Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophos : Cinq raisons principales pour lesquelles vous avez besoin d’un I-EDR

novembre 2019 par Marc Jacob

Sophos a organisé une conférence pour présenter les cinq raisons principales pour lesquelles vous avez besoin d’un I-EDR. En effet, devant la croissance exponentielle des attaques les antimalwares historiques ne suffisent plus à les arrêter. Les solutions d’EDR sont devenus un standard qui doit être intégrer dans toutes solutions antivirales. Ainsi, Bruno Leclerc et Stéphan Roux, avant-vente de Sophos ont animé cette session en proposant cinq conseils qui justifient l’utilisation d’un I-EDR.

Après le message de bienvenue de Bruno Leclerc, directeur commercial de Sophos France, qui a rappelé que Sophos est une société anglaise avec des laboratoires partout dans le monde qui reçoivent 500.000 malwares par jour. En France, il y a 65 employés avec un support en 24/7. Il a dressé un rapide historique de l’entreprise avec différentes acquisitions comme Astaro, Utimaco... qui permettent à Sophos de proposer une gamme de solutions pour protéger les postes de travail avec de l’antimalwares, du traitement de log, de la conformité, de la sécurité des Cloud publics comme Microsoft, AWS et Google avec une solution agentless. Il aussi mentionné le partenariat avec ArcServe pour la sauvegarde des données. Enfin, il a commenté l’entrée au capital de Thomas Bravo en cours de finalisation. La signature se fera en février 2020. Pour lui, cette acquisition devrait permettre à Sophos d’accélérer son développement tant au niveau des produits que de la stratégie marketing.

Stephan Roux a présenté son concept de l’I-EDR qui permet de mettre de l’intelligence dans l’EDR en intégrant de l’intelligence artificielle pour traiter les informations. Selon le Gartner l’EDR fait dorénavant parti de l’anti malware.

La prévention est toujours plus simple que guérir a-t-il rappelé. Pour lui les antimalwares sont indispensables aujourd’hui. Ils permettent de contrôler, d’analyser et de remédier aux problèmes issus des menaces les plus récurrentes. Ces outils doivent être complétées par des solutions plus élaborées pour parer les nouveaux types d’attaques. Il est vrai que devant le nombre exponentiel de menaces, l’analyse par signature est insuffisante. Il faut mettre de l’intelligence dans les antimalwares en utilisant des technologies d’analyse comportementale, mais aussi des technologies pour parer les attaques latérales c’est à dire lorsque le poste de travail sert de pivot pour diffuser les attaques vers les serveurs. On a aussi besoin de l’intelligence artificielle pour détecter plus rapidement les menaces. Mais aujourd’hui même l’IA doit être renforcé avec de l’EDR qui permet de détecter les malwares cachés sur les postes. Chez Sophos, les solutions proposées travaillent avec un seul agent et une contrôle centrale avec entre autre InterceptX qui maintenant intègre de l’EDR. Pour lui, la sauvegarde est la réponse ultime aux attaques.

Il a rappelé que jusqu’en 2016, l’EDR était un technologie peu répandue. Depuis que les éditeurs d’antivirus l’ont intégré dans leur solution suite aux recommandations du Gartner, l’EDR s’est de ce fait démocratisé. L’EDR permet de détecter l’origine des attaques et de montrer ses techniques de propagation. Selon différentes données :
- 68% des entreprises dans le monde aurait été attaquées.
- 48 jours est le temps passé pour remédier à une attaques.
- 80% des entreprises souhaiteraient avoir des experts dans la détection.
- 54% des entreprises pensent que les EDR sont trop complexes à déployer ou qu’ils ne servent à rien.

En fait, les EDR servent à détecter les menaces qui se trouvent dans une zone grise entre les postes sains et ceux infectés. L’EDR de Sophos permet de réduire les zones grises en repérant les fichiers douteux.

Puis il a énoncé ses cinq conseils :

Le premier conseil est d’avoir une visibilité et une détection des postes infectés ou des fichiers douteux. Des recherches sur ces deux points peuvent être lancés via la solution InterceptX EDR de Sophos.

Les second conseil est de détecter les attaques passées inaperçues pour éviter les doubles attaques. Il a donné l’exemple de ransomwares dormants que les pirates positionnent sur les postes. Ces derniers sont activés une première fois pour toucher une première rançon. Quelques temps après, ils réactivent le même malware et redemandent une rançon comme dans le cas de Baltimore aux Etats-Unis. En fait, les équipes IT manquent de données ou sont submergés de données ce qui les rendent dans les deux cas inexploitables. L’EDR permet de donner des indices de compromissions. Ainsi, il est possible de traquer toutes attaques passées en détectant les fichiers ou les actions suspects. La solution donne le nombre de postes de travail infecté ou ceux où la menaces est dormante.

Le troisième conseil est de répondre plus rapidement aux incidents potentiels. Il faut souvent beaucoup de temps pour détecter l’ampleur d’un incident. En moyenne les équipes passent plus de 3h à remédier à ce type de problème. Sophos permet de visualiser les postes infectés, en montrant quel fichier a été ouvert... il donne de façon automatisée des informations sur la manière dont l’attaque s’est propagée. L’outil permet de bloquer en un clic cette attaque sur tous les postes.

Le quatrième conseil est d’analyser de tout fichier suspect en les transmettant aux laboratoire de Sophos. Ce dernier va vérifier si un fichier est malicieux, et en cas de doute peut utiliser un bac à sable pour l’exécuter.

Le cinquième conseil est de détecter les actions des utilisateurs qui parfois peuvent être source d’infection. Cela permet d’identifier les « trous dans la raquettes » des politiques de sécurité comme par exemple la possibilité de bloquer l’insertion de clés USB, le surf sur des sites malicieux...

Il a fait une démonstration de la solution InterceptX qui permet via de l’I-EDR de détecter les fichiers malicieux, de trouver tous les postes infectés, de le bloquer et les isoler.Cet outil permet aussi de faire du forensic en procédant à des recherches avancées afin de comprendre comment l’attaque a eu lieu en recherchant toutes les instructions jouées par un pirate. Bien sûr, la solution permet de nettoyer les postes. Toutes ces actions peuvent être réalisées de façon automatiques ou manuelles. Un rapport en clair est fourni qui permet de visualiser tous les postes infectés, les types de malwares, si le programme a été exécuté et sur quel poste...

Pour conclure, il a présenté les nouvelles fonctionnalités qui devraient sortir en 2020 comme Sophos Evole qui permet de repérer les tentatives d’attaque interne en brute force pour récupérer des mots de passe. La solution isole le poste qui fait du brute force souvent à l’insu de l’utilisateur. Elle détecte les fichiers suspects et les envoie au laboratoire de Sophos qui l’analyse et le cas échéant bloque le fichier suspect sur tous les postes de travail en même temps. Par la suite, la solution repère tous les autres fichiers similaires présents sur tous les postes et les bloquent. La solution est capable aussi de rechercher toutes les actions menées dans le passé sur les postes de travail.

En conclusion il a annoncé le prochain lancement d’un service managé par Sophos pour opérer la solution InterceptX EDR.




Voir les articles précédents

    

Voir les articles suivants