• Les cyberattaques hybrides, faisant auparavant exclusivement partie du playbook des attaquants ciblant les Etats-Nations, sont dorénavant couramment utilisées par les cybercriminels.
  • La recherche menée par les SophosLabs souligne à quel point il est facile pour les cybercriminels de tirer parti de l'automatisation et des bots conçus pour découvrir des cibles vulnérables.
  • Le composant EDR fournit des informations indispensables sur les menaces, pour améliorer la sécurité des serveurs
PARIS — juin 4, 2019 —

Sophos (LSE: SOPH), leader mondial de la sécurité des réseaux et des systèmes endpoint, annonce le lancement d’Intercept X for Server avec la fonctionnalité EDR (Endpoint Detection and Response). Cette nouvelle fonctionnalité permettra aux responsables informatiques d’enquêter sur les cyberattaques lancées contre les serveurs, une cible très prisée en raison de la grande valeur des données qui y sont généralement stockées. Les cybercriminels font évoluer en permanence leurs méthodes et associent désormais l’automatisation avec les compétences humaines en matière de piratage, et ceci afin de mener à bien des attaques contre des serveurs. Ce nouveau type d’attaque hybride associe l’utilisation de bots, pour identifier les victimes potentielles, et des attaquants actifs pour décider qui et comment attaquer.

Le rapport Worms Deliver Cryptomining Malware to Web Servers publié par SophosLabs Uncut, souligne à quel point il est facile pour les cybercriminels d'exploiter les bots pour identifier des cibles vulnérables. Le rapport décrit une attaque automatisée capable de transmettre une large gamme de codes malveillants à des serveurs qui, en tant que catégorie, ont tendance à être en retard sur les cycles de mise à jour normaux.

Anatomie d'une cyberattaque hybride

Une fois les cibles potentielles identifiées par les bots, les cybercriminels utilisent leur savoir-faire pour sélectionner les victimes en fonction de la portée des données sensibles, de la propriété intellectuelle de l’entreprise, de sa capacité à payer une forte rançon ou de l'accès qui est offert à d'autres serveurs et réseaux. Les étapes finales sont cérébrales et manuelles : pénétrer dans le système, éviter la détection et se déplacer latéralement pour mener à bien la mission. L’objectif peut être de se faufiler discrètement pour dérober des renseignements sans se faire prendre, désactiver les sauvegardes et chiffrer les serveurs pour exiger de fortes rançons, ou encore utiliser les serveurs comme bases pour attaquer d’autres entreprises.

« Les cyberattaques hybrides, qui faisaient auparavant exclusivement partie du playbook des attaquants ciblant les Etats-Nations, sont dorénavant couramment utilisées par les cybercriminels car elles sont rentables. La différence réside dans le fait que les attaquants ciblant les États-Nations ont tendance à rester dans le réseau de longues périodes alors que les cybercriminels ordinaires recherchent des moyens de gagner de l'argent rapidement », a déclaré Dan Schiappa, chef de produit chez Sophos. « La plupart des malwares sont désormais automatisés. Il est donc facile pour les attaquants de trouver des entreprises dont la sécurité présente des faiblesses, d'évaluer leur potentiel de paiement et d'utiliser des techniques de piratage manuel pour maximiser le plus possible les dégâts qui seront causés ».

Sophos explique comment les cyberattaques hybrides fonctionnent dans cette vidéo : Intercept X for Server avec Endpoint Detection and Response (EDR).

 

Sophos Intercept X for server avec EDR

Grâce à Sophos Intercept X for Server avec EDR, les responsables informatiques des entreprises de toutes tailles ont désormais une visibilité globale. Cette possibilité leur permet de détecter de manière proactive les attaques furtives, de mieux comprendre l’impact d’un incident de sécurité et de signaler rapidement ce qui s’est passé ou bien ce qui n’a pas eu lieu.

