Panier d’achat

Aucun produit dans le panier.

Sophos MTR – Recherche de menaces par des experts 24/7

Le 1er octobre, Sophos a lancé un service prometteur que j’aimerais vous présenter un peu plus en détail. Il s’agit de MTR ou, en français, de Managed Threat Response (réponse gérée aux menaces). Ce nouveau produit est le résultat des deux acquisitions Rook Security et DarkBytes. Rook Security est particulièrement présent dans le domaine des services de cette offre, tandis que DarkBytes a apporté sa part de technologie avec Managed Detection and Response (MDR).

Qu’est-ce que Sophos Managed Threat Response (MTR) ?

Sophos MTR est basé sur Intercept X Advanced avec EDR et s’adresse au grand et gros éléphant de la pièce. 😅 Ceux qui ont déjà lu mon article sur Endpoint Detection and Response savent où se situe la valeur ajoutée de ce produit. Mais de nombreux clients n’ont tout simplement pas le temps de se lancer eux-mêmes dans la recherche de menaces potentielles. Si l’on ajoute à cela le fait que ce travail requiert un personnel hautement qualifié et spécialisé, disposant du bon niveau d’expertise, on comprend mieux pourquoi il est si difficile d’obtenir des résultats. Non seulement ces personnes sont particulièrement difficiles à trouver, mais leur niveau de rémunération est vraiment élevé. Si ce service doit être étendu à un service 24h/24, cela consomme une très grande partie du capital pour votre sécurité informatique. En règle générale, seuls les très grands groupes ont la possibilité et les moyens financiers de créer des incitations spéciales pour les collaborateurs.

C’est là qu’intervient le nouveau service MTR de Sophos en vous offrant un service 24h/24 et 7j/7 sous la forme d’une équipe de sécurité d’élite qui se charge de la détection des menaces dans votre entreprise et peut intervenir immédiatement dans les situations délicates. Le nouveau produit MTR n’est donc pas un élément de menu supplémentaire dans votre tableau de bord Central Admin, mais offre une réaction ciblée par des personnes. Sophos met l’accent sur l’intervention autonome de ce service. Ainsi, en cas d’attaque, l’équipe MTR de Sophos ne se contentera pas de vous en informer, mais prendra également les mesures nécessaires en votre nom si vous le souhaitez. Vous bénéficiez donc d’un « fully-managed service ».

Quelles sont les variantes du service MTR ?

Nous allons définitivement intégrer la nouvelle offre MTR dans notre catalogue de produits et serons bientôt en mesure de la proposer sur notre site Internet. En principe, le service est disponible dans les variantes suivantes :

  1. Central Intercept X Advanced avec EDR et MTR [Standard / Advanced] – Il s’agit du bundle pour tous les clients qui n’ont pas encore acheté de licence EDR. Cela concerne donc les clients ayant par exemple « Intercept X Advanced » ou seulement la « Endpoint Protection ».
  2. Central MTR [Standard / Advanced] – Cette variante convient à tous les clients qui utilisent déjà « Intercept X Advanced avec EDR » et qui souhaitent acheter MTR en tant que module complémentaire.

Standard ou Advanced – Quelles sont exactement les différences ?

Comme vous pouvez le voir dans les deux variantes ci-dessus, Sophos MTR est proposé en version standard et en version avancée. Voyons quels services sont inclus dans les deux forfaits :

Etendue des services de la variante standard

Recherche de menaces basée sur des indices 24h/24 et 7j/7

Une fois que vous avez obtenu une licence Sophos MTR et que vous avez suivi le processus d’embarquement (nous y reviendrons plus tard), votre compte Central sera connecté au système automatisé de l’équipe MTR. Comme ce système apprend en permanence, il peut réagir automatiquement aux menaces connues. La recherche de menaces basée sur des indices intervient lorsque quelque chose a été détecté sur votre système, mais n’a pas pu être complètement corrigé et nécessite une expertise humaine. Vous pouvez vous imaginer que c’est un peu comme le « Centre d’analyse des menaces » dans votre compte Admin central. Vous y verrez d’une part les menaces qui ont déjà été stoppées automatiquement par Intercept X Advanced et d’autre part les « objets suspects » qui ont été détectés grâce à l’IA (intelligence artificielle), mais qui n’ont pas pu être corrigés. Dans une telle situation, l’équipe MTR est là pour vous sur une base 24/7. Un expert examine alors attentivement l’indice critique et décide, sur la base de son expérience, du degré de gravité de cette détection particulière et de ce qui doit être fait. Les connaissances et les enseignements tirés de cet incident sont ensuite transmis au système automatisé de l’équipe MTR. La prochaine fois que la même détection se produira dans un autre scénario, le système pourra y répondre automatiquement.

