Managed Threat Detection – 24/7 Surveillance et détection
Dans ce billet de blog, j’aimerais vous présenter Managed Threat Detection (MTD) pour les systèmes d’extrémité et les serveurs, qui peut être acheté depuis fin juillet 2021. Avec MTD, Sophos vise en premier lieu les clients qui ne sont pas (encore) prêts à remplacer leur solution actuelle pour systèmes d’extrémité et serveurs d’un éditeur tiers par l’agent Sophos. Pour tous les autres clients qui ont déjà installé un agent Sophos sur leurs ordinateurs et serveurs et qui utilisent au moins Intercept X Essentials, Managed Threat Detection n’est pas pertinent.
L’histoire du succès de Managed Threat Response (MTR)
Récemment, Sophos a annoncé que Managed Threat Response (MTR) protège désormais plus d ‘un million d’appareils. Les produits Managed Threat Response (réponse gérée aux menaces) Standard et Advanced sont les deux variantes les plus chères pour protéger les ordinateurs et les serveurs, mais elles offrent également le plus haut niveau de sécurité et de détection. Vous obtenez une équipe d’experts composée d’analystes, de programmeurs et de chasseurs de menaces qui travaillent 24h/24 et 7j/7 pour vous protéger, vous et vos employés, des cyberattaques.
Fonctionnement parallèle avec des fournisseurs tiers jusqu’à présent impossible
« Sophos Managed Threat Response » nécessite le client MTR, qui ne peut pas être utilisé en parallèle avec les solutions de tiers comme Microsoft, Symantec, Kaspersky, McAfee ou d’autres. En revanche, le nouveau service « Managed Threat Detection » a été spécialement conçu pour être utilisé en parallèle avec des fournisseurs tiers, ce qui devrait permettre d’atteindre un autre groupe cible et de mettre le pied dans la porte avec la marque Sophos.
Mais ceux qui pensent pouvoir conserver leur protection tierce avec Managed Threat Detection et bénéficier des mêmes avantages que les clients avec Managed Threat Response sans le client MTR se trompent malheureusement.
Restrictions
Renoncer au puissant client MTR de Sophos implique quelques restrictions, ce qui est compréhensible. Le tableau comparatif suivant indique les fonctions auxquelles vous devez renoncer :
Notification comme seule étape d’action
Pour Managed Threat Response Standard et Advanced, on peut choisir entre trois niveaux de réaction :
- Notification: Lorsque l’équipe MTR de Sophos détecte une menace ou une attaque, elle en est informée mais n’intervient pas elle-même. On reçoit un rapport sur la cause et la détection avec des étapes réalisables pour éliminer la menace par ses propres moyens.
- Collaboration: l’équipe MTR de Sophos collabore avec l’équipe informatique de l’entreprise ou, si elle le souhaite, avec une société informatique externe, et réagit aux menaces correspondantes.
- Autorisation: l’équipe MTR s’occupe de manière totalement autonome des actions de confinement et de neutralisation et se contente d’informer sur les mesures prises.
Dans le cas de Managed Threat Detection, seule l’option de réaction « Notification » est disponible. On reçoit certes un message d’avertissement via le tableau de bord central ou par e-mail lorsqu’une menace a été détectée par l’équipe MTR, mais on doit la neutraliser et l’éliminer sous sa propre responsabilité. S’il s’agit d’une menace active, où chaque seconde compte, l’équipe MTR informe au moins brièvement par téléphone (mais uniquement en cas de menaces actives).
Sophos Rapid Response en dernier recours
En cas de menace active, le Managed Threat Detection laisse l’utilisateur se débrouiller seul pour stopper l’attaque. L’équipe MTR ne peut malheureusement pas apporter son soutien dans ce cas, car le client MTR de Sophos n’est pas installé sur les ordinateurs et les serveurs. C’est précisément là que le logiciel de protection tiers utilisé devrait briller. Si ce n’est pas le cas, il est toujours possible de faire appel au service Sophos Rapid Response. Une équipe d’experts Sophos vous aidera à désactiver les logiciels de protection existants et à installer le client MTR sur tous les ordinateurs et serveurs.
Attention ! Sophos Rapid Response ne fait pas partie de Managed Threat Detection et doit être acheté en supplément à un prix fixe.
Quelques mots de conclusion
Sophos a créé Managed Threat Detection, un service qui met l’expertise de son équipe MTR à la disposition des clients qui n’ont pas construit leur sécurité réseau sur des solutions Sophos. Et c’est tout à fait logique d’un point de vue stratégique. Même si un administrateur informatique prend aujourd’hui la décision d’équiper à l’avenir le réseau de son entreprise de solutions Sophos, il n’est pas toujours possible de le faire à court terme. Il y a peut-être des contrats en cours qui lui barrent la route ou des licences actives qui ont déjà mangé le budget des trois prochaines années.
Avec Managed Threat Detection, Sophos a créé précisément pour de tels scénarios une sorte de « service complémentaire » qui peut être envisagé à court terme pour renforcer le concept de sécurité. Les ressources de l’équipe MTR pour la détection des menaces sont ainsi mises à la disposition d’un groupe cible beaucoup plus large, ce qui ne peut que profiter à Sophos. Plus il y a de données disponibles pour l’analyse, plus les algorithmes peuvent être ajustés et peu importe si ces données sont fournies par les clients avec le MTR ou l’agent MTD.
En principe, nous conseillerions toujours la variante MTR à tous les clients qui souhaitent protéger leurs systèmes d’extrémité et leurs serveurs avec Sophos. Mais nous sommes également conscients que cette solution n’est pas conçue pour tous les budgets. Mais il est préférable de commencer par le produit le plus cher et le plus sûr, car il en va des solutions de sécurité comme des assurances : ce n’est que lorsque le mal est fait que l’on regrette d’avoir économisé. 😜
Pour tous les autres qui, pour une raison ou une autre, ne veulent ou ne peuvent pas encore jeter toute leur infrastructure par-dessus bord, Sophos Central Managed Threat Detection pour les systèmes d’extrémité et les serveurs est certainement un complément puissant. Il est absolument recommandé de faire surveiller l’activité du réseau par une équipe d’experts.
