Les cybercriminels utilisent de plus en plus les mécanismes de chiffrement offerts par la couche de transport sécurisée TLS ( Transport Layer Security) pour échapper à la détection.

Selon le rapport publié par Sophos, près de 45 % des malwares détectés par Sophos entre janvier et mars 2021 ont utilisé des mécanismes de chiffrement pour dissimuler des communications malveillantes. Il s’agit d’une augmentation drastique par rapport aux 23 % mentionnés par Sophos dans le cadre d’une étude publiée début 2020.

Sophos a également constaté l’utilisation de couches de communication sécurisée (TLS) pour mener des attaques de rançongiciel, durant l’année écoulée ; en particulier lorsque ces ransomwares sont déployés manuellement par un attaquant. La majorité des malwares de compromission initiaux de type loader, dropper, ou encore installer contenus dans des documents, utilise des flux chiffrés, comme l’a montré BazarLoader, GoDrop ou ZLoader.

Une protection renforcée contre les menaces

La protection est alimentée par la recherche sur les menaces issue de SophosLabs Intelix, et basée sur des PetaOctets de données traitées par les SophosLabs. Les fichiers suspects sont exécutés dans un environnement virtuel sécurisé de SophosLabs Intelix, afin d’en analyser le comportement et de collecter des informations sur ceux-ci.

Les nouveaux processeurs réseau Xstream intégrés à l’appliance accélèrent automatiquement les flux de données de confiance. Par exemple, les flux liés aux solutions logicielles ‘as-a-Service’ (SaaS), au SD-WAN et aux applications hébergées dans le cloud, libérant d’avantages de ressources pour les flux nécessitant une inspection profonde des paquets (deep packet inspection). Ceci réduit la latence et améliore les performances des applications métiers et des applications essentielles, en particulier celles nécessitant des flux de communication en temps réel. De plus les processeurs réseau Xstream sont reprogrammables, ce qui permet à Sophos de mettre à jour la politique d’identification des flux. La modularité et les nouvelles interfaces permettent aux dispositifs d’évoluer tout au long du cycle d’exploitation, selon les besoins du client, garantissant ainsi une meilleure pérennité de l’investissement.

Grâce à son tableau de bord, Sophos Firewall offre la possibilité aux administrateurs de voir l’ensemble des flux chiffrés et d’implémenter, d’un simple clic de souris, des exceptions pour les flux ne nécessitant pas de déchiffrement. Afin d’optimiser la performance, les SophosLabs alimentent la liste des flux à exclure du déchiffrement.

Le nouveau matériel et le logiciel de la série Sophos Firewall XGS intègrent les solutions de cybersécurité next-gen de Sophos dès aujourd’hui. Ils s’administrent depuis Sophos Central basée dans le cloud. Grâce à la sécurité synchronisée, l’ensemble des briques fonctionnelles de cybersécurité s’intègre dans un écosystème complet. Il permet de détecter des menaces et de réagir dynamiquement pour les circonscrire et les éradiquer. Leur intégration aux services Sophos Managed Threat Response (MTR) contribue à renforcer encore la protection au moyen d’analyses effectuées par des êtres humains afin de bénéficier d’une détection des menaces et d’une réponse apportée en cas d’incident 24h/24 et 7j/7.

– Disponibilité
Les dispositifs pare-feu de la série XGS et la plupart des dispositifs 1U montées sur rack de Sophos sont disponibles dès aujourd’hui, exclusivement via le réseau de distribution de Sophos, qui se compose de plus de 53 000 partenaires et fournisseurs de services managés (MSP). Ces modèles conviennent parfaitement aux petites, moyennes et grandes entreprises. Ils constituent une solution de sécurité réseau tout-en-un avec un excellent rapport prix/performance et diverses options de connectivité additionnelles. Des modèles supplémentaires conçus pour les environnements périphériques de grandes entreprises, qui nécessitent un rendement maximal pour des configurations réseau plus complexes, seront disponibles à l’achat au cours des semaines à venir. Le système de licences simplifiées inclut une offre groupée qui comprend la protection associée à un support renforcé afin d’offrir une protection optimale au meilleur prix.

« Les dispositifs pare-feu évoluent pour sécuriser les cas d’usage les plus récents, notamment l’adoption du Cloud et la soudaine transition vers le travail à distance, » déclare Frank Dickson, Program Vice President chez IDC. « L’élégance de l’approche architecturale du pare-feu Sophos, qui utilise un double processeur Xstream, réside dans sa capacité à accélérer le trafic de confiance des flux de données dits « d’éléphants » – les flux médias volumineux, le trafic VoIP, voire les applications Cloud – pour ensuite exploiter les CPUs à usage général afin d’executer les processus adéquats qui nécessitent beaucoup de ressources, comme l’inspection approfondie des paquets (deep packet inspection) ou l’inspection TLS. Le résultat est un dispositif réseau adaptable, conçu pour protéger le système, tout en répondant à la transformation et à l’accélération des exigences métiers pour des cas d’usage variés. »