Détection des attaques

Parallèlement à la recherche de menaces basée sur des indices, l’équipe MTR accorde une attention particulière aux attaques exécutées via des processus sérieux, tels que PowerShell. De telles attaques sont très souvent couronnées de succès, car elles sont très difficiles à détecter pour les outils de surveillance. L’équipe MTR surveille ces processus à l’aide de méthodes d’analyse développées en interne afin de s’assurer qu’ils ne sont pas détournés à des fins malveillantes.

Rapports d’activité

L’équipe MTR attache une grande importance à la transparence vis-à-vis de vous, ses clients. Vous recevrez donc des rapports d’activité qui vous montreront tout ce que l’équipe MTR a fait en votre nom. Vous découvrirez l’état actuel de vos systèmes, les informations recueillies au cours de la période de rapport et les menaces qui ont pu être évitées. Un histogramme de ces rapports est alors créé sur la période pendant laquelle vous utilisez le service MTR. Ces données sont utilisées par Sophos pour créer des « tableaux de bord » qui vous permettent de vous comparer aux périodes précédentes. Cela vous permet d’obtenir la transparence promise et de savoir très rapidement si le service MTR vous est utile.

Contrôle de santé de sécurité

Comme vous pouvez le voir dans les trois prestations ci-dessus, le service MTR standard consiste à détecter les menaces et à prévenir les attaques. Le contrôle de santé de la sécurité garantit également que vos produits Sophos Central, tels qu’Intercept X Advanced avec EDR, fonctionnent toujours avec des performances maximales. Pour ce faire, l’équipe MTR se penche sur vos besoins en matière de réseau et formule des recommandations pour les modifications de configuration. Vous pouvez donc être sûrs que les produits Central seront parfaitement adaptés à votre entreprise.


Etendue des services de la variante Advanced

Voyons quels services supplémentaires vous sont offerts dans la variante Advanced :

Recherche de menaces sans indices 24h/24 et 7j/7

En plus de la recherche de menaces basée sur des indices dans le pack standard, vous recevez également la recherche de menaces sans indices dans la variante Advanced. Les analystes de l’équipe MTR sont les mieux placés pour examiner les appareils ou les comptes utilisateurs les plus importants de votre entreprise. Ils examinent la manière dont le réseau communique, si des processus suspects sont en cours d’exécution ou si un comportement inhabituel ou atypique peut être constaté. Les données collectées sont utilisées pour tenter de prédire la stratégie des attaquants et d’identifier de nouveaux indicateurs d’attaque (IoA). Lorsqu’un incident est détecté, un responsable de réaction dédié vous est attribué et vous assiste par téléphone dans la résolution complète du problème !

Données télémétriques optimisées

Le paquet standard de MTR comprend les données mises à disposition par Intercept X Advanced avec EDR. Pour une meilleure télémétrie, la version Advanced va au-delà de la simple détection d’événements sur le point d’accès et intègre les données d’autres produits Central dans l’analyse des menaces.

Assistance téléphonique directe

Un autre avantage de la variante Advanced est un accès direct à l’équipe d’analystes MTR, qui est à votre disposition 24h/24 et 7j/7. Ainsi, si vous avez une question ou si vous souhaitez par exemple parler d’une menace particulière, vous pouvez contacter directement le Security Operations Center (SOC) par téléphone.

Amélioration proactive de l’état de sécurité

Dans le package Advanced, le Security Health Check passe au niveau supérieur. Alors que la variante standard donne des recommandations générales pour la configuration des produits Central, l’équipe MTR tient désormais compte du contexte commercial derrière les paramètres de configuration d’une politique, par exemple. Vous recevrez de l’aide pour corriger les vulnérabilités de configuration et d’architecture qui ont un impact négatif sur votre sécurité.

Reconnaissance des actifs

Le personnel spécialisé de Sophos ne se contente pas de discuter avec vous des processus opérationnels critiques, mais se procure également une vue d’ensemble des applications utilisées et identifie les points d’attaque potentiels qu’elles peuvent créer dans le système. Pour ce faire, l’équipe MTR tient compte de ce que l’on appelle un « inventaire des actifs », qui les aide à comprendre quelles applications sont exécutées sur un point d’accès et si elles sont affectées par des vulnérabilités ouvertes. Il en résulte des informations détaillées précieuses, spécialement adaptées à votre entreprise.


Quels sont les niveaux d’assistance proposés par l’équipe MTR de Sophos ?

Que vous choisissiez la variante Standard ou Advanced, vous gardez le contrôle sur le degré d’autonomie de l’équipe MTR. Cela est réglé dès le début par le processus d’onboarding. Lorsque vous achetez le service MTR de Sophos, vous pouvez choisir entre trois options qui déterminent la réponse que vous attendez de l’équipe MTR :

  1. Notification : Si l’équipe MTR de Sophos a détecté une menace ou une attaque, à ce niveau, elle vous en informera seulement, mais n’interviendra pas pour vous de manière autonome. Vous recevrez toutefois un rapport détaillé sur la cause et la détection avec des étapes réalisables pour éliminer le danger de manière autonome.
  2. Collaboration : l’équipe MTR de Sophos collabore avec vos employés, voire avec une société de conseil externe, et réagit aux menaces appropriées.
  3. Autorisation: ici, l’équipe MTR s’occupe de manière complètement autonome des actions de confinement et de neutralisation et vous informe simplement des mesures prises.

Qu’est-ce qui différencie Sophos MTR de ses concurrents qui offrent également un service similaire ?

Sophos cite deux concurrents, SentinelOne et CrowdStrike, qui font partie de la concurrence la plus rude en termes d’offre. Le service MTR de Sophos présente toutefois un avantage décisif. Jusqu’à présent, il n’y a pas eu d’action autonome et proactive. Grâce au niveau de réponse Autorisation mentionné ci-dessus, vous n’avez plus besoin de traiter vous-même des listes interminables de messages d’erreur et de menaces chez Sophos. Tout cela peut maintenant être pris en charge en votre nom par des spécialistes formés par Sophos.

Certes, SentinelOne et CrowdStrike proposent également un tel service, mais uniquement pour le niveau de service le plus élevé, qu’une petite entreprise ne peut pas se permettre. En revanche, le niveau d’autorisation le plus élevé de Sophos MTR, peut être utilisé par toutes les entreprises, quelle que soit leur taille ou le niveau de service souscrit.

Quels sont les systèmes que Sophos peut actuellement servir avec ce service ?

Le service n’a été mis en service que le 1er octobre. Pour cette raison, seul le support pour Windows Endpoint 32 et 64 bits est actuellement proposé. La prise en charge d’autres systèmes, tels que Windows Server, Linux et Mac OS, devrait suivre fin novembre 2019. Toutefois, aucune date précise n’a encore été communiquée.

De plus, dans un premier temps, le service n’est disponible qu’en anglais. Il est toutefois prévu d’ajouter d’autres langues au répertoire. Toutefois, la date et les langues concernées n’ont pas encore été définies.

Conclusion sur le Sophos Managed Threat Response Service

Ce que j’ai lu et entendu jusqu’à présent sur le service MTR de Sophos m’a vraiment convaincu ! Grâce à ce service de Sophos, les petites et moyennes entreprises ont également la possibilité de s’offrir une protection complète et professionnelle en matière de sécurité informatique. La recherche de personnel qualifié et expérimenté est ainsi fortement réduite et vous pouvez faire appel aux experts de Sophos eux-mêmes.

Je trouve également très bien les trois niveaux d’assistance que Sophos propose à tous ses clients lors du processus d’intégration. Vous pouvez donc décider vous-même du degré de contrôle que vous souhaitez abandonner. L’offre du « niveau d’autorisation », qui est également disponible dans la variante standard, est absolument sans concurrence ! Vous n’avez donc pas besoin de souscrire au package Advanced, plus onéreux, si vous souhaitez que les spécialistes Sophos s’occupent de la sécurité de votre réseau de manière totalement autonome.

Si vous êtes intéressés par Sophos MTR, n’hésitez pas à nous contacter. Nous publierons bientôt les différentes variantes du service MTR sur notre site web, et le prix ne sera donc plus un secret. Nous répondrons volontiers à vos questions lors d’un entretien personnel.

David
David

S'abonner à la newsletter

Nous envoyons chaque mois une newsletter contenant tous les articles de blog du mois en question.