« Lorsque des attaquants s’introduisent dans un réseau, ils se dirigent directement vers le serveur. Malheureusement, la nature critique de ces derniers empêche de nombreuses entreprises d’apporter des changements, retardant souvent considérablement le déploiement des correctifs. Les cybercriminels profitent de cette opportunité. Si une entreprise est victime d'une attaque, elle doit connaître exactement le contexte des périphériques et des serveurs qui ont été touchés pour pouvoir améliorer leur sécurité et répondre aux questions relatives à la réglementation. Le fait d’avoir accès à ces informations avec exactitude, et ce dès le départ, peut aider les entreprises à résoudre les problèmes beaucoup plus rapidement et empêcher qu’ils ne se reproduisent », a déclaré Schiappa. « Si les régulateurs s'appuient sur l’analyse forensique digitale comme preuve de la perte de données, les entreprises peuvent alors s'appuyer sur cette même expertise pour démontrer que leurs données n'ont pas été volées. Sophos Intercept X for Server avec EDR fournit cette visibilité nécessaire et apporte les informations requises en matière de sécurité ».

Sophos Intercept X for serveur avec EDR élargit l’offre EDR de Sophos, lancée pour la première fois pour Intercept X for endpoint en octobre 2018. La fonctionnalité EDR utilise la technologie Deep Learning qui permet une recherche plus poussée des malwares. Le réseau neuronal Deep Learning de Sophos est formé sur des centaines de millions d'échantillons pour rechercher les attributs suspects de code malveillant afin de détecter des menaces jamais vues auparavant. Il fournit une analyse large et pointue des attaques potentielles en comparant l'ADN des fichiers suspects avec les échantillons de malwares déjà répertoriés par les SophosLabs.

« Nos recherches montrent que les préoccupations en matière de sécurité et de pénurie de compétences occupent une place prépondérante, et ce au plus haut niveau, dans de nombreuses entreprises du secteur de l'informatique et de la cybersécurité », a déclaré Fernando Montenegro, analyste senior secteur chez 451 Research. « Etant donné que les cybermenaces sont issues de multiples vecteurs, et se développent de manière constante, les entreprises ne peuvent pas se permettre d’avoir des angle-morts au niveau de leur visibilité. Selon nous, comme les équipes de sécurité recherchent des moyens d’améliorer leur protection, le fait de combiner les fonctionnalités EDR et la visibilité sur les systèmes endpoint et les serveurs constitue un pas en avant significatif vers une efficacité renforcée ».

Grâce à la fonctionnalité EDR de Sophos, les responsables informatiques ont également un accès à la demande aux données précises et structurées fournies par les SophosLabs, des études/analyses détaillées sur des événements suspects, et des recommandations pour mettre en place un plan d’action. Pour conserver une visibilité totale sur les menaces existantes, les SophosLabs suivent, déconstruisent et analysent chaque jour 400 000 attaques de malwares uniques et inédites.

« Nos clients utilisent Sophos Intercept X avec EDR pour leurs endpoints, et le retour que nous avons eu est que l’EDR Sophos est facile à implémenter, à utiliser et à gérer. Cette solution réduit les compétences nécessaires pour gérer l’EDR et apporte à nos clients une plus grande efficacité dans la protection de leurs serveurs, un facteur essentiel quand on pense au niveau élevé des attaques existantes », explique Sam Heard, président de Data Integrity Services, partenaire de Sophos dans le Lakeland, Fla. « Avec EDR for Servers, Sophos s’appuie sur son système de protection des terminaux Intercept X.. Sophos est également le seul vendeur à rassembler toutes ses solutions de sécurité dans une plateforme centralisée basée dans le cloud, Sophos Central. C’est également le seul à connecter son endpoint et son réseau de protection via la Sécurité Synchronisée. Ajouter EDR for servers constitue déjà une avancée majeure dans le secteur, apportant une meilleure protection à nos clients »

Prix et disponibilité

Les détails sur les prix et la disponibilité sont disponibles auprès des partenaires Sophos dans le monde entier.

Pour plus d’informations, veuillez consulter les articles Worms Deliver Cryptomining Malware to Web Servers et Naked Security. Des informations supplémentaires sur Sophos EDR pour Intercept X for Server sont disponibles sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.