Sophos lance une solution XDR
mai 2021 par Marc Jacob
Sophos annonce Sophos XDR, la seule solution XDR (Extended Detection & Response) du marché qui synchronise la sécurité native des postes de travail, des serveurs, pare-feu et messageries. Grâce à cette approche complète et intégrée, Sophos XDR offre une vue globale de l’environnement d’une entreprise, associant un ensemble extrêmement riche de données et une analyse poussée pour la détection des menaces, leur investigation et la réponse à leur apporter.
Des attaques tous azimuts
Sophos vient également de publier une nouvelle étude, intitulée Intervention halts a ProxyLogon-enabled attack, qui détaille une attaque lancée contre une grande entreprise via un serveur Exchange et exploitant la vulnérabilité ProxyLogon découverte dernièrement. L’étude révèle comment les auteurs de l’attaque se sont déplacés latéralement sur le réseau et, en l’espace de deux semaines, ont dérobé des identifiants de comptes, ont infecté des contrôleurs de domaine, se sont implantés sur plusieurs machines, ont déployé un outil commercial d’accès à distance pour pouvoir continuer d’accéder aux machines piratées et ont diffusé un certain nombre de programmes malveillants.
Une analyse poussée des menaces à partir d’un riche ensemble de données
Sophos XDR apporte davantage de visibilité à l’offre de solutions de nouvelle génération de Sophos pour dresser un tableau précis des menaces. Au cœur de Sophos XDR se trouve l’ensemble de données le plus riche du marché. Sophos XDR conserve deux types de données, à savoir jusqu’à 90 jours de données recueillies sur les machines, à quoi s’ajoutent 30 jours de données transversales entre produits dans un Data Lake dans le cloud. Cette méthode exclusive, consistant à associer l’investigation des données sur les machines et dans le Data Lake, produit les analyses contextualisées les plus vastes et approfondies, exploitables par les analystes de sécurité via Sophos Central et des API ouvertes, pour être intégrées à des systèmes SIEM (Security Information & Event Management), SOAR (Security Orchestration, Automation & Response), PSA (Professional Service Automation) et RMM (Remote Monitoring & Management).
Le Data Lake regroupe les informations critiques fournies par Intercept X, Intercept X for Server, Sophos Firewall et Sophos Email. Sophos Cloud Optix et Sophos Mobile alimenteront eux aussi le réservoir de données dans le courant de cette année. Les équipes de sécurité et informatiques ont facilement accès à ces données pour traquer les menaces, mener des investigations entre les divers produits et zoomer rapidement sur les détails granulaires des attaques passées ou en cours. La disponibilité d’un accès offline aux données historiques renforce encore la protection en cas de perte ou d’endommagement de machines.
Par ailleurs, Sophos lance une nouvelle version de sa solution phare de détection et de réponse sur les postes de travail, Sophos EDR. De nouvelles requêtes programmées et des fonctions personnalisables, permettant de changer de contexte, apportent aux analystes de sécurité et aux administrateurs informatiques une rapidité et une facilité sans précédent pour identifier, examiner et traiter les problèmes de sécurité avec promptitude et précision. Les utilisateurs bénéficient en outre de nouvelles requêtes préconfigurées et de puissants outils de veille des menaces grâce à l’intégration avec SophosLabs Intelix. Les clients de Sophos EDR auront accès à sept jours de données (pouvant être portés à 30 jours) hébergées dans le Data Lake dans le cloud, en plus des 90 jours de données sur les machines.
Une évolution de la cybersécurité vers un écosystème adaptatif et ouvert
Sophos XDR et EDR font partie de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, une nouvelle architecture de sécurité qui optimise la prévention, la détection et le traitement des menaces. Sophos ACE s’appuie sur des outils automatisés et analytiques, ainsi que sur l’apport collectif des produits, partenaires, clients et développeurs de Sophos, ainsi que d’autres acteurs du secteur de la sécurité, afin de créer une protection qui s’améliore continuellement : un cercle vertueux fait d’apprentissage et de progrès constants.
Sophos ACE repose sur le Data Lake, mettant en corrélation les informations exploitables issues des solutions et services Sophos ainsi que de la veille des menaces assurée par SophosLabs, Sophos AI et l’équipe Sophos Managed Threat Response. Des API ouvertes permettent aux clients, partenaires et développeurs de créer des outils et solutions qui interagissent avec le système, en tirant parti des intégrations existantes. Sophos est à la pointe du secteur avec cette approche et s’intègre d’ores et déjà avec de nombreux acteurs du secteur.
– Disponibilité
Sophos XDR ainsi que la mise à jour des fonctionnalités EDR pour Intercept X Advanced with EDR et Intercept X Advanced for Server with EDR seront disponibles au niveau mondial à compter du 19 mai auprès des partenaires Sophos. Les partenaires et les clients peuvent facilement gérer l’ensemble des solutions XDR et EDR sur la plateforme cloud Sophos Central, via une console unifiée.