Produits et Services PRODUITS & SERVICES

‘MITRE Engenuity ATT&CK® Evaluations’ présente les réelles capacités de Sophos en matière de prévention et de détection des menaces

Les résultats de cette quatrième série de 'MITRE Engenuity ATT&CK® Enterprise Evaluations' sont désormais disponibles, reconnaissant Sophos Intercept X avec une détection de 100% au niveau de toutes les étapes d'une attaque majeure, protégeant ainsi les entreprises contre les menaces sophistiquées observées dans le monde réel.
Texte écrit par
20 avril 2022
Products & Services

Cette série d’évaluations indépendantes ATT&CK concernant les solutions de cybersécurité d’entreprise s’est appuyée sur deux groupes de menaces sophistiquées, Wizard Spider et Sandworm.MITRE Engenuity

Wizard Spider est un groupe cybercriminel motivé financièrement qui mène des campagnes de ransomware depuis août 2018 contre diverses entreprises, allant des grandes organisations aux hôpitaux. Sandworm est un groupe malveillant russe particulièrement destructeur connu pour avoir lancé les attaques de ransomware NotPetya qui ont fait des ravages en 2017.

Ces deux acteurs malveillants ont été choisis du fait de leur complexité, de leur pertinence vis à vis des entreprises clientes et de la capacité des employés de MITRE Engenuity à simuler correctement ces adversaires lors d’un test réel, assez réaliste pour inspirer confiance aux entreprises concernées.

Offrir la meilleure visibilité sur les menaces

Sophos est fier de révéler qu’Intercept X a démontré une capacité de haut niveau pour prévenir et détecter les attaques avancées, notamment Wizard Spider et Sandworm. Plus précisément, Intercept X a bloqué les deux attaques simulées et a détecté chacune des principales étapes des deux scénarios d’attaque envisagés.

“Le défi qui consiste à protéger votre entreprise contre les cybermenaces réelles est un effort exigeant en termes de précision et d’évolutivité. Offrir à un défenseur le plus haut niveau possible en matière de contexte est essentiel pour améliorer la vitesse à laquelle vous pourrez identifier et répondre aux Tactiques, Techniques et Procédures (TTP) de l’attaquant. Les adversaires adaptent et font évoluer en permanence leurs outils et leurs activités pour saisir de nouvelles opportunités, échapper à la détection et essayer de garder sans cesse une longueur d’avance sur les équipes de sécurité. Ainsi, nous sommes ravis d’avoir été reconnus dans MITRE Engenuity Evaluations, qui se concentre sur les véritables TTP de deux attaquants actuels et plutôt agressifs”, a déclaré Joe Levy, Chief Technology and Product Officer chez Sophos.

Vous pouvez parcourir les techniques concernées et utilisées dans l’évaluation via le navigateur ATT&CK en consultant le fichier de couche que nous avons mis à disposition, ainsi que les résultats de Sophos en matière de détection.

MITRE Engenuity

 

Bloquer les menaces plus rapidement

“Nous sommes très satisfaits de la manière avec laquelle l’évaluation de MITRE met en évidence la puissance de détection des menaces de Sophos Intercept X. Chaque jour, cette solution permet à nos clients de bloquer toujours plus d’attaques actives et ce toujours plus tôt dans le cycle de l’attaque, en permettant ainsi de réduire l’impact couteux de ces menaces, comme par exemple les ransomwares”, ajoute Lévy. Empêcher un seul incident de ransomware, du même type que celui simulé dans les évaluations ATT&CK, pourrait permettre d’économiser des millions d’euros, sans parler des dommages collatéraux potentiels, simplement en stoppant les attaques avant qu’elles ne puissent déclencher des évènements plus malveillants.

Alors que le président Biden a publié une déclaration selon laquelle les groupes malveillants russes, comme ceux responsables de Sandworm, pourraient lancer une action cyberoffensive contre les entreprises et les infrastructures occidentales, il est important que les organisations optimisent la prévention. Une étape importante consiste à réduire la surface d’attaque, en supprimant les opportunités pour les attaquants de pénétrer au sein d’une entreprise. Voici quelques exemples illustrant comment Sophos y parvient :

  • Blocage des applications potentiellement indésirables (PUA).
  • Blocage des sites Web malveillants ou suspects en fonction du contenu ou de l’évaluation des URL.
  • Contrôle des applications autorisées à s’exécuter dans l’entreprise.
  • Contrôle des appareils autorisés sur le réseau de l’entreprise ou capables d’accéder aux ressources Cloud.
  • Verrouillage des configurations de serveur en un seul clic.

