Présentation de l’agent Sophos Endpoint

Sophos offre de puissantes capacités de réduction de la surface d’attaque, de prévention, de détection et de réponse aux menaces, le tout avec un agent léger dont l’empreinte est bien inférieure à celle de la plupart des applications professionnelles courantes. De nombreuses solutions concurrentes ne disposent pas de la même profondeur et de la même étendue, privilégiant la taille de l’agent à la force de la protection.

Mais pouvez-vous vraiment vous passer de ces protections supérieures ?

Réduction de la surface de menaces

Bloquer les attaques à un stade précoce nécessite moins de ressources que surveiller et remédier aux attaques à un stade tardif de la chaîne d’attaque. Pouvoir intercepter le trafic réseau sur les postes de travail est un puissant avantage en matière de protection pour les utilisateurs, qu’ils soient ou non sur le réseau de l’entreprise. Les solutions qui ne disposent pas de cette gamme complète de capacités de réduction de la surface de menaces ont moins de chances de bloquer les attaques avant qu’elles ne pénètrent dans vos systèmes.

Protection Web

La Protection Web intercepte les connexions sortantes du navigateur et bloque le trafic destiné aux sites web malveillants ou suspects. Elle bloque les menaces au stade de la transmission en empêchant les utilisateurs d’être redirigés vers des sites de diffusion de logiciels malveillants ou de phishing.

 

Contrôle du Web

Le Contrôle du Web utilise la même technologie d’interception du trafic, vous permettant de bloquer l’accès à des contenus indésirables ou inappropriés, tels que les sites pour adultes et les sites de jeux d’argent.

 

Réputation des téléchargements

La Réputation des téléchargements analyse les fichiers lors de leur téléchargement et utilise les renseignements sur les menaces des SophosLabs pour fournir un verdict basé sur la prévalence, l’âge et la source. Les utilisateurs sont invités à bloquer les fichiers dont la réputation est faible ou inconnue.

 

Contrôle des applications

Le Contrôle des applications vous permet de bloquer les applications potentiellement vulnérables, inadaptées à votre environnement ou qui pourraient être utilisées à des fins malveillantes. Sophos fournit des catégories prédéfinies pour bloquer ou surveiller les applications, ce qui évite de devoir bloquer des applications individuelles au coup par coup.

 

Contrôle des périphériques (appareils)

Le Contrôle des périphériques (appareils) vous permet de surveiller et de bloquer l’accès aux supports amovibles, à la technologie Bluetooth et aux téléphones portables afin d’empêcher certains appareils de se connecter à votre réseau.

 

Prévention des fuites de données (DLP)

La Prévention des fuites de données (DLP) surveille et restreint le transfert des fichiers contenant des données sensibles. Vous pouvez par exemple empêcher les employés d’envoyer des fichiers confidentiels à la maison en utilisant une messagerie web.

 

Verrouillage du serveur

Le Verrouillage du serveur permet uniquement aux applications approuvées et à leurs fichiers associés de s’exécuter et de modifier d’autres fichiers. Sophos consigne les logiciels installés, vérifie qu’ils sont sûrs et n’autorise l’exécution de ces applications que lorsque le serveur est verrouillé.

 

 

Prévention des menaces

Bloquer le plus grand nombre de menaces à un stade précoce de la chaîne d’attaque vous permet de vous concentrer sur l’investigation d’un moins grand nombre d’incidents. Certaines solutions de détection et de réponse se concentrent sur la collecte de télémétrie pour l’investigation au détriment d’une prévention complète, afin de maintenir une empreinte réduite de l’agent. Sophos offre des capacités de prévention des menaces plus étendues, dont l’efficacité est validée par les meilleurs scores obtenus lors de tests indépendants.

