L’éditeur américain poursuit sa stratégie d’interconnexion des éléments de sécurité pour améliorer la détection des attaques. Désormais, l’IA vient en renfort dans l’analyse de ces incidents de sécurité.
Sophos a présenté le 22 janvier sur le Forum International de la Cybersécurité (FIC) la toute dernière version du pare-feu XG Firewall, une version qui permet maintenant de bloquer le déplacement latéral des attaques. Michel Lanaspeze, directeur marketing pour l’Europe de l’ouest de l’éditeur, explique son fonctionnement : « Lorsqu’un poste est attaqué et que l’attaquant essaye à partir de celui-ci d’attaquer d’autres postes, nous pouvons bloquer ce déplacement. C’est la poursuite de notre approche de sécurité synchronisée entre nos solutions de pare-feu réseau et endpoint notamment afin d’avoir une visibilité complète sur les applications réseau. »
Un dialogue entre terminaux et équipements réseau
La détection des déplacements latéraux se fait grâce au dialogue entre les terminaux et les équipements réseau et non plus seulement au moyen de signature de trafic réseau. Le terminal qui détecte un comportement suspect en informe le pare-feu qui va corréler l’information avec les données remontées par les autres terminaux. Le cas échéant, le pare-feu isole le poste. Sophos a commercialisé ses premières briques de cette sécurité synchronisée en 2015 et continue d’étendre son approche, notamment par l’analyse des échanges des postes mobiles.
Phish Threat : piéger les utilisateurs pour les former
Autre cheval de bataille de Sophos, la sensibilisation des utilisateurs. L’éditeur pousse son offre Phish Threat, une solution qui génère de fausses attaques de phishing auprès des utilisateurs et enrôle ceux qui se sont laissés prendre au piège dans des formations en ligne afin de les sensibiliser aux risques. Un utilisateur qui fréquente des sites Web « risqués » se verra lui aussi invité à suivre une formation en ligne de quelques minutes lui expliquant les bonnes pratiques.
L’IA, un outil de démocratisation des EDR ?
Sophos a également animé un atelier sur le FIC afin de démontrer les capacités d’InterceptX, sa solution d’EDR (détection des menaces sur le endpoint). L’éditeur a souhaité démontrer les apports des technologies d’intelligence artificielle issues de l’acquisition d’Invincea pour 100 millions de dollars en février 2017. « L’IA est un moyen de démocratiser l’EDR qui reste un outil confiné aux entreprises qui disposent d’un SOC. Le Deep Learning constitue une aide en expliquant pourquoi le comportement d’un poste a été jugé comme douteux, ce qui va permettre à un administrateur, même s’il n’est pas expert en cybersécurité, de prendre une décision » conclut Michel Lanaspeze.
Auteur : Alain Clapaud
