Si l’on examine les éléments nécessaires à la sécurisation correcte d’un réseau moderne, on constate qu’ils se répartissent en trois catégories : le renforcement (hardening), la protection, et la détection/réponse. Ou, pour le dire autrement : il faut être à la fois proactif et réactif, c’est-à-dire agir avant, pendant et après une attaque.

La plupart des pare-feu réseau se concentrent presque exclusivement sur la protection en temps réel (le pilier central de l'image ci-dessus), comme le filtrage du trafic, la prévention des menaces et les systèmes de prévention des intrusions (IPS). Bien que ces capacités soient importantes, se concentrer uniquement sur l'inspection du trafic en temps réel rend les organisations vulnérables à bien d'autres égards.

Nous avons beaucoup parlé de l'importance du renforcement de la sécurité et de l’approche Secure by Design (sécurité dès la conception), mais la détection et la réponse constituent un pilier tout aussi important pour la création d'une base de protection solide. 

Sécurité Synchronisée (Synchronized Security) de Sophos

Sophos Firewall est unique en ce qu'il offre des réponses aux menaces automatisées multiproduits. Nous appelons cette approche la Sécurité Synchronisée (Synchronized Security).

La Sécurité Synchronisée permet au pare-feu de coordonner la défense avec d'autres produits Sophos et d'isoler les appareils compromis, automatiquement et sans intervention admin. 

La Sécurité Synchronisée a prouvé à maintes reprises son importance capitale. 

Imaginez que vous soyez attaqué tard un vendredi soir. Dans n'importe quel autre réseau, vous vous retrouveriez face à une demande de rançon dès lundi matin. Mais avec Sophos Firewall et Sophos Synchronized Security, toute détection déclenchée sur un endpoint Sophos, par votre produit Sophos Firewall ou par un analyste Sophos MDR, déclenchera une réponse automatisée de Synchronized Security qui isolera l'attaquant et l'empêchera de communiquer avec d'autres systèmes, de communiquer vers l'extérieur ou d'accéder à vos applications et données. Tout est complètement bloqué jusqu'à ce que vous soyez en mesure de nettoyer le lundi matin.

Comment ces nouvelles capacités fonctionnent-elles ?

Sophos Synchronized Security partage en continu les informations de sécurité via une liaison Security Heartbeat entre les produits. Lorsqu'un appareil est détecté en train de tenter une action malveillante telle que le chiffrement de fichiers, la communication avec un serveur C2 ou tout autre comportement malveillant, il est immédiatement signalé par un indicateur Heartbeat rouge.

Le pare-feu informe automatiquement tous les endpoints Sophos sains de la compromission du périphérique afin qu'ils puissent immédiatement bloquer tout le trafic provenant de ce périphérique et empêcher ainsi un mouvement latéral de la menace. Le pare-feu dispose également de règles de pare-feu dynamiques qui coupent automatiquement l'accès aux ressources réseau telles que les autres segments du réseau local, Internet et les serveurs ou autres ressources en réseau. 

L'hôte compromis est effectivement isolé et incapable de communiquer, d'exfiltrer des données ou de se déplacer. Et si vous combinez Sophos Firewall avec Sophos Endpoint et Sophos Workspace Protection, vous étendez cette capacité de Sécurité Synchronisée aux employés où qu'ils soient, sur ou hors réseau.

Les fonctionnalités proposées

Comme vous l'avez constaté, Sophos Synchronized Security avec Sophos Firewall offre plusieurs avantages :

• La réponse automatisée aux menaces multiproduits permet d'identifier et de neutraliser les adversaires actifs opérant sur le réseau sans intervention de l'administrateur.
• Elle fonctionne 24h/24 et 7j/7 pour aider à contenir les attaques, quel que soit le moment où elles se produisent, de jour comme de nuit.
• La fonction Synchronized Security Heartbeat offre plusieurs avantages supplémentaires au-delà de la détection et de la réponse aux attaques, notamment le partage d'informations sur les applications et les utilisateurs entre le système endpoint et le pare-feu pour une authentification et un contrôle simplifiés des applications personnalisées ou peu connues.

La Sécurité Synchronisée est incluse sans frais supplémentaires et fonctionne automatiquement lorsque vous combinez plusieurs de nos produits ou services de Sécurité Synchronisée : Sophos Firewall, Sophos Endpoint, Sophos Workspace Protection, Sophos Email et Sophos MDR (avec Active Threat Response/Réponse Active aux Menaces) prennent tous en charge la réponse automatisée de Sécurité Synchronisée.

La Sécurité Synchronisée est une fonctionnalité unique que vous ne trouverez nulle part ailleurs, et c'est une autre des nombreuses raisons pour lesquelles les clients choisissent Sophos.

Billet inspiré de Sophos Firewall and Synchronized Security, sur le Blog Sophos.