Les adversaires actifs constituent désormais une menace majeure pour les entreprises de toutes tailles. Des cybercriminels hautement qualifiés continuent de développer et de faire évoluer leurs techniques en réponse à des défenses renforcées, en lançant des attaques à grande échelle et en utilisant des techniques sophistiquées spécialement conçues pour éviter de déclencher des solutions de sécurité préventives.
Nous sommes ravis d’annoncer l’ajout de nouvelles fonctionnalités aux solutions Sophos Firewall, Sophos XDR et Sophos NDR pour permettre aux entreprises de mieux se protéger contre ces adversaires actifs.
Qui sont ces adversaires actifs et comment opèrent-ils ?
Les adversaires actifs sont des cybercriminels hautement qualifiés, souvent dotés de compétences sophistiquées en matière de logiciels et de réseaux. Ils parviennent à pénétrer dans les systèmes d’une entreprise, échappent à la détection et adaptent continuellement leurs techniques, en utilisant des méthodes manuelles et d’autres assistées par l’IA pour contourner les contrôles de sécurité préventifs et lancer leurs attaques.
Les entreprises ont besoin de contrôles de sécurité adaptatifs conçus pour détecter et répondre aux approches couramment utilisées par les adversaires actifs :
Attaques en plusieurs étapes
Il s’agit d’attaques qui se terminent à un endroit différent de celui où elles ont commencé.
Les adversaires actifs exécutent des attaques qui parcourent plusieurs domaines au sein de l’environnement de la victime. L’ampleur de ces attaques ne peut pas être détectée par un seul produit. Les entreprises ont besoin de visibilité sur l’ensemble de leurs écosystèmes.
Attaques ‘Living off the land’
Il s’agit d’attaques utilisant des outils légitimes de manière malveillante.
Les outils de sécurité préventifs ne sont pas en mesure de bloquer l’utilisation d’outils informatiques légitimes sans risquer de provoquer des perturbations opérationnelles importantes. Les attaquants en profitent en utilisant des outils informatiques légitimes tels que le RDP et PowerShell pour se fondre dans la masse.
Vulnérabilités inconnues
Il s’agit d’attaques qui exploitent une faiblesse, une faille ou une erreur dans un logiciel.
Les attaquants exploitent des vulnérabilités Zero Day et d’autres non corrigées pour exécuter des attaques : 65 % des attaques de ransomware commencent par un attaquant exploitant une vulnérabilité inconnue ou se connectant à l’aide d’identifiants légitimes.
Abus d’identifiants
Il s’agit d’attaques qui débutent avec un adversaire qui se connecte au lieu de s’introduire par effraction.
Les adversaires actifs utilisent des identifiants d’utilisateurs légitimes compromis pour se connecter et lancer leurs attaques. Les outils de sécurité préventive sont incapables de bloquer ou de détecter ce type d’intrusion jusqu’à ce que « l’utilisateur » ait un comportement suspect ou malveillant.
Notre nouveau rapport Active Adversary 2023 pour les professionnels de la sécurité met en évidence les principaux changements dans le comportement des adversaires au cours de la dernière année, notamment ceux mentionnées ci-dessous :
- Les attaquants accélèrent le rythme. Le temps de séjour des ransomwares diminue rapidement, passant de neuf jours en 2022 à cinq jours au premier semestre 2023.
- Les adversaires abusent fréquemment des outils informatiques légitimes. Les LOLBins (Living-off-the-Land Binaries) et les techniques utilisées par les adversaires actifs ne varient pas considérablement entre les attaques rapides (< cinq jours de temps de séjour) et lentes (> cinq jours de temps de séjour).
- Les adversaires actifs innoveront uniquement quand il le faudra, et seulement si de tels changements leur permettront d’atteindre leur cible.
Le rapport souligne la nécessité pour les entreprises de comprendre le comportement des adversaires actifs et d’avoir une visibilité sur l’ensemble de leurs écosystèmes de sécurité pour les détecter rapidement et répondre encore plus rapidement.
Quelles sont les nouveautés ?
Nous ajoutons de nouvelles fonctionnalités à la plateforme Sophos via Sophos XDR, Sophos Firewall et Sophos NDR qui donnent aux entreprises encore plus de pouvoir pour se défendre contre les adversaires actifs :
Sophos Firewall avec la fonctionnalité de réponse aux menaces actives
Maintenant disponible !
La nouvelle fonctionnalité Réponse aux menaces actives de Sophos Firewall v20 fournit une réponse instantanée et automatisée aux adversaires actifs. Les analystes de Sophos XDR et MDR peuvent transmettre des renseignements sur les menaces (Threat Intel) aux pare-feux directement depuis Sophos Central, permettant ainsi aux pare-feux de coordonner immédiatement leurs défenses sans avoir besoin d’une intervention manuelle ou de nouvelles règles de pare-feu.
Sophos NDR désormais disponible pour XDR
Disponible à partir du 20 novembre 2023.
Sophos NDR (Network Detection and Response) détecte les adversaires actifs se déplaçant sur le réseau d’une entreprise en passant d’un appareil à l’autre. Auparavant disponible uniquement en tant que module complémentaire de Sophos MDR, Sophos NDR est désormais disponible en tant que module complémentaire de Sophos XDR, pour les entreprises qui gèrent leurs propres activités de détection et de réponse.
Sophos XDR avec une compatibilité tierce étendue et une UX optimisée
Disponible à partir du 20 novembre 2023
Nous élargissons considérablement la gamme d’outils et de produits tiers que les clients peuvent intégrer à Sophos XDR, dans les catégories endpoint, pare-feu, Cloud, gestion des identités, réseau, messagerie et productivité. Sophos XDR consolide les données de sécurité et fournit aux clients une console unique à partir de laquelle ils peuvent travailler, avec des flux de travail optimisés qui réduisent leurs charges de travail en matière d’investigation.
Produits individuels versus produits et services connectés fonctionnant ensemble
Les attaquants adaptent continuellement leurs techniques, entraînant ainsi l’introduction de nouveaux produits individuels pour se défendre contre ces nouvelles approches. Cependant, des outils isolés ne communiquent généralement pas bien entre eux. Sophos propose une plateforme unifiée qui intègre un large portefeuille de produits et services de cybersécurité conçus pour fonctionner ensemble de manière transparente. De plus, compatible avec les technologies tierces, l’écosystème connecté de Sophos fournit des actions automatisées et des données corrélées, permettant ainsi aux entreprises de détecter, d’investiguer et de répondre plus rapidement aux adversaires actifs, au niveau de toutes les surfaces d’attaque critiques.
Renforcez votre protection contre les adversaires actifs
Pour en savoir plus et découvrir comment les solutions Sophos peuvent aider votre entreprise à mieux se défendre contre les adversaires actifs, consultez les ressources produit actualisées pour Sophos XDR, Sophos NDR et Sophos Firewall sur le Portail Partenaires Sophos.