L’étape suivante consiste à empêcher les attaques de s’exécuter à proprement parler, en utilisant des technologies de protection multicouche pour stopper à la fois les menaces et les tactiques utilisées par les attaquants, notamment :

  • La détection et prévention comportementales basées sur les activités connues des adversaires ainsi que celles considérées comme anormales.
  • Des modèles d’intelligence artificielle (IA) pour attribuer des scores de risque aux artefacts de fichier, notamment ceux qui n’ont jamais été vus auparavant.
  • Une protection anti-ransomware basée sur le comportement concernant les systèmes locaux et distants.
  • Une prévention contre les exploits qui stoppent les techniques utilisées par les attaquants, protégeant ainsi contre un large éventail d’attaques, notamment celles qui exploitent des malwares jusque-là inconnus.

L’attaque Kaseya de l’an dernier a mis en évidence l’importance de la combinaison de la prévention et de la détection : en effet, au moment où l’attaque a été détectée, il était trop tard car les fichiers avaient déjà été chiffrés. Néanmoins, pas un seul client Sophos, avec notre protection endpoint Next-Gen correctement déployée, n’a eu ses fichiers chiffrés lors de cette attaque.

Minimiser le temps de détection et de réponse

L’optimisation de la prévention de cette manière réduit le temps de détection et de réponse face aux menaces observées sur le terrain et permet aux défenseurs de se concentrer sur des détections moins nombreuses et plus précises.

Sophos Intercept X with XDR, en obtenant la note de contexte la plus élevée concernant la majorité des détections réalisées lors de l’évaluation, a clairement montré comment il vous permettait de rationaliser l’ensemble du processus d’investigation et de réponse. Notre console intuitive vous facilite la tâche avec un ensemble très complet de requêtes prédéfinies en matière de chasse aux menaces (Threat Hunting) et d’investigation (Investigation) et classées dans plusieurs catégories, en lien notamment avec MITRE ATT&CK.

MITRE Engenuity

Pour rendre mon exposé plus concret, j’aimerais partager avec vous les données de Sophos MTR (Managed Threat Response), notre service MDR de détection et de réponse managé en mode 24/7/365 qui s’occupe aujourd’hui de plus de 8 500 clients Sophos Intercept X.

Les clients inscrits à notre service constatent un temps moyen de détection des attaques (MTTD) inférieur à une minute. Les techniques d’investigation enrichies se traduisent par un temps moyen d’investigation (MTTI) de 25 minutes.

Les investigations menées par nos experts tirent parti du contexte de détection supérieur identifié par MITRE, nous permettant ainsi d’obtenir une réponse plus rapide et plus précise. Le résultat final est un temps moyen de résolution (MTTR) de seulement 12 minutes, soit un temps global entre la détection de la menace et sa résolution d’un peu moins de 38 minutes.

Fournir des résultats concrets

Notre objectif chez Sophos est d’aider nos clients à prévenir, détecter et répondre plus rapidement aux incidents de sécurité, vous permettant ainsi d’obtenir de meilleurs résultats en matière de sécurité.

Nous nous engageons à tester Sophos Intercept X avec un large éventail d’organismes de test de premier plan tels que MITRE Engenuity, ainsi qu’à solliciter des avis auprès des entreprises que nous protégeons au quotidien. Les résultats parlent d’eux-mêmes : Sophos offre systématiquement une protection de pointe, a été nommé éditeur le mieux noté et le plus évalué dans Gartner Peer Insights™ Customer’s Choice for Endpoint Protection Platforms, et a également été désigné meilleur Enterprise Endpoint Protection par SE Labs.

Pour en savoir plus et discuter de la manière avec laquelle nous pouvons vous aider à relever vos défis en matière de sécurité, visitez notre site Web et contactez à un membre de l’équipe.

Si vous avez besoin d’une assistance immédiate pour contenir, neutraliser et investiguer une menace active, vous pouvez contacter Sophos Rapid Response pour bénéficier d’une assistance 24h/24 et 7j/7.

Billet inspiré de MITRE Engenuity ATT&CK® Evaluation results showcase Sophos real-world threat prevention and detection, sur le Blog Sophos.

À propos de l’auteur

Working with Cloud Solution Architects all day gives Richard the perfect outlook to showcase Sophos cloud security to audiences around the world. Working in tech for the past 15 years, Richard got his break in tech startups and VARs, before driving product strategy for hosting platform brands across Europe. Joining Sophos in 2016 he’s now responsible for Sophos service provider and cloud security go-to-market and enablement.

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *