Sophos lance son service Rapid Response pour l’identification et la neutralisation des cyberattaques actives

Sophos Press Release

Une réponse rapide aux incidents pour atténuer les dommages des attaques et réduire ainsi les délais de reprise d’activité

Lors de la récente vague d’attaque Ryuk, Sophos Rapid Response a révélé la première utilisation de Buer, un malware de type « dropper » servant à implanter des ransomwares

PARIS, le 28 octobre 2020 – Sophos, leader mondial de la cybersécurité Next-Gen, annonce la disponibilité de Sophos Rapid Response, le premier service du marché de réponse à distance aux incidents pour un tarif forfaitaire, destiné à l’identification et à la neutralisation des cyberattaques actives au cours des 45 jours que dure une intervention. Sophos Rapid Response met à la disposition des entreprises une équipe dédiée 24 heures sur 24, 7 jours sur 7, à la réponse aux incidents, à la chasse des menaces et leur analyse, afin de bloquer rapidement les attaques avancées et d’éliminer les intrus sur leurs réseaux, en réduisant les dommages, les coûts et les délais de reprise de l’activité.

Sophos Rapid Response a permis de mettre en lumière la première utilisation connue de Buer, un malware de type « dropper » destiné à implanter des ransomwares. Dans une nouvelle étude publiée aujourd’hui, intitulée Hacks for Sale: Inside Buer Loader's Malware-as-a-Service, Sophos détaille la façon dont Buer infecte les PC Windows pour y implanter une charge malveillante. Sophos Rapid Response a permis cette découverte récemment, alors qu’il était occupé à lutter contre une attaque menée à l’aide du ransomware Ryuk – qu’il est parvenu à détecter et à neutraliser – laquelle appartenait à une vague d’incursions Ryuk utilisant de nouvelles formes d’outils, de techniques et de procédures. Sophos a fait cette découverte en neutralisant l’une de ces attaques récentes. Lors de l’incident en question, des assaillants ont utilisé sans relâche le dropper Buer pour tenter de lancer le ransomware Ryuk, puis ont redoublé d’efforts en combinant Buer avec d’autres types de téléchargeurs.

« En cas d’attaque, la rapidité est essentielle. Chaque minute compte entre l’infection initiale et la neutralisation tandis que le cycle de l’attaque se déroule à grande vitesse », souligne Joe Levy, CTO de Sophos. « Des attaques avancées peuvent rapidement paralyser les activités d’une entreprise, comme ne le savent que trop bien les responsables informatiques ayant eu directement affaire à un ransomware. Ces derniers font état de la nécessité de consacrer proportionnellement plus de temps à la réponse aux incidents et moins de temps à la prévention des menaces que ceux qui n’en ont pas été victimes. Sophos Rapid Response interrompt les attaques actives, évitant le processus long et complexe destiné à bloquer des assaillants déterminés, de sorte que les entreprises puissent reprendre plus rapidement leur activité normale. »

Sophos Rapid Response neutralise un large éventail d’incidents de sécurité : ransomwares, intrusions sur le réseau, attaques manuelles de type « hands-on keyboard », etc. L’équipe Sophos Rapid Response peut être intégrée à l’entreprise et activée en l’espace de quelques heures, et la majorité des attaques peuvent être triées sous 48 heures.

« Cette année, des attaques dévastatrices de ransomware ont malheureusement constitué une mine d’or pour les cybercriminels, un phénomène d’un ampleur inédite dans le secteur de la cybersécurité. Près de 85 % des attaques pour lesquelles Sophos Rapid Response a eu jusqu’ici un rôle à jouer  étaient liées à  l’utilisation d’un ransomware – notamment Ryuk, REvil et Maze – et je peux affirmer en toute confiance que la plupart des autres attaques auxquelles nous avons dû mettre un terme auraient également abouti à une demande de rançon si nous n’avions pas agi si promptement », commente Peter Mackenzie, responsable de la réponse aux incidents chez Sophos. « Des outils facilement accessibles permettent aux auteurs des attaques de gagner plus d’argent en une semaine que la plupart d’entre nous au cours d’une vie entière de travail. Des criminels infiltrent les réseaux et planifient discrètement leurs attaques en coulisses, avant de lancer à un moment stratégique un ransomware intégré à la charge malveillante finale, souvent pendant la nuit, lorsque personne ne surveille les systèmes, afin de l’exécuter sur le plus grand nombre possible de machines. Sophos Rapid Response intervient alors immédiatement pour éteindre l’incendie, ce qui – comme dans le cas d’un hôpital auquel nous sommes venus en aide ce mois-ci après qu’une attaque par le ransomware Ryuk l’eut contraint à fermer – peut être une question de vie ou de mort. »

Sophos Rapid Response fait partie de Sophos Managed Threat Response (MTR), une équipe mondiale qui offre des services proactifs, entièrement managés, de chasse aux menaces, de détection et de réponse. Figurant parmi les services managés de détection et de réponse (MDR) les plus utilisés du marché avec plus de 1400 clients, Sophos MTR se distingue par sa capacité d’agir proactivement pour le compte d’une entreprise afin de neutraliser les menaces en temps réel.

Une fois les menaces immédiates neutralisées lors d’une intervention de Sophos Rapid Response, le service évolue vers une surveillance proactive en continu, 24 heures sur 24, pour la chasse, l’investigation, la détection et le traitement des menaces par l’équipe Sophos MTR. Un rapport d’investigation détaille les découvertes effectuées, les mesures prises et les autres remèdes recommandés, aidant ainsi les entreprises à déterminer l’origine des attaques, les ressources infectées et les données piratées.

Sophos Rapid Response est disponible dès à présent pour les clients existants ou non de Sophos. A la différence des services classiques de réponse aux incidents et d’investigation qui nécessitent des déploiements longs et complexes facturés à l’heure, Sophos Rapid Response est une offre à distance à prix forfaitaire en fonction du nombre d’utilisateurs et serveurs de l’entreprise. Sophos Rapid Response est également structuré pour répondre aux besoins des entreprises de toutes tailles, y compris les plus petites, qui jusqu’ici ne pouvaient facilement bénéficier d’un service de cette nature sans avoir à payer un tarif d’astreinte.

Témoignages d’analystes:

« Les cyberattaques deviennent de plus en plus sérieuses et gagnent en sophistication. Comme nous avons pu le constater cette année, en temps de crise, personne n’est à l’abri. Une étude menée par IDC révèle que 85 % des acteurs sondés ont subi au moins une incursion due à une faille de sécurité qui a entraîné des dépenses supplémentaires conséquentes afin d’être rectifiée au cours des deux dernières années ; c’est pourquoi les entreprises doivent se tenir prêtes, » déclare Frank Dickson, program vice president chez IDC. « L’offre Sophos Rapid Response est un service dont personne ne veut avant d’en avoir besoin. Néanmoins, de nombreuses entreprises sont tout simplement mal préparées à lutter contre une attaque active ou désireuses de réagir plus rapidement et de manière plus agressive que leurs ressources internes ne le permettent. Grâce à sa tarification forfaitaire prévisible et sa capacité d’activation le jour même, Sophos Rapid Response offre des garanties aux clients au moment où ceux-ci en ont le plus besoin. »

Ressources complémentaires

À propos de Sophos

Leader mondial de la cybersécurité Next-Gen, Sophos protège plus de 400 000 organisations de toutes tailles dans plus de 150 pays contre les cyber menaces les plus avancées. Avec le support permanent des SophosLabs, un réseau mondial de centres d’analyse des menaces, les solutions Cloud native et augmentées par l’IA de Sophos protègent les systèmes (ordinateurs, serveurs et mobiles) et les réseaux contre les techniques d’attaque informatique en constante évolution, notamment les ransomwares, les malwares, les exploits, le vol de données, le piratage, le phishing et bien d’autres menaces. Sophos Central, une plateforme de gestion Cloud native, intègre l’ensemble du portefeuille de produits Next-Gen de Sophos, dont la solution Endpoint Intercept X et le pare-feu Next-Gen XG Firewall, dans un système unifié de « sécurité synchronisée » accessible via un ensemble d’API. Sophos mène une transition vers la cybersécurité Next-Gen, en exploitant les capacités avancées du Cloud, du Machine Learning, des API, de l’automatisation, des services managés de réponse aux menaces, et bien plus encore, pour offrir une protection de pointe aux organisations de toutes tailles. Les produits et services Sophos sont disponibles exclusivement via un réseau mondial de plus de 47 000 partenaires et fournisseurs de services managés (MSP). Sophos met également ses technologies professionnelles innovantes à la disposition du grand public avec Sophos Home. Le siège social de la société est basé à Oxford, au Royaume-Uni. Pour plus de détails, veuillez consulter notre site Web à l’adresse www.sophos.fr.