Aller au contenu
Avanet
Sophos MTR - Chasse aux menaces 24h/24 et 7j/7 par des experts

Sophos MTR - Chasse aux menaces 24h/24 et 7j/7 par des experts

27. NOVEMBRE 2019

Le 1er octobre, Sophos a introduit un service prometteur que je souhaite vous présenter plus en détail. Il s’agit du MTR, ou en toutes lettres Managed Threat Response. Ce nouveau produit est le résultat de deux acquisitions : Rook Security et DarkBytes. Rook Security est particulièrement représentée dans le domaine des services de cette offre, tandis que DarkBytes a contribué à la technologie avec la détection et la réponse gérées (MDR).

Qu’est-ce que Sophos Managed Threat Response (MTR) ?

Sophos MTR est basé sur Intercept X Advanced avec EDR et s’attaque au gros problème évident. 😅 Si vous avez déjà lu mon article sur la Endpoint Detection and Response, vous savez où se situe la valeur ajoutée de ce produit. Mais de nombreux clients n’ont tout simplement pas le temps de rechercher eux-mêmes les menaces potentielles. De plus, ce travail nécessite un personnel hautement qualifié et spécialisé possédant le bon niveau d’expertise. Ces personnes sont non seulement particulièrement difficiles à trouver, mais elles ont aussi un niveau de salaire très élevé. Si ce service doit être étendu à un service 24h/24, cela consommera une très grande partie du capital alloué à votre sécurité informatique. En règle générale, seules les très grandes entreprises ont la possibilité et les moyens financiers de créer des incitations spéciales pour les employés.

C’est précisément là que le nouveau service MTR de Sophos intervient, en vous offrant un service 24h/24 et 7j/7 sous la forme d’une équipe de sécurité d’élite, qui s’occupe de la détection des menaces dans votre entreprise et peut intervenir immédiatement dans les situations délicates. Le nouveau produit MTR n’est donc pas un élément de menu supplémentaire dans votre tableau de bord Central Admin, mais offre une réponse ciblée par des humains. Sophos met particulièrement l’accent sur l’intervention autonome dans ce service. L’équipe MTR de Sophos ne vous informera donc pas seulement d’une attaque, mais, si vous le souhaitez, prendra également les mesures nécessaires en votre nom. Vous bénéficiez donc d’un “service entièrement géré”.

Quelles variantes du service MTR sont disponibles ?

Nous inclurons sans aucun doute la nouvelle offre MTR dans notre catalogue de produits et pourrons bientôt la proposer sur notre site web. Le service est fondamentalement disponible dans les variantes suivantes :

  1. Central Intercept X Advanced avec EDR et MTR [Standard / Advanced] - Il s’agit du pack pour tous les clients qui n’ont pas encore acheté de licence EDR. Cela concerne donc les clients disposant, par exemple, de “Intercept X Advanced” ou uniquement de la “Endpoint Protection”.
  2. Central MTR [Standard / Advanced] - Cette variante convient à tous les clients qui utilisent déjà “Intercept X Advanced avec EDR” et souhaitent acheter MTR en tant qu’add-on.

Standard ou Advanced - Quelles sont les différences exactes ?

Comme vous pouvez le constater dans les deux variantes énumérées ci-dessus, Sophos MTR est proposé en version Standard et Advanced. Examinons les services inclus dans les deux packages :

Étendue des services de la variante Standard

Chasse aux menaces basée sur des preuves 24h/24 et 7j/7

Dès que vous avez souscrit à Sophos MTR et que vous avez terminé le processus d’intégration (plus d’informations à ce sujet plus tard), votre compte Central est connecté au système automatisé de l’équipe MTR. Comme ce système apprend en permanence, il peut réagir automatiquement aux menaces connues. La chasse aux menaces basée sur des preuves intervient lorsqu’un élément a été détecté sur votre système mais n’a pas pu être entièrement résolu et nécessite une expertise humaine. Vous pouvez imaginer cela un peu comme le “Centre d’analyse des menaces” de votre compte Central Admin. Vous y verrez, d’une part, les menaces qui ont déjà été automatiquement stoppées par Intercept X Advanced et, d’autre part, des “objets suspects” qui ont été détectés grâce à l’IA (intelligence artificielle) mais n’ont pas pu être résolus. Dans une telle situation, l’équipe MTR est là pour vous 24h/24 et 7j/7. Un expert examinera alors attentivement l’alerte critique et décidera, sur la base de son expérience, de la gravité de cette détection spécifique et des mesures à prendre. Les conclusions et les connaissances tirées de cet incident sont ensuite transférées au système automatisé de l’équipe MTR. La prochaine fois que la même détection se produira dans un scénario différent, le système pourra y réagir automatiquement.

