Sophos XDR étend de nouvelles capacités EDR à ses solutions de cybersécurité Next-Gen, et crée ainsi le système intégré de détection et de réponse aux menaces le plus complet

Paris — mai 5, 2021 —

Sophos, leader mondial de la cybersécurité Next-Gen, annonce Sophos XDR, la seule solution XDR (Extended Detection & Response) du marché qui synchronise la sécurité native des postes de travail, des serveurs, pare-feux et messageries. Grâce à cette approche complète et intégrée, Sophos XDR offre une vue globale de l’environnement d’une entreprise, associant un ensemble extrêmement riche de données et une analyse poussée pour la détection des menaces, leur investigation et la réponse à leur apporter.

« Face au niveau extraordinairement élevé de ransomwares complexes et d’autres cybermenaces que nous observons, la nécessité d’une cybersécurité efficace et complète n’a jamais été aussi critique et urgente », commente Dan Schiappa, Directeur produits chez Sophos. « Sophos XDR est une nouvelle solution révolutionnaire qui assure une défense proactive contre les attaques les plus élaborées et sournoises, en particulier celles qui exploitent des points d’accès multiples pour s’infiltrer et qui se déplacent ensuite latéralement pour échapper à la détection et faire le plus de dégâts le plus vite possible. »

Des attaques tous azimuts 
Sophos vient également de publier une nouvelle étude, intitulée Intervention halts a ProxyLogon-enabled attack, qui détaille une attaque lancée contre une grande entreprise via un serveur Exchange et exploitant la vulnérabilité ProxyLogon découverte dernièrement. L’étude révèle comment les auteurs de l’attaque se sont déplacés latéralement sur le réseau et, en l’espace de deux semaines, ont dérobé des identifiants de comptes, ont infecté des contrôleurs de domaine, se sont implantés sur plusieurs machines, ont déployé un outil commercial d’accès à distance pour pouvoir continuer d’accéder aux machines piratées et ont diffusé un certain nombre de programmes malveillants.

« Ainsi que le souligne l’étude, les attaquants ont multiplié les tentatives, parfois armés d’outils différents et d’autres fois en déployant le même outil, par exemple Cobalt Strike, sur plusieurs machines. Ils ont fait appel à un outil d’accès à distance du commerce plutôt qu’au protocole standard RDP, que les chasseurs de menaces recherchent plus généralement », précise Dan Schiappa. « Cette étude décrit la nature complexe des cyberattaques humaines et la difficulté, pour les équipes de sécurité informatique, de suivre et de contenir les incidents faisant intervenir des phases et vecteurs multiples. L’entreprise ciblée ne pouvait tout simplement pas faire face à une telle attaque tous azimuts. Si l’on en juge par le rapport sur l’État des ransomwares 2021de Sophos, ce problème ne se cantonne pas à un incident isolé. Plus de 54 % des responsables informatiques interrogés estiment que les cyberattaques sont trop pointues pour pouvoir être traitées pour leurs propres équipes. Une solution XDR est un composant essentiel pour s’en protéger. »

Une analyse poussée des menaces à partir d’un riche ensemble de données 
Sophos XDR apporte davantage de visibilité à l’offre de solutions de nouvelle génération de Sophos pour dresser un tableau précis des menaces. Au cœur de Sophos XDR se trouve l’ensemble de données le plus riche du marché. Sophos XDR conserve deux types de données, à savoir jusqu’à 90 jours de données recueillies sur les machines, à quoi s’ajoutent 30 jours de données transversales entre produits dans un Data Lake dans le cloud. Cette méthode exclusive, consistant à associer l’investigation des données sur les machines et dans le Data Lake, produit les analyses contextualisées les plus vastes et approfondies, exploitables par les analystes de sécurité via Sophos Central et des API ouvertes, pour être intégrées à des systèmes SIEM (Security Information & Event Management), SOAR (Security Orchestration, Automation & Response), PSA (Professional Service Automation) et RMM (Remote Monitoring & Management).

Le Data Lake regroupe les informations critiques fournies par Intercept XIntercept X for ServerSophos Firewall et Sophos EmailSophos Cloud Optix et Sophos Mobile alimenteront eux aussi le réservoir de données dans le courant de cette année. Les équipes de sécurité et informatiques ont facilement accès à ces données pour traquer les menaces, mener des investigations entre les divers produits et zoomer rapidement sur les détails granulaires des attaques passées ou en cours. La disponibilité d’un accès offline aux données historiques renforce encore la protection en cas de perte ou d’endommagement de machines.

Par ailleurs, Sophos lance une nouvelle version de sa solution phare de détection et de réponse sur les postes de travail, Sophos EDR. De nouvelles requêtes programmées et des fonctions personnalisables, permettant de changer de contexte, apportent aux analystes de sécurité et aux administrateurs informatiques une rapidité et une facilité sans précédent pour identifier, examiner et traiter les problèmes de sécurité avec promptitude et précision. Les utilisateurs bénéficient en outre de nouvelles requêtes préconfigurées et de puissants outils de veille des menaces grâce à l’intégration avec SophosLabs Intelix. Les clients de Sophos EDR auront accès à sept jours de données (pouvant être portés à 30 jours) hébergées dans le Data Lake dans le cloud, en plus des 90 jours de données sur les machines.

« Étant l’une des principales chaînes britanniques de magasins de vêtements exploitant des centaines de boutiques à travers le monde, la sécurité fait partie de nos priorités. Nous nous engageons à protéger les données de nos clients et cela commence par la défense de nos réseaux contre les menaces avancées », témoigne Alistair Knowles, analyste en cybersécurité chez Ted Baker. « Sophos XDR offre une visibilité essentielle sur une mine de données précieuses concernant les terminaux, ce qui nous permet de détecter et de bloquer les menaces avant qu’elles ne causent des dommages. Nous pouvons facilement rechercher ces incidents, qui s’apparentent à une aiguille dans une meule de foin, et déterminer leur ampleur en ayant à portée de main des données aussi bien nouvelles qu’historiques. L’intégration avec des solutions comme Splunk, par exemple, fait franchir un palier supplémentaire, avec des analyses encore plus poussées. Une fois que nous disposons des éléments nécessaires pour neutraliser une menace, les fonctionnalités de Sophos Live Response nous aident à remédier aux problèmes à distance, ce qui est impératif dans les environnements de télétravail actuels. »

Une évolution de la cybersécurité vers un écosystème adaptatif et ouvert 
Sophos XDR et EDR font partie de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, une nouvelle architecture de sécurité qui optimise la prévention, la détection et le traitement des menaces. Sophos ACE s’appuie sur des outils automatisés et analytiques, ainsi que sur l’apport collectif des produits, partenaires, clients et développeurs de Sophos, ainsi que d’autres acteurs du secteur de la sécurité, afin de créer une protection qui s’améliore continuellement : un cercle vertueux fait d’apprentissage et de progrès constants.

Sophos ACE repose sur le Data Lake, mettant en corrélation les informations exploitables issues des solutions et services Sophos ainsi que de la veille des menaces assurée par SophosLabsSophos AI et l’équipe Sophos Managed Threat Response. Des API ouvertes permettent aux clients, partenaires et développeurs de créer des outils et solutions qui interagissent avec le système, en tirant parti des intégrations existantes. Sophos est à la pointe du secteur avec cette approche et s’intègre d’ores et déjà avec de nombreux acteurs du secteur.

« Les auteurs des attaques sont de plus en plus sagaces et performants pour échapper aux radars. Le seul moyen de suivre leur rythme est de faire appel à l’automatisation et à l’intelligence artificielle pour analyser les comportements et les événements et y réagir plus rapidement, en y associant des analystes humains pour mettre en corrélation des signaux suspects multiples et interpréter leur véritable signification », conclut Dan Schiappa. « L’écosystème de cybersécurité adaptatif (ACE) est une évolution de l’approche – saluée – de sécurité synchronisée de Sophos, apportant une solution élégante à un problème complexe. Cet écosystème intelligent est conçu pour protéger l’interconnexion de nos entreprises et du monde en ligne et il arrive à point nommé compte tenu des réalités qui, l’an dernier, ont contraint à des passages précipités au télétravail et à l’adoption du cloud. »

Disponibilité 
Sophos XDR ainsi que la mise à jour des fonctionnalités EDR pour Intercept X Advanced with EDR et Intercept X Advanced for Server with EDR seront disponibles au niveau mondial à compter du 19 mai auprès des partenaires Sophos. Les partenaires et les clients peuvent facilement gérer l’ensemble des solutions XDR et EDR sur la plateforme cloud Sophos Central, via une console unifiée.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.