Aller au contenu
Avanet
Sophos Central Update – Enhanced Protection pour serveurs et bien plus

Sophos Central Update – Enhanced Protection pour serveurs et bien plus

3. MARS 2020

Au cours des deux derniers mois, Sophos a publié plusieurs nouveautés pour la plateforme Central, que nous résumons ici brièvement. Commençons par l’imminente fin de support pour Windows 7 et Windows Server 2008 R2.

Fin de support imminente pour Windows 7 et Windows Server 2008 R2

Microsoft a définitivement mis fin au support de Windows 7 et de Windows Server 2008 R2 le 14 janvier 2020. En conséquence, Sophos ne prendra également plus en charge ces deux systèmes d’exploitation que de manière limitée. Le support standard prend officiellement fin le 31 décembre 2021.

Windows 7

  • Fin du support standard : 31 décembre 2021
  • Fin du support étendu : 31 mars 2025

Windows Server 2008 R2

  • Fin du support standard : 31 décembre 2021
  • Fin du support étendu : 31 mars 2025

Info : le support de Windows Server 2008 prend fin le 31 juillet 2020.

Acquisition d’un support étendu

Pour les environnements dans lesquels la date du 31 décembre 2021 ne suffit pas pour remplacer les systèmes, Sophos propose une extension de support. Avec une licence supplémentaire, le support des produits suivants est prolongé jusqu’au 31 mars 2025 :

  • Intercept X Advanced / Intercept X Advanced with EDR
  • Intercept X Advanced for Server / Intercept X Advanced for Server with EDR
  • Central Endpoint Protection / Central Server Protection
  • Endpoint Protection Standard / Endpoint Protection Advanced
  • Server Protection for Virtualization, Windows and Linux / Server Protection Enterprise

Si vous êtes intéressé par un support étendu, vous pouvez nous contacter simplement via le formulaire de contact pour obtenir une offre adaptée.

Sophos Intercept X Enhanced Protection (bêta) désormais aussi pour serveurs

En octobre 2019, Sophos a lancé un programme bêta pour Intercept X Enhanced Protection. L’objectif est d’étendre Intercept X et de fournir des fonctionnalités supplémentaires pour contrer les menaces actuelles. Les attaques par ransomware restent très fréquentes en 2020, et des noms comme EMOTET reviennent régulièrement. Sophos travaille donc activement à renforcer en continu la technologie Intercept X.

Dans sa première version, Intercept X Enhanced Protection incluait déjà deux fonctions : Anti‑Malware Scanning Interface (AMSI) et Intrusion Prevention System (IPS).

En décembre 2019, d’autres mécanismes de protection essentiels pour les systèmes Windows ont été ajoutés et sont désormais également disponibles pour Windows Server à partir de la version 2008 R2 :

Protection contre les attaques visant Encrypting File System (EFS Guard)

Depuis Windows 2000, Microsoft a intégré dans son système une fonctionnalité appelée EFS (Encrypting File System). À la différence de BitLocker, qui chiffre un disque entier, EFS sert à chiffrer des fichiers et dossiers spécifiques.

Les attaquants ont trouvé des moyens de détourner cette fonctionnalité et de chiffrer des fichiers directement via les API de la fonction de chiffrement intégrée (EFS). L’« avantage » pour eux : il n’est pas nécessaire de télécharger de malwares supplémentaires. Grâce à EFS Guard, Intercept X peut désormais se protéger précisément contre ce type d’attaque.

Protection contre les attaques ciblant Encrypting File System (EFS Guard)

Protection dynamique contre le shellcode

Les développeurs de malwares utilisent de plus en plus souvent ce que l’on appelle des « stagers ». Il s’agit de petits programmes apparemment inoffensifs qui téléchargent le code malveillant réel dans la mémoire temporaire et l’y exécutent. Les solutions antimalwares classiques ont du mal à détecter ce schéma. Grâce à une analyse comportementale, la protection dynamique contre le shellcode peut contrer cette technique. Dès qu’un comportement similaire à celui d’un stager est détecté, la détection intervient et stoppe l’application.

Protection dynamique contre le shellcode

CTF est une vulnérabilité d’un composant Windows présente depuis Windows XP. Elle permet à des attaquants non autorisés de contrôler pratiquement n’importe quel processus Windows, y compris des applications qui s’exécutent dans un sandbox. Pour empêcher toute nouvelle exploitation du protocole CTF, l’équipe Sophos Threat Mitigation a développé la fonctionnalité CTF Guard et l’a intégrée à la stratégie de protection contre les menaces.

Valider CTF Protocol Caller (CTF Guard)

La fonction ApiSetGuard empêche les applications de charger des DLL malveillantes se faisant passer pour des ApiSet‑Stub DLL. Les DLL stub ApiSet permettent aux applications de rester compatibles avec les versions plus récentes de Windows. Des attaquants peuvent déposer des DLL stub manipulées sur un système pour modifier certaines fonctions – par exemple pour tenter de contourner la protection contre la manipulation de Sophos et arrêter le client Sophos.

Empêcher le side‑loading de modules non sécurisés (ApiSetGuard)

Signature DKIM des emails

Si vous utilisez Sophos Central Email pour analyser le trafic entrant et sortant, vous pouvez désormais signer les messages avec DKIM. Pour configurer cette option, accédez aux « Paramètres » de Central Email, puis au menu « Domain settings / Status ». En cliquant sur un domaine pour lequel le trafic sortant est également analysé, vous verrez apparaître, sous le résumé, une option permettant de créer une nouvelle clé DKIM. Une courte procédure, avec toutes les informations nécessaires à la configuration de l’enregistrement DKIM, est alors affichée.

Sophos Central Email Gateway – signature DKIM des emails

Adresse email personnalisable pour les formations Phish Threat

Sophos Central Phish Threat a pour but de sensibiliser les collaborateurs de l’entreprise aux emails de phishing. Jusqu’ici, les emails de formation et d’inscription automatisés n’inspiraient pas toujours confiance lorsqu’ils provenaient de « Sophos training@staysafe.sophos.com ». Plusieurs personnes ont sans doute hésité avant de cliquer sur le lien. 😅

Sophos a réagi en permettant désormais de définir un domaine personnalisé pour les emails de détection, les emails de rappel et les emails d’inscription envoyés aux utilisateurs finaux.

Pour ce faire, accédez aux « Paramètres » de Phish Threat, puis au menu « Emails d’inscription et de rappel de formation ». Vous pouvez y activer et vérifier une adresse email personnalisée. Lors de nos tests, l’email de vérification et l’email de test suivant ont initialement atterri dans le dossier spam. 🙄 La configuration s’applique par compte Central et ne peut pas être définie différemment d’une campagne à l’autre.

Adresse email personnalisable pour les formations Phish Threat
David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.