Aller au contenu
Avanet
Sophos Adaptive Attack Protection API

Sophos Adaptive Attack Protection API

Le paysage des menaces évolue en permanence, et les administrateurs IT doivent protéger leurs réseaux et leurs endpoints contre des attaques toujours plus sophistiquées. L’Adaptive Attack Protection API de Sophos est une solution particulièrement innovante pour y parvenir. Cette technologie constitue une mesure de protection dynamique qui active automatiquement des mesures de sécurité supplémentaires lorsqu’une attaque est détectée. Dans cet article, nous expliquons le fonctionnement de l’Adaptive Attack Protection API, ses avantages et la manière dont les administrateurs IT peuvent l’intégrer à leur stratégie de sécurité.

Qu’est-ce que l’Adaptive Attack Protection API ?

Adaptive Attack Protection (AAP) est un mécanisme de protection automatique qui active des mesures de sécurité supplémentaires lorsqu’une attaque active est détectée sur un endpoint. Le processus ne nécessite aucune intervention manuelle et permet aux administrateurs de bloquer efficacement les attaquants tout en gagnant du temps pour d’autres contre-mesures.

Fonctionnement

Sophos Central Policy - Adaptive Attack Protection
Sophos Central Policy - Adaptive Attack Protection

Adaptive Attack Protection détecte les activités suspectes grâce à deux méthodes principales :

  1. Détection d’outils d’attaque : AAP peut identifier l’utilisation d’outils d’attaque courants et réagir en conséquence.
  2. Détection de comportements malveillants actifs : en analysant le comportement sur l’endpoint, AAP peut repérer rapidement les signes d’une attaque en cours et activer les mesures de défense adaptées.

Source : Sophos KB - Adaptive Attack Protection

Dans ce type de situation, des restrictions temporaires sont activées. Elles peuvent être contraignantes au quotidien, mais elles sont nécessaires en cas d’attaque pour empêcher la propagation de la menace.

Avantages de l’Adaptive Attack Protection API

1. Activation automatique

AAP est incluse par défaut dans tous les produits Sophos Central Endpoint et n’a pas besoin d’être activée manuellement. Dès qu’une attaque potentielle est détectée, les mesures appropriées sont automatiquement prises.

2. Protection étendue contre les attaques

Lorsqu’AAP détecte un attaquant “hands-on-keyboard”, des mécanismes de protection renforcés sont activés. Des actions généralement inoffensives au quotidien, mais dangereuses dans un contexte d’attaque, sont alors bloquées. Les équipes de défense gagnent ainsi du temps pour neutraliser l’attaque.

3. Fonctionnalités API étendues

Grâce aux extensions de l’Endpoint API, il est possible d’activer ou de désactiver manuellement Adaptive Attack Protection. C’est particulièrement utile lorsque des activités suspectes sont observées, mais qu’une isolation complète de l’appareil risquerait de perturber fortement l’activité.

4. Visibilité et contrôle accrus

Les administrateurs sont informés des nouveaux événements et alertes dès qu’AAP s’active sur un appareil. Ils peuvent ainsi surveiller la situation de manière proactive et réagir rapidement aux menaces.

Sophos Adaptive Attack Protection (AAP) - Overview

Intégration dans la stratégie de sécurité

L’Adaptive Attack Protection API offre aux administrateurs IT la possibilité d’adapter leurs mesures de sécurité avec souplesse, selon la situation. Voici quelques scénarios d’utilisation recommandés :

1. Réponse automatisée aux menaces

Grâce à l’activation automatique des fonctionnalités AAP, les équipes IT peuvent réagir aux menaces sans dépendre d’interventions manuelles. Cela réduit le délai de réaction et diminue le risque qu’une attaque aboutisse.

2. Activation ciblée pendant les enquêtes

Lors de l’analyse d’activités suspectes, AAP peut être activée manuellement afin d’appliquer des mesures de défense supplémentaires sans isoler complètement l’appareil du réseau. Les dommages potentiels peuvent ainsi être limités pendant que l’investigation se poursuit.

3. Activation à long terme pour les endpoints critiques

Pour les endpoints particulièrement critiques ou pendant une situation de menace persistante, AAP peut rester active via l’API pendant une période prolongée. Cela apporte une sécurité supplémentaire et protège les systèmes sensibles contre d’éventuelles attaques.

Démo de l’Adaptive Attack Protection

Cette vidéo de démonstration montre comment l’AAP de Sophos réagit en temps réel à une attaque active. L’attaquant utilise différentes méthodes courantes pour compromettre le système, notamment l’exécution de scripts PowerShell malveillants, le téléchargement de fichiers suspects et la création de nouveaux comptes utilisateur. Vous voyez comment Sophos Endpoint active automatiquement des mesures de protection renforcées pour bloquer ces menaces et protéger votre environnement IT.

Démo : Sophos Adaptive Attack Protection (AAP)

FAQ

L'AAP doit-elle être activée manuellement ?

Non, AAP est activée par défaut dans toutes les licences Sophos Endpoint et ne nécessite aucune configuration manuelle.

Combien de temps l'AAP reste-t-elle active ?

AAP reste active tant que des activités suspectes sont détectées. La durée peut également être prolongée manuellement.

L'AAP peut-elle être utilisée sur des serveurs ?

Oui, Adaptive Attack Protection est disponible sur les endpoints et les serveurs.

L'AAP affecte-t-elle les performances du système ?

L’impact sur les performances du système est minime et ne concerne que la période pendant laquelle AAP est active.
David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.