La protection antialtération est une des puissantes capacités de protection peu connues qui fonctionne pourtant discrètement en arrière-plan. Elle empêche les adversaires de désactiver les défenses dans Sophos Intercept X Endpoint, notre solution EDR, leader du marché, ce qui leur permettrait alors de déployer leurs charges virales.
Récemment, la protection antialtération a été mise à l’honneur car elle s’est avérée essentielle pour que Sophos puisse identifier et bloquer une nouvelle attaque de ransomware au cours de laquelle des attaquants ont utilisé un pilote malveillant signé avec un certificat numérique Windows Hardware Compatibility Publisher légitime de Microsoft. Ce pilote a pris pour cible, en particulier, les processus utilisés par les principaux packages logiciels EDR (Endpoint Detection and Response) et nous sommes convaincus qu’il est associé au groupe d’attaquants utilisant le ransomware Cuba.
Créer un pilote malveillant à partir de zéro et le faire signer par une autorité légitime est très difficile, mais c’est aussi incroyablement efficace car le pilote peut alors exécuter n’importe quel processus sans attirer l’attention.
Pratiquement tous les logiciels EDR sont vulnérables à ce nouveau pilote mais, heureusement, la protection antialtération de Sophos Endpoint a permis de faire échouer la tentative de désactivation de notre protection, lancée par l’adversaire. Cette fonctionnalité a permis à d’autres technologies de protection de Sophos Endpoint de stopper avec succès cette attaque de ransomware. Sophos Rapid Response, notre équipe d’experts en réponse aux incidents, est intervenue pour neutraliser avec succès l’incident, et l’investigation a permis une collaboration efficace entre Sophos et Microsoft pour prendre des mesures et faire face à cette menace.
L’importance de la protection multicouche
En matière de cybersécurité, il n’y a pas de solution miracle, pas de capacité de protection unique qui stoppera absolument toutes les menaces. Chaque attaque combine un ensemble différent de tactiques, de techniques et de procédures (TTP) et, par conséquent, il n’existe pas de solution de protection unique. Une approche qui fonctionne pour contrer une attaque ne fonctionnera pas forcément pour en contrer une autre.
Pour optimiser vos défenses, vous avez besoin d’une protection multicouche : plusieurs capacités de protection sophistiquées, chacune jouant son rôle dans la défense contre les attaques avancées. Sophos Endpoint est doté de ces multiples couches de protection, notamment :
- Une protection contre le vol d’identifiants qui empêche l’accès non autorisé au système.
- Une protection contre les exploits pour stopper les techniques utilisées par les adversaires.
- Une protection anti-ransomware qui identifie et bloque les tentatives de chiffrement malveillantes.
- Et, bien sûr, une protection antialtération.
La combinaison de plusieurs couches de technologie de protection différentes nous permet d’optimiser les défenses de nos clients. Témoignage de la qualité de nos défenses et de la puissance de notre protection multicouche, nous stoppons 99,98 % des menaces en amont (score moyen d’AV-TEST) et avons récemment obtenu des scores parfaits dans le rapport sur la protection endpoint de SE Labs.
De plus, ces couches génèrent des signaux de haute qualité que les défenseurs de Sophos MDR, notre service MDR (Managed Detection and Response), leader du marché, managé 24h/24 et 7j/7, peuvent utiliser pour identifier, investiguer et répondre rapidement aux activités adverses avant que des dommages ne soient causés.
Vérifiez que la protection antialtération soit bien activée grâce à l’outil “Vérifier l’état du compte Sophos”
La fonction “Vérifier l’état du compte Sophos” permet aux clients utilisant la protection Sophos Endpoint EDR et Server d’identifier et de résoudre rapidement les problèmes de configuration au niveau de leurs appareils protégés par Sophos. Disponible pour tous les clients qui gèrent la sécurité Sophos via la plateforme Sophos Central, elle effectue un certain nombre de vérifications essentielles :
- Attribution des logiciels : les appareils ont-ils tous les bons logiciels qui leur sont attribués ?
- Politique en matière de menaces : les politiques utilisent-elles les paramètres recommandés ?
- Exclusions : certaines exclusions créent-elles une exposition importante ?
- Protection antialtération : la protection antialtération a-t-elle été désactivée sur des ordinateurs ou des serveurs ?
Notre nouvelle fonctionnalité “Corriger automatiquement” permet aux équipes IT d’activer facilement la protection antialtération pour tous les appareils, améliorant ainsi la sécurité en quelques clics seulement.
Accédez à l’outil “Vérifier l’état du compte” depuis le panneau de navigation principal de Sophos Central et utilisez le tableau de bord intuitif pour traiter les problèmes.
Bien que les paramètres recommandés soient automatiquement appliqués à tous les nouveaux déploiements Sophos, des problèmes peuvent survenir au fil du temps et à mesure que des appareils sont ajoutés et supprimés, que les membres de l’équipe changent et que différents abonnements logiciels sont achetés. Nous recommandons aux clients de vérifier l’état du compte tous les trois mois, au moins, afin de garantir un environnement sain.
Billet inspiré de Sophos Endpoint Tamper Protection Thwarts a Sophisticated Ransomware Attack, sur le Blog Sophos.