Détection d’attaques

Parallèlement à la chasse aux menaces basée sur des preuves, l’équipe MTR porte une attention particulière aux attaques exécutées via des processus légitimes, tels que PowerShell. De telles attaques réussissent très souvent car elles sont très difficiles à détecter pour les outils de surveillance. L’équipe MTR surveille ces processus à l’aide de méthodes d’analyse développées en interne pour s’assurer qu’ils ne sont pas utilisés à des fins malveillantes.

Rapports d’activité

La transparence envers vous en tant que client est très importante pour l’équipe MTR. C’est pourquoi vous recevez des rapports d’activité qui vous montrent tout ce que l’équipe MTR a fait en votre nom. Vous êtes informé de l’état actuel de vos systèmes, des connaissances acquises pendant la période de rapport et des menaces qui ont pu être écartées. Sur la période d’utilisation du service MTR, un histogramme de ces rapports est généré. À l’aide de ces données, Sophos crée des “scorecards” qui vous permettent de vous comparer à des périodes antérieures. Vous obtenez ainsi la transparence promise et vous reconnaissez très rapidement si le service MTR vous est utile.

Contrôle de l’état de sécurité (Security Health Check)

Comme vous pouvez le voir à travers les trois services ci-dessus, le service MTR Standard vise à détecter les menaces et à prévenir les attaques. Cependant, le Security Health Check garantit également que vos produits Sophos Central, tels qu’Intercept X Advanced avec EDR, peuvent toujours fonctionner avec des performances maximales. Pour cela, l’équipe MTR se penche sur vos exigences en matière de réseau et formule des recommandations pour des modifications de configuration. Vous pouvez donc être assuré que les produits Central seront parfaitement adaptés à votre entreprise.

Étendue des services de la variante Advanced

Examinons les services supplémentaires qui vous sont offerts dans la variante Advanced :

Chasse aux menaces sans preuves 24h/24 et 7j/7

En plus de la chasse aux menaces basée sur des preuves du pack Standard, la variante Advanced offre également la chasse aux menaces sans preuves. Ici, l’expertise repose entièrement sur les analystes de l’équipe MTR, qui examinent minutieusement les appareils ou les comptes d’utilisateurs particulièrement importants de votre entreprise. Ils observent comment la communication se déroule sur le réseau, si des processus suspects sont exécutés ou si tout autre comportement inhabituel ou atypique peut être détecté. Avec les données collectées, ils tentent de prédire les stratégies des attaquants et d’identifier de nouveaux indicateurs d’attaque (IoA). Si un incident est détecté, un responsable de la réponse dédié vous sera attribué pour vous assister par téléphone dans la résolution complète du problème !

Données de télémétrie optimisées

Le pack Standard de MTR comprend les données fournies par Intercept X Advanced avec EDR. Pour une télémétrie améliorée, la version Advanced va au-delà de la simple détection d’événements sur le endpoint et inclut les données d’autres produits Central dans l’analyse des menaces.

Support téléphonique direct

Un autre avantage de la variante Advanced est un accès direct à l’équipe d’analystes MTR, qui est joignable 24h/24 et 7j/7. Ainsi, si vous avez une question ou si vous souhaitez, par exemple, discuter d’un cas de menace spécifique, vous pouvez contacter directement le Security Operations Center (SOC) par téléphone.

Amélioration proactive du statut de sécurité

Dans le pack Advanced, le Security Health Check est porté au niveau supérieur. Alors que dans la variante Standard, des recommandations générales sont formulées pour la configuration des produits Central, l’équipe MTR prend désormais également en compte le contexte commercial derrière les paramètres de configuration d’une politique, par exemple. Vous bénéficiez d’une assistance pour remédier aux faiblesses de configuration et d’architecture qui ont un impact négatif sur votre sécurité.