Protection anti-ransomware imperméable (CryptoGuard)

Visionner la vidéo

La technologie CryptoGuard de Sophos surveille le contenu des fichiers à la recherche de signes de chiffrement malveillant et bloque le processus incriminé en temps réel, qu’il soit exécuté sur l’ordinateur de la victime ou sur un appareil connecté au réseau compromis. Cette approche universelle protège vos données contre les attaques locales et distantes, y compris les nouvelles variantes de ransomware. Notre mécanisme propriétaire de retour en arrière (rollback) automatique restaure les fichiers chiffrés vers leur état d’origine sain sans s’appuyer sur le service VSS (Volume Shadow Copy Service), fréquemment ciblé par les attaquants.

Sophos Endpoint est la protection endpoint zero-touch la plus robuste contre les ransomwares distants.

 

Protection adaptative contre les attaques

Visionner la vidéo

La Protection adaptative contre les attaques met automatiquement en œuvre une protection plus agressive sur un terminal lorsqu’une attaque manuelle est détectée. Elle bloque les actions couramment effectuées par les adversaires, comme les tentatives d’exécution d’outils d’administration à distance ou d’exécutables de faible réputation.

Aucun autre fournisseur n’offre une protection adaptative comparable contre les adversaires actifs.

 

Prévention antimalware par Deep Learning (optimisée par l’IA)

La Prévention antimalware par Deep Learning (optimisée par l’IA) analyse les binaires pour prendre des décisions basées sur les attributs des fichiers et un raisonnement prédictif. Le Deep Learning est une forme avancée de Machine Learning qui détecte et bloque les logiciels malveillants, y compris les menaces nouvelles et inédites.

 

Live Protection

La fonctionnalité Live Protection étend la protection complète de Sophos sur l’appareil en accédant en temps réel aux derniers renseignements sur les menaces des SophosLabs. Cela permet d’obtenir un contexte de fichier supplémentaire, de vérifier les décisions, de supprimer les faux positifs et d’analyser la réputation des fichiers. Nos laboratoires de recherche sur les menaces fournissent en temps réel des renseignements supplémentaires issus du portefeuille de produits étendu de Sophos et de sa clientèle mondiale.

Certains fournisseurs, dont Carbon Black, CrowdStrike et SentinelOne, s’appuient uniquement sur des modèles de Machine Learning pré-entraînés.

 

Analyse des comportements

L’Analyse des comportements surveille les processus, les fichiers et les événements de registre au fil du temps, afin de détecter et de bloquer les comportements et les processus malveillants. Elle analyse également la mémoire, inspecte les processus en cours d’exécution afin de détecter les codes malveillants qui ne sont révélés qu’au cours de l’exécution du processus, et détecte les attaquants qui implantent des codes malveillants dans la mémoire d’un processus en cours d’exécution aux fins d’échapper à la détection.

 

Anti-exploit

L’Anti-exploit protège l’intégrité des processus en renforçant la mémoire des applications et en appliquant des garde-fous pour l’exécution du code au moment de l’exécution. Plus de 60 techniques anti-exploit de Sophos Endpoint sont activées par défaut. Elles ne nécessitent ni formation ni réglage et vont bien au-delà des protections fournies par le système d’exploitation Windows natif ou par la plupart des autres solutions de sécurité Endpoint.

Certains éditeurs, dont Carbon Black, SentinelOne et Microsoft, ne disposent pas d’un système d’atténuation des exploits très complet ou nécessitent un réglage manuel important.

 

Verrouillage des applications

Le Verrouillage des applications empêche l’utilisation abusive des navigateurs et des applications en bloquant les actions qui ne sont pas généralement associées à ces processus. C’est le cas par exemple d’un navigateur web ou d’une application Office qui tente de lancer PowerShell.

 

Interface d’analyse de logiciel anti-programmes malveillants (AMSI)

L’Interface (AMSI) détermine si les scripts (par exemple, PowerShell ou les macros Office) sont sûrs, y compris s’ils sont obfusqués ou générés au moment de l’exécution. Elle bloque ainