La fonction “Vérifier l’état du compte Sophos” permet aux clients utilisant la protection Sophos Endpoint et Sophos Server d’identifier et de résoudre rapidement les problèmes de configuration au niveau de leurs appareils protégés par Sophos.
Accessible via la plateforme Sophos Central, la vérification de l’état du compte effectue des contrôles au niveau de quatre domaines, et d’autres seront bientôt disponibles :
- Attribution des logiciels : les appareils ont-ils tous les bons logiciels qui leur sont attribués ?
- Politique en matière de menaces : les politiques utilisent-elles les paramètres recommandés ?
- Exclusions : certaines exclusions créent-elles une exposition importante ?
- Protection antialtération : la protection antialtération a-t-elle été désactivée ?
Si un problème est identifié, l’option “Corriger automatiquement” (Fix Automatically) permet aux clients de traiter les configurations non sécurisées en quelques clics seulement.
Nous continuons d’étendre et d’améliorer cette fonctionnalité extrêmement populaire et avons récemment introduit la possibilité de “reporter” (Snooze) les vérifications qui échouent, permettant ainsi aux clients d’y revenir ensuite pour un nouvel examen, avec notamment de nouveaux scores d’intégrité.
Scores d’intégrité
Cette nouvelle fonctionnalité fournit un score clair et simple en matière de posture de sécurité sous la forme d’un chiffre sur 100. Il permet aux clients utilisant la protection ‘Sophos Endpoint et Sophos Server’ d’identifier rapidement la configuration qui nécessite une attention particulière, et de suivre et signaler les efforts d’amélioration de leurs configurations de sécurité. Il comprend à la fois un score global pour l’environnement du client, ainsi que des scores individuels pour chaque vérification séparée.
Comme pour les autres éléments de la fonction “Vérifier l’état du compte Sophos”, les scores sont un outil utile dans la gestion globale de la posture de cybersécurité et doivent être utilisés parallèlement à des évaluations plus larges de votre environnement étendu et de votre pile technologique de sécurité afin de fournir une image complète de votre cybersanté.
La capture d’écran ci-dessous illustre les multiples niveaux de notation fournis. Ce compte a un score d’intégrité global de 74, qui est le résultat d’un score de protection de 45, d’un score de politique de 99, d’un score de protection antialtération de 45 et d’un score d’exclusion de 88.
Focus du score : Protection installée
Le score de la protection installée qui affiche 45 dans l’exemple ci-dessus est une combinaison d’un score de protection des systèmes endpoint de 0 (indiquant qu’aucun des 30 appareils ne dispose de tous les logiciels de protection Sophos installés, pour lesquels le client possède pourtant des licences) et d’un score de protection du serveur de 90 (un appareil sur dix n’a pas le logiciel de protection sous licence installé). Ces deux scores individuels donnent un score global de protection de 45 (0 + 90 / 2).
Comme cet exemple l’illustre bien, les scores globaux sont la moyenne additionnée des scores individuels, et non une moyenne pondérée ou un pourcentage. Le score de 45 ne reflète pas la disparité au niveau du nombre de serveurs et de systèmes endpoint. Il s’agit d’une approche délibérée pour garantir que des zones de protection petites mais critiques ne soient pas oubliées.
Considérons, par exemple, une entreprise avec 200 systèmes endpoint qui ont tous une protection à jour et 10 serveurs, dont cinq ne sont pas protégés. Le score moyen pondéré serait de 98 (205/210) mais la moyenne additionnée est de 75 (100 + 50/2). En utilisant la moyenne pondérée, il serait facile d’ignorer le manque de protection du serveur avec des conséquences potentiellement dévastatrices.
Focus du score : Protection antialtération
La protection antialtération est une couche de défense essentielle, empêchant les adversaires de désactiver la protection Sophos (lisez cet article pour savoir comment la fonctionnalité de protection antialtération de Sophos Endpoint a déjoué une nouvelle attaque de ransomware).
Bien que la protection antialtération soit toujours activée par défaut, elle peut être désactivée aux niveaux global et individuel de l’appareil. Dans l’exemple ci-dessous, le score de la protection antialtération globale qui affiche 100 indique que la fonctionnalité a été activée au niveau global, mais les scores de la protection antialtération des systèmes endpoint (0) et du serveur (90) indiquent clairement qu’elle a été désactivée sur un certain nombre de machines individuelles. Le score global de 45 reflète la moyenne des scores des systèmes endpoint et du serveur. Cette granularité est importante pour garantir que des failles dans la protection ne soient pas oubliées.
Focus du score : Exclusions
Le score d’exclusion s’appuie sur les informations du terrain provenant de l’équipe Sophos MDR pour se concentrer sur les problèmes les plus courants et les plus percutants, tels que l’exclusion d’un lecteur entier.
La fonction “Vérifier l’état du compte” évalue les types d’exclusion pour lesquels nous avons des contrôles, en se concentrant sur les plus grands risques de sécurité et les problèmes les plus rencontrés sur le terrain.
Le score reflète le volume d’exclusions évaluées pour lesquelles nous n’avons identifié aucun problème. Par exemple, si une entreprise a une exclusion que nous vérifions et une autre que nous ne couvrons pas, son score sera basé uniquement sur l’exclusion que nous vérifions (dans ce cas, 0 ou 100). Il est important de noter qu’un score ne signifie pas que la situation est parfaite, mais plutôt que nous ne l’avons pas identifiée comme non sécurisée.
Chaque entreprise est différente et il est important de savoir que le score d’exclusion n’est pas un examen exhaustif de toutes les exclusions possibles. Si vous avez besoin d’un examen approfondi et personnalisé des exclusions concernant votre propre entreprise, notre équipe de services professionnels est en mesure de vous aider.
Nouvelle fonctionnalité de report (Snooze)
Bien qu’il ne soit pas toujours possible de résoudre un problème immédiatement, il est essentiel de ne pas le perdre de vue. La nouvelle fonctionnalité Snooze vous permet de reporter l’examen à une date ultérieure, par exemple si vous êtes dans un gel des modifications ou si vous déployez un correctif progressivement. Lorsqu’un élément est reporté, il devient gris dans le tableau de bord, en vous signalant ainsi, par ce rappel visuel continu, qu’un élément est en attente.
Lancez la vérification !
La fonction “Vérifier l’état du compte” est disponible pour tous les clients utilisant la protection Sophos Endpoint ou Sophos Server au niveau de la console Sophos Central. Nous recommandons aux entreprises de revoir leur posture au moins une fois par mois.
Pour obtenir plus d’informations, consultez les pages Health Check Scores et Snooze Issues dans Sophos Central Admin.
Nous continuons de développer les capacités de la fonction “Vérifier l’état du compte” et ajouterons d’autres vérifications et conseils en matière de correction dans les mois à venir. Si vous avez besoin d’aide pour effectuer les vérifications, contactez votre partenaire ou interlocuteur Sophos ou bien faites appel à l’équipe du support technique Sophos.
Billet inspiré de Health Scores added to the Sophos Account Health Check, sur le Blog Sophos.