Nous avons également publié un nouvel article qui détaille notre vision concernant la manière avec laquelle les opérations de sécurité peuvent être et seront renforcées et améliorées par l’apprentissage automatique et l’intelligence artificielle : “Building the AI-Driven SOC: Sophos’ 5-Year Perspective”. Enfin, nous venons d’annoncer le lancement de Sophos X-Ops, une nouvelle unité transversale qui relie trois équipes d’experts Sophos reconnus dans le domaine de la cybersécurité : SophosLabs, SecOps (Managed Threat Response, Rapid Response et Sophos Security) et Sophos AI pour fournir à nos clients des capacités de protection, de détection et de réponse plus solides et plus innovantes.
La fragmentation de la recherche et de la réponse en matière de sécurité est un problème bien connu dans notre secteur qui donne un avantage aux attaquants. Chez Sophos, nous pensons que la bonne réponse consiste à rassembler nos multiples domaines de compétence et d’expertise au sein d’un modèle de task force conjointe pour faire face et contrer chaque menace unique. Dans cet article, je souhaite montrer les implications pratique et concrète à l’aide de recherches spécifiques, afin que vous puissiez voir comment fonctionne concrètement Sophos X-Ops.
La recherche que nous publions traite d’une série de tentatives d’attaque contre des serveurs Microsoft SQL non corrigés, concernant des vulnérabilités connues. Nous pensons que le groupe malveillant à l’origine de ces attaques est probablement responsable de plusieurs incidents au cours du premier semestre 2022, affectant principalement les entreprises des Amériques et d’Asie. Le but ultime de ces attaques était de pénétrer au sein de systèmes vulnérables, de compromettre davantage de systèmes et de déployer des ransomwares.
Les équipes Sophos X-Ops travaillent ensemble via un processus continu de collaboration constante. Par exemple, dans ce cas, les SophosLabs, aidés par l’intelligence et les outils de Sophos AI, ont intégré des détections dans notre produit Intercept X : Intercept X a pu détecter et stopper le ransomware que ces attaquants cherchaient à déployer. Plus précisément, notre technologie CryptoGuard a détecté et bloqué le déploiement de ce ransomware. Il convient également de noter qu’Intercept X a empêché les tentatives lancées par le ransomware pour désactiver la sécurité des systèmes endpoint. Au final, Intercept X a été en mesure de priver les attaquants d’un espace sûr à partir duquel lancer de nouvelles attaques contre le réseau et les systèmes qui s’y trouvaient.
Notre équipe Managed Threat Response (MTR), qui fait partie de SecOps, et fournit une surveillance et une réponse directes et continues 24h/24, 7j/7 et 365j/an pour protéger les systèmes des clients, a observé une série de détections concernant cette famille de ransomwares. L’équipe a commencé à investigué pour mieux comprendre le contexte et les indicateurs de compromission se cachant derrière ces tentatives.
Lors de cette investigation, les équipes MTR et SophosLabs ont collaboré pour comprendre le fonctionnement du malware et son déploiement dans l’environnement réel.
Pendant ce temps, notre équipe Rapid Response, qui fait également partie de SecOps, avait été impliquée en parallèle pour aider à lutter contre une tentative de déploiement du même ransomware dans une autre entreprise. L’équipe Rapid Response a utilisé Intercept X pour aider à empêcher le déploiement des ransomwares et a pu recueillir des détails plus spécifiques et concrets sur le déroulement de ces attaques. Dans le cadre de leur mission, Rapid Response s’est entretenu avec les SophosLabs et l’équipe MTR, et ils ont partagé des informations sur leurs domaines de compétence et d’expertise afin de dresser un tableau plus complet du malware et de la chaîne d’attaque réelle. Une fois l’attaque stoppée, Rapid Response a clôturé l’incident avec le client et l’équipe MTR est alors intervenue, comme le veut Sophos, pour une période de surveillance après événement.
Cette vision plus complète et détaillée a ensuite été utilisée par les SophosLabs pour intégrer des protections encore meilleures dans nos produits et fournir encore plus de données pouvant être utilisées par Sophos AI pour entraîner l’apprentissage automatique qui aide justement à alimenter les protections.
Enfin, toutes ces équipes ont travaillé ensemble pour regrouper et produire les recherches que nous venons de publier afin que les défenseurs puissent bénéficier des leçons que nous avons tirées et ainsi mieux protéger leur entreprise.
Nous pensons que le partage d’informations est un élément crucial dans le domaine de la cybersécurité, c’est pourquoi un autre élément clé de Sophos X-Ops est notre blog Sophos X-Ops récemment mis à jour et notre handle Twitter, ainsi que la participation à des programmes tels que la Cyber Threat Alliance (CTA) et le programme Microsoft Active Protections. Par le biais du CTA, par exemple, les informations de détection contenues dans notre produit Intercept X sont partagées avec tous les autres membres du CTA, permettant ainsi à leurs clients d’être également protégés.
Le récent lancement de Sophos X-Ops n’est qu’un début : toutes nos informations recueillies, analysées et partagées permettent de stopper davantage d’attaques, conduisant ainsi à encore plus d’informations sur le fonctionnement de ces dernières. Ainsi, le cycle se poursuit, avec les équipes Sophos X-Ops qui travaillent constamment ensemble, car les attaquants eux-mêmes travaillent ensemble pour constamment mettre à jour leurs méthodes d’attaque dans le but de toujours garder une longueur d’avance sur les défenseurs.
Les clients Sophos et l’ensemble des utilisateurs sont mieux protégés et informés car nous rassemblons ces différentes équipes avec des connaissances, une expertise et une intelligence complémentaires pour fournir une vision la plus complète et la plus large possible sur les menaces. Au fur et à mesure que Sophos se développe et rassemble plus de compétences et d’expertise pour une recherche et une réponse encore plus complètes, les capacités de Sophos X-Ops se développeront aussi naturellement. Tenez-vous informé en visitant régulièrement notre blog.
Pour obtenir plus d’informations sur Sophos X-Ops, veuillez consulter notre FAQ.
Billet inspiré de Behind the Research: The Making of “OODA: X-Ops Takes on Burgeoning SQL Server Attacks”, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.