Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophos MTR : de la détection à l’action

décembre 2019 par Marc Jacob

Sophos a organisé une conférence pour présenter son offre de MTR Evole un service qui permet de détecter les menaces de façon préventives tout en proposant des solutions de remédiation par des actions concrètes.

Stépahne Roux et Eric Devaulx

Après le message d’introduction d’Eric Devaulx qui a rappelé les principales données sur son entreprise créée en 1985 qui a réalisé en 2018 un CA de 750M de dollar. En 2015 la société a été introduite en bourse. Elle a acquis plusieurs entreprises comme Utimaco, Astaro, Rook Security, DarkBytes... qui lui ont permis de renforcer son offre et d’améliorer sa surface de défense contre les cybermenaces. Aujourd’hui, le nombre de menaces jour est de plus de 500.000 attaques par jour, avec un regarde un manque criant de compétence avec rien qu’en Île de France un déficit de 5000 postes. Ainsi, de plus en plus les entreprises se posent la question d’externaliser leur sécurité.

Puis Stéphane Roux, avant-vente de Sophos a abordé le MDR (Managed Detection and Response) c’est à dire les services de sécurité managé. Ce services est rendu en 24/7. Ainsi, Sophos propose un service de MTR avec le "T" pour Threat (menace). Ce service se focalise sur l’analyse des menaces. Les experts de Sophos sont des experts avec une formation technique très poussée. Ils travaillent actuellement à Indianapolis aux Etats-Unis et prochainement de Cork en Irlande. Ce service est la résultante des acquisitions de DarkBytes et de Rook Security qui complètent le SOC de Sophos. Ce dernier utilise les technologies de Sophos comme InterceptX afin de trouver les menaces au plus profond du web.

Rook Security apporte l’aspect surveillance avec une analyse des anomalies comme les attaques latérales, le brute force... la société proposait un service de MDR pour tout type d’entreprise des PME aux grands comptes. Quant à DarkBytes il propose une analyse des menaces et des vulnérabilités. L’ensemble des deux offres plus celle de Sophos s’appelle Evole.

Le MTR de Sophos apporte une réponse humaine accélérée par la machine qui propose un apprentissage automatique à l’aide du machine learning. Ces analyses automatisées sont complétées par la recherche d’experts. L’objectif est de pouvoir traiter rapidement une énorme quantité de données et de les corréler en lien avec des comportements malveillants. Par la suite, il est possible d’effectuer des actions automatiques sans intervention humaine par blocage d’un port ou par un message d’alerte à l’administrateur. De plus, les signaux faibles sont analysés par des experts qui peuvent détecter des menaces silencieuses.

Aujourd’hui, Sophos sur le marché du MTR se positionne selon Forrester parmi les leaders car elle propose à la fois de la détection et de la remédiation.

Selon le Gartner depuis les 12 derniers mois il y a eu une augmentation de 15% du Chiffre d’Affaires du MTR entre 2017 et 2018 avec un CA de 500M de $ en 2018. On remarque une demande très forte dans le milieu bancaire, de la finance et de l’assurance. Ce marché concerne certaines entreprises qui ont déjà un SOC souhaite prendre se type de service pour compléter leur arsenal, mais aussi celles qui prennent ce type de service en attendant de monter leur SOC.

En outre, le MTR permet de résoudre le problème de manque de compétence par l’apport d’experts. Ce type de service, selon une enquête menée cette année par Sophos, répond à plusieurs besoins. Il permet de réduire le coût des investigations qui aujourd’hui est en moyenne de 48 jours. Il peut limiter l’impact sur l’entreprise et réduire l’exfiltration des données. De plus, il offre la possibilité de mieux comprendre l’origine des attaques.

L’EDR socle du MTR

Puis, Stéphane Roux a abordé le thème de l’EDR qui désigne une catégorie d’attaques qui concerne les end-point. L’EDR permet de trouver les menaces non détecter par les technologies classiques. L’EDR réduit la zone de doute entre les partie saines et celles infectées sur les end-points. Ainsi Sophos propose la solution Sophos InterceptX. Cette solution complète en fait l’offre de MTR de Sophos. La conjonction des ses deux solutions permet aux experts de Sophos d’avoir une vision globale sur les menaces en proposant aux utilisateurs finaux d’anticiper les attaques, en vérifiant par exemple que la politique de sécurité est bien implémentée sur les postes de travail. Aujourd’hui Sophos propose donc en plus des antimalwares classiques, Evole pour faire du MTR et InterceptX pour avoir une solution d’EDR sur les postes de travail.

Il a présenté trois cas :
Le premier avec une détection et remédiation automatique
Le second avec une détection mais une action documentée d’un expert
Le troisième est celui pour repérer les signaux très faibles par la recherche de menaces approfondies pour détecter des indices puis procéder à une analyse documentée de l’attaque. Ceci convient aux menaces ciblées.

Ainsi l’équipe de MTR de Sophos peut mener plusieurs actions de la recherche des menaces jusqu’à les actions de remédiation et des conseils pour améliorer les systèmes de défenses. Ce service se décline en fonction des besoins des clients de l’analyse simple à la recherche complexe de menaces. Le socle du service de MTR Evole de Sophos est son EDR InterceptX rappelle Stéphane Roux. En conclusion, il rappelle que Sophos s’engage sur une première réponse dans un délais de 30 minutes.




Voir les articles précédents

    

Voir les articles suivants