Détection d’actifs

Le personnel spécialisé de Sophos n’analyse pas seulement les processus opérationnels critiques, mais il se fait également une vue d’ensemble des applications utilisées et identifie les points d’attaque potentiels qui peuvent en résulter dans le système. L’équipe MTR prend en compte un inventaire d’actifs, qui aide à comprendre quelles applications sont exécutées sur un endpoint et si celles-ci sont affectées par des vulnérabilités ouvertes. Cela génère des informations détaillées précieuses, spécifiquement adaptées à l’entreprise concernée.

Quels niveaux de support sont proposés par l’équipe Sophos MTR ?

Indépendamment du fait que vous optiez pour la variante Standard ou Advanced, vous gardez le contrôle sur l’autonomie avec laquelle l’équipe MTR doit travailler. Cela est réglé dès le début lors du processus d’intégration. Lorsque vous achetez le service Sophos MTR, vous pouvez choisir parmi trois options qui déterminent la réponse que vous attendez de l’équipe MTR :

  1. Notification : Si l’équipe Sophos MTR a détecté un incident de menace ou une attaque, elle ne fera que vous en informer à ce niveau, mais n’agira pas de manière autonome pour vous. Vous recevrez toutefois un rapport détaillé sur la cause et la détection avec des étapes réalisables pour résoudre le danger vous-même.
  2. Collaboration : L’équipe Sophos MTR travaille avec vos employés ou une entreprise de conseil externe et réagit aux menaces correspondantes.
  3. Autorisation : Ici, l’équipe MTR gère de manière entièrement autonome les actions de confinement et de neutralisation et ne vous informe que des mesures prises.

Qu’est-ce qui distingue Sophos MTR de la concurrence qui propose également un service comparable ?

Sophos cite deux concurrents, SentinelOne et CrowdStrike, qui font partie de la concurrence la plus rude en termes d’offre. Le service MTR de Sophos offre cependant un avantage décisif. Une action autonome et même proactive n’existait pas jusqu’à présent. Grâce au niveau de réaction Autorisation mentionné ci-dessus, vous n’avez plus besoin de traiter vous-même des listes interminables d’erreurs et de messages de menace chez Sophos. Tout cela peut désormais être pris en charge en votre nom par des spécialistes formés de Sophos.

Bien que SentinelOne et CrowdStrike proposent également un tel service, ce n’est que pour le niveau de service le plus élevé, qu’une petite entreprise ne peut pas se permettre. Le niveau d’autorisation le plus élevé chez Sophos MTR, en revanche, peut être utilisé par toutes les entreprises, quelle que soit leur taille ou le niveau de service réservé.

Quels systèmes Sophos peut-il actuellement prendre en charge avec ce service ?

Le service n’a été mis en service que le 1er octobre. Pour cette raison, seul le support pour les endpoints Windows 32 et 64 bits est actuellement proposé. Le support pour d’autres systèmes, tels que Windows Server, Linux et Mac OS, devrait suivre fin novembre 2019. Une date précise n’a toutefois pas encore été communiquée.

De plus, le service n’est disponible qu’en anglais dans la première phase. Cependant, il est prévu d’inclure d’autres langues dans le répertoire. Quand cela se produira et quelles langues ce seront n’est pas encore certain.

Conclusion sur le service Sophos Managed Threat Response

Ce que j’ai lu et entendu jusqu’à présent sur le service MTR de Sophos m’a vraiment beaucoup convaincu ! Grâce à ce service de Sophos, les petites et moyennes entreprises ont également la possibilité de s’offrir une protection complète et professionnelle en matière de sécurité informatique. La recherche de personnel qualifié et expérimenté est ainsi fortement réduite et vous pouvez faire appel aux experts de Sophos eux-mêmes.

Je trouve également très réussis les trois différents niveaux de support que Sophos propose à tous les clients lors du processus d’intégration. Vous pouvez donc décider vous-même du degré de contrôle que vous souhaitez céder. L’offre du “niveau d’autorisation”, qui est également disponible dans la variante Standard, est absolument inégalée ! Vous n’avez donc pas besoin d’opter pour le pack Advanced plus coûteux si les spécialistes de Sophos doivent s’occuper de la sécurité de votre réseau de manière totalement autonome.

Si vous êtes intéressé par Sophos MTR, n’hésitez pas à nous contacter. Nous publierons bientôt les différentes variantes du service MTR sur notre site web, et le prix ne sera alors plus un secret. Nous serons également heureux de répondre à vos questions lors d’un entretien personnel.

David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.