INTERVIEW
Michel Lanaspèze,
Directeur Marketing
pour l’Europe de l’Ouest
A l’occasion du lancement de sa nouvelle solution Intercept X de protection Endpoint Next-Gen, Sophos fait le point sur l’apport des technologies Next-Gen sur la protection des systèmes.
Pourquoi une nouvelle solution de protection Endpoint ?
”Le succès des attaques par ransomware de ce début d’année est symptomatique des difficultés que rencontrent les solutions de protection traditionnelles à bloquer sans faille toutes les menaces modernes. Régulièrement, la presse se fait écho de la découverte de logiciels malveillants ayant échappé à la vigilance des systèmes de protection pour circuler dans une entreprise pendant des mois, ce qu’on désigne par le terme d’APT ou menace avancée persistante. Pour y faire face, les chercheurs mettent au point de nouvelles approches, regroupées dans la catégorie des protections Endpoint Next-Gen.
Que sont ces technologies de protection Next-Gen ?
En premier lieu, elles s’appuient sur l’analyse des grandes techniques d’attaques plutôt que sur celle des malwares individuels. Si on prend les exploits de failles de sécurité par exemple, on en découvre chaque année plusieurs milliers, mais tous se basent sur une petite vingtaine de techniques, même en considérant l’ensemble des vulnérabilités détectées depuis le début de l’industrie du logiciel. Si l’on parvient à détecter la mise en œuvre de ces techniques d’une manière générique, on obtient un outil de protection très puissant contre les menaces avancées, qui s’appuient souvent sur des failles Zero-Day.De même, les ransomwares utilisent tous le chiffrement, et il est donc possible de détecter qu’un ransomware est en train de s’exécuter et de le bloquer.Cette détection est complètement indépendante du code malveillant et est donc efficace contre tout nouveau ransomware inconnu.Ces solutions fournissent également des outils avancés pour analyser le chemin d’attaque. Une telle recherche fait habituellement appel à des approches ou des outils lourds et lents à mettre en œuvre, tels que le SIEM. Le but ici est de fournir une capacité de corrélation et d’analyse des événements rapide, prête à l’emploi et accessible à l’administrateur de la solution de protection Endpoint.Enfin, en matière d’éradication des malwares, les solutions traditionnelles se focalisent sur la neutralisation du logiciel malveillant. Les solutions Next-Gen s’attachent à nettoyer le système en profondeur, pour le restaurer tel qu’il était avant l’attaque.
Comment avez-vous mis au point cette solution ?
Ces technologies sont issues de l’acquisition par Sophos en décembre dernier de la société SurfRight, éditeur de la solution HitmanPro Alert. SurfRight est parvenu à mettre au point des techniques de détection génériques extrêmement efficaces et précises, qui ne génèrent pas de fausses alertes.La protection anti-ransomware est également capable de restaurer les fichiers chiffrés, car la détection repose sur l’observation d’un début de chiffrement de fichiers, qu’il s’agit donc de restaurer juste après la neutralisation du ransomware.Nous bénéficions des dix ans d’expérience des chercheurs de SurfRight dans ce domaine, et de technologies efficaces, éprouvées et reconnues.
Pourquoi lancer une solution distincte ?
Nous souhaitons que toutes les entreprises puissent bénéficier de cette solution, et pas seulement les clients Sophos. Les fonctions innovantes apportées sont le plus souvent absentes des solutions de protection traditionnelles, et sont donc parfaitement complémentaires. Elles n’interfèrent pas avec les solutions anti-virus en place et apportent un bénéfice tangible et immédiat qui justifie l’investissement supplémentaire.Bien entendu, les clients Sophos bénéficient de son intégration dans la console d’administration Sophos Central, qui permet de gérer aussi bien la protection classique Endpoint Advanced que la protection Next-Gen Intercept X. Elle permet de gérer à partir d’une même console unifiée la protection des mobiles, du Web, de la messagerie, du chiffrement et des points d’accès Wi-Fi, tout en synchronisant la sécurité de ces différents composants avec le pare-feu Sophos, pour fournir une protection supplémentaire et des capacités de remédiation automatique avancées”.
www.sophos.fr