.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Sophos a introduit la Sécurité Synchronisée en 2015, permettant à Sophos Firewall et Sophos Endpoint de partager des informations et de collaborer pour répondre automatiquement aux menaces. Cette approche novatrice, qui a fait évoluer la cybersécurité d'un ensemble de produits isolés en un écosystème de sécurité, a permis de réduire avec succès les cyber-risques et d'améliorer les résultats en matière de sécurité face aux menaces observées sur le terrain depuis plus d'une décennie.
Depuis son lancement initial, nous n'avons cessé d'étendre et de faire évoluer la Sécurité Synchronisée (Synchronized Security), notamment en interconnectant une large gamme de produits et de services, en étendant nos actions de réponse et en synchronisant nos renseignements sur les menaces (Threat-Intelligence). Aujourd'hui, Sophos Workspace Protection vient compléter la gamme Sécurité Synchronisée.
Security Heartbeat
Trois fonctionnalités clés se combinent pour permettre aux solutions Sophos de fonctionner ensemble :
- Security Heartbeat™ est un indicateur de l’état de sécurité d’un appareil qui fonctionne (« bat ») en permanence et affiche une couleur : Rouge, Orange ou Verte pour refléter son état en temps réel.
- La plateforme Sophos Central permet aux solutions Sophos de partager en temps réel des informations sur les menaces, l'état de sécurité et la protection, notamment l’état de Security Heartbeat.
- Les solutions Sophos sont conçues pour lancer des actions automatiquement en fonction de l’état de Security Heartbeat concernant un appareil.
En permettant aux solutions Sophos de fonctionner ensemble, la Sécurité Synchronisée et la fonctionnalité Security Heartbeat réduisent le temps de réponse de plusieurs minutes ou heures à quelques secondes seulement. Elles étendent également les puissantes capacités en matière de réduction des risques offertes par les solutions Sophos isolées grâce à une couche de défense supplémentaire disponible uniquement lorsque les solutions de sécurité fonctionnent ensemble.
Et c'est gratuit. La Sécurité Synchronisée est incluse et activée automatiquement sans frais supplémentaires pour tous les clients Sophos.
Permettre une réponse coordonnée et automatisée aux menaces
Étape 1 : Détecter. Si Sophos Endpoint détecte une menace sur l'appareil d'un utilisateur, il bascule automatiquement l’état de Security Heartbeat de l'appareil en question sur Rouge et partage ce nouvel état de sécurité avec l'écosystème élargi.
Étape 2 : Isoler. Sophos Firewall et Sophos ZTNA limitent immédiatement l'accès du périphérique avec un état Rouge aux ressources réseau et aux applications, empêchant ainsi toute perte de données. Sophos Firewall peut également bloquer le trafic provenant du périphérique compromis vers tous les systèmes endpoint sains (état Vert) du réseau, notamment ceux situés sur le même switch, éliminant ainsi la possibilité de mouvement latéral, entre autre, au sein du même segment LAN.
Étape 3 : Restaurer. Une fois le périphérique concerné nettoyé, Sophos Endpoint bascule automatiquement l’état de Security Heartbeat sur Vert, déclenchant ainsi instantanément Sophos Firewall et Sophos ZTNA pour réactiver l'accès.
Comment sont gérées les attaques en pleine nuit ?
La Sécurité Synchronisée est un outil puissant à toute heure du jour ou de la nuit, mais elle est particulièrement utile en dehors des heures de bureau normales, lorsque la disponibilité des ressources internes est souvent réduite. Avec 88% des incidents de ransomware qui débutent le soir, la nuit et le week-end, c'est aussi le moment idéal, pour les cybercriminels, de lancer une attaque.
Que se passe-t-il donc si un attaquant s'introduit dans l'un de vos serveurs tard un vendredi soir ? Dans un environnement non protégé par Sophos, l'adversaire aura un accès complet au réseau pendant tout le week-end, ce qui lui donnera amplement le temps d'exfiltrer des données, d'installer des backdoors et de déployer des ransomwares.
Mais dans une organisation protégée par Sophos, toute activité malveillante détectée sur le serveur par Sophos Endpoint fera basculer automatiquement l’état de Security Heartbeat sur Rouge, amenant ainsi Sophos Firewall à isoler efficacement le serveur du reste du réseau jusqu'à ce qu'il puisse être nettoyé, sans que personne n'ait à intervenir.
Une fois le serveur compromis nettoyé, Sophos Endpoint mettra l’état de Security Heartbeat sur Vert et rétablira l'accès complet au système ainsi que la connectivité.
Plus qu’une réponse aux menaces
En plus de répondre automatiquement aux menaces, la Sécurité Synchronisée (Synchronized Security) peut partager des informations sur les applications entre Sophos Endpoint et Sophos Firewall. Cette possibilité permet à Sophos Firewall d'acheminer, de prioriser ou de bloquer le trafic d’application qu'il ne pourrait pas identifier autrement.
Par exemple, si vous avez une application personnalisée qui nécessite une priorisation, la plupart des pare-feu ne la reconnaîtront pas et la laisseront à la merci de tout le reste du trafic sur votre réseau. Grâce à l'association de Sophos Firewall et Sophos Endpoint, le trafic provenant de votre application personnalisée pourra être facilement identifié et priorisé.
Sophos Endpoint peut également partager les informations des utilisateurs authentifiés avec Sophos Firewall afin de simplifier l'application des politiques basées sur l'utilisateur.
Et ce n'est pas tout. Par exemple, si un appareil compromis commence à envoyer des spams ou des emails de phishing, cette action malveillante fera passer l’état sur Rouge, ce qui amènera Sophos Email à bloquer automatiquement les messages avant qu'ils n'atteignent les utilisateurs.
Un autre excellent exemple de la Sécurité Synchronisée en pleine action est la réponse active aux menaces (Active Threat Response), qui étend la Sécurité Synchronisée aux équipes d'opérations de sécurité. Avec la réponse active aux menaces, un analyste travaillant pour Sophos dans le cadre de notre service MDR, ou vos propres analystes travaillant avec Sophos XDR, peuvent déclencher une réponse de sécurité synchronisée en utilisant la nouvelle fonctionnalité de flux de menaces intégrée à Sophos Firewall. La Sécurité Synchronisée (Synchronized Security) exploite ensuite ces informations pour identifier tout hôte compromis sur le réseau et l'isoler automatiquement jusqu'à ce qu'il puisse être nettoyé. La fonction de réponse active aux menaces est également disponible pour les switches Sophos et les points d'accès AP6.
Le dernier ajout : Sophos Workspace Protection
Sophos Workspace Protection est une suite intégrée de solutions de sécurité qui protège les applications, les données, les employés et les invités de manière simple et abordable, où qu'ils se trouvent. Il inclut Sophos ZTNA, qui prend désormais en charge Security Heartbeat, vous permettant d'empêcher automatiquement les appareils compromis de se connecter aux applications et aux données réseau importantes. Cette capacité unique et automatisée de réponse aux menaces limite considérablement la possibilité qu'un appareil compromis appartenant à un travailleur distant ne devienne un point d'entrée pour un attaquant vers le réseau étendu.
La Sécurité Synchronisée (Synchronized Security) et Security Heartbeat sont des fonctionnalités essentielles qui font de Sophos ZTNA une solution de sécurité cruciale pour l'accès à distance. Les solutions VPN traditionnelles n'ont aucun moyen de savoir si un appareil a été compromis et permettent à tout appareil compromis d'accéder pleinement au réseau. Sophos ZTNA, en revanche, n'impose pas seulement une authentification multifacteur pour empêcher les violations dues à des identifiants compromis, mais inclut également une Sécurité Synchronisée pour empêcher les appareils de se connecter lorsqu'ils sont dans un état compromis.
Comment obtenir la Sécurité Synchronisée ?
Security Heartbeat est automatiquement inclus avec Sophos Firewall, Sophos Endpoint, Sophos Email, Sophos Mobile et désormais Sophos Workspace Protection. Aucun produit ni solution supplémentaire n'est requis, aucun abonnement supplémentaire n'est à acheter.
Sophos Central gère tout le partage des données. Il vous suffit de configurer les conditions de Security Heartbeat dans vos politiques pour en bénéficier. C'est aussi simple que cela. C’est l’une des raisons pour lesquelles de nombreux clients choisissent Sophos pour leur cybersécurité : vous ne trouverez de telles capacités nulle part ailleurs.
Billet inspiré de Synchronized Security and Security Heartbeat: Elevating Cyber Defenses, Automatically, sur le Blog Sophos.