt Sophos Ihnen das Programm „Sophos Integrations and APIs“ zur Verfügung. Über das öffentliche Internet werden Ihnen alle APIs als RESTful-HTTP-Endpunkte angeboten. Sophos verwendet dabei die Standardauthentifizierung, JSON-Anforderungen und -Antworten sowie Standard-HTTP-Verben. Schlussendlich profitieren Sie davon, dass Sophos Integrationen mit führenden RMM-, PSA-, Berichterstellungs- und Bedrohungsüberwachungs- und -verwaltungsanbietern unterstützt.

 
Sophos-Adaptive-Cybersecurity-Ecosystem-1030x737
 
 

Was ist Sophos Synchronized Security?

Security-Produkte in der IT-Infrastruktur sind häufig Insellösungen, die sicherheitsrelevante Informationen nicht miteinander teilen. Komplexe Bedrohungen, welche Unternehmen tatsächlich existenziell gefährden, werden von diesen voneinander isolierten Lösungen nicht oder nur sehr selten erkannt.

Sophos ermöglicht mit der Synchronized Security, dass Ihre Endpoint-, Netzwerk-, Mobile-, Wireless-, E-Mail- und Verschlüsselungsprodukte miteinander in Echtzeit Informationen austauschen und im Bedarfsfall gemeinsam und koordiniert Maßnahmen ergreifen. Kompromittierte Geräte werden erkannt, automatisch isoliert und bereinigt. Sobald die Bedrohung beseitigt wurde, wird die Netzwerkverbindung wieder hergestellt. Alle Maßnahmen werden automatisch ausgeführt, ohne dass ein Administrator manuelle eingreifen muss. In der kinderleicht bedienbaren cloudbasierten Security-Plattform Sophos Central können Sie alle Vorgänge 100 % transparent und zentral verwalten.

Weitere Features des Synchronized Security:

  • Schutz vor lateralen Bewegungen und Isolierung von infizierten Endpoints
  • Beschränkung des WLAN-Zugangs für Mobilgeräte, die nicht den Compliance-Vorgaben entsprechen
  • Scan auf dem Endpoint bei Erkennung von kompromittierten E-Mail-Konten
  • Widerruf von Verschlüsselungsschlüsseln bei Erkennung einer Bedrohung
  • Identifizierung aller Anwendungen in Ihrem Netzwerk
sophos-sync-loop-1030x354
 

Fazit: Mehr Effizienz und mehr Sicherheit mit Sophos

Kunden bestätigen immer wieder, dass sich der Zeit- und Arbeitsaufwand beim Einsatz des Sophos Next-Gen-Systems (mit Verwaltung über Sophos Central) um mehr als 50 % reduziert hat. Dank der effektiven Sophos-Security-Lösungen gibt es laut Sophos bis zu 85 % weniger Sicherheitsvorfälle und es werden 90 % weniger Zeitaufwand für das Erkennen von Problemen und 90 % weniger Zeitaufwand für die tägliche Cybersecurity-Verwaltung benötigt. Zurückzuführen sind diese beeindruckenden Zahlen auf die KI-basierte prädiktive Prävention, die Erkennung von Bedrohungen auf Unternehmensebene und die anschließende automatische Reaktion auf Vorfälle.

 

Sophos ist die Nr. 1 im Bereich Endpoint Protection. Beginnen Sie im ersten Schritt mit einer Beratung.

Gern beantworten unsere IT-Security-Experten Ihre Fragen.