Core
ATS
EDR
Core
ATS
EDR
MDR
Core
ATS
EDR
XDR
MDR
Solution de sécurité multicouche existante
Et donc le premier réflexe est de proposer de l’EPP, de l’antivirus de base.
L’EPP ne permet de se prémunir que des menaces connues.
Compte-tenu de l’évolution actuelle des menaces, cette protection antivirale simple est-elle suffisante ?
Ces attaques ciblées n’ont pas pour but de simplement chiffrer le système d’information et de demander une rançon.
Le but des attaquants est de piller les données des entreprises, via des techniques d’exfiltration de données avant de chiffrer l’ensemble du système d’information.
Les données sont aujourd’hui devenues pour beaucoup d’entre elles, la valeur de l’entreprise.
Donc lorsque les technologies arrivent à bloquer un ransomware, il est trop tard !
Les attaquants sont présents dans le SI depuis plusieurs semaines voire plusieurs mois et ont pillé l’ensemble des données de l’entreprise pour les revendre aux plus offrants.
Que faire ?
PROTECTION
PRÉVENTION
DÉTECTION
ACTION
QUELS SONT LES DIFFÉRENTS NIVEAUX DE PROTECTION ?
1) Augmenter la protection via l’ATS – Advanced Threat Security
Pour se prémunir des menaces inconnues et des attaques ciblées et sophistiqués, il faut proposer l’ATS.
L’ATS intègre principalement deux technologies :
- L’hyperdetect: algorithmes de pré-exécution, une technologie avancée basée sur le machine learning. Avant l’éxécution du fichier, il est identifié à risque ou non. Si oui, il est envoyé en sandbox
- La sandbox: le fichier est exécuté et en fonction de son comportement, il est défini comme une menace ou non.
2) Augmenter la prévention en réduisant la surface d’attaque
Mais réduire la surface d’attaque, c’est faire en sorte que, sur l’ensemble des machines du SI, les OS et les applications vulnérables soient mis à jour automatiquement.
L’Add-on Patch Management permet d’adresser ce besoin pour les machines Windows, certains Linux et bientôt MacOS.
3) Détecter les attaques via l’EDR et XDR
L’EDR (EndPoint Detection & Response) permet de remonter dans la console tous les signaux faibles anormaux de tous les EndPoint et de les corréler, afin de détecter une attaque.
L’XDR (eXtended Detection & Response) permet d’étendre cette visibilité à l’ensemble du SI afin de combler les angles morts non couverts par l’EDR :
- XDR Network : permet d’apporter une visibilité au niveau du réseau
- XDR Identity : couvre l’AD, Azure AD et Intune
- XDR Productivity: couvre MS365 et Google Workspace
- XDR Cloud : couvre AWS, Azure et GCP
4) Répondre et bloquer rapidement les attaques via le service MDR
Le service MDR 24/7 de SOC managé permet de combler ce manque. Grâce à une réponse qui permet de contenir les menaces avec un SLA de 30 minutes.