Ces types de menaces reposent sur des attaquants actifs, utilisant des attaques sans fichier et des outils d’administration - tels que PowerShell - pour faire évoluer les privilèges, exfiltrer des données et se répandre latéralement, comme expliqué dans l’article des SophosLabs Uncut sur le malware Lemon_Duck PowerShell. De telles attaques sont difficiles à détecter car elles impliquent un adversaire actif qui utilise des outils légitimes à des fins néfastes, et le Managed Threat Response aide à éliminer cette menace.

En s’appuyant sur Intercept X Advanced avec Endpoint Detection and Response (EDR), Sophos MTR associe l’apprentissage automatique aux analyses d’experts afin d’améliorer la chasse et la détection des menaces, de mener des investigations plus approfondies sur les alertes et de lancer des actions ciblées afin d’éliminer les menaces. Ces capacités innovantes, qui se basent sur les technologies acquises par Sophos via Rook Security et DarkBytes, comprennent :
– Une traque des menaces dirigée par des experts : Sophos MTR anticipe le comportement des attaquants et identifie de nouveaux indicateurs d’attaque et de compromission. Les traqueurs de menaces Sophos suivent et valident de manière proactive ces dernières, ainsi que les incidents potentiels, et investiguent les événements occasionnels et adjacents afin de découvrir de nouvelles menaces qui étaient auparavant impossibles à détecter.
– Une détection d’adversaire avancée (Advanced adversarial detection) : Sophos MTR utilise des techniques d’investigation qui ont fait leurs preuves pour différencier les comportements légitimes des tactiques, techniques et procédures (TTP) utilisées par les attaquants. Associée à la télémétrie améliorée de Sophos Central, qui fournit une image complète et détaillée des activités de l’adversaire dans le cadre du service proposé, la portée et la gravité des menaces peuvent être déterminées afin de fournir une réponse rapide.
– Une réponse humaine accélérée par la machine : une équipe hautement qualifiée d’experts de renommée internationale utilise les informations sur les menaces pour confirmer ces dernières. Elle prend également les mesures adéquates pour perturber, contenir et neutraliser à distance les menaces.
– Conseils relatifs à la découverte d’actifs et à la santé normative de la sécurité : Sophos MTR fournit des informations précieuses sur les actifs gérés et non gérés, ainsi que sur les vulnérabilités, pour une évaluation plus optimisée de l’impact et une meilleure traque des menaces. Des conseils normatifs et pratiques, pour remédier aux faiblesses de configuration et d’architecture, permettent aux entreprises d’améliorer de manière proactive leur posture de sécurité avec des défenses renforcées.

Sophos MTR est personnalisable à l’aide de différents services tiers et modes de réponse. Sophos MTR est disponible dès à présent auprès des partenaires Sophos enregistrés dans le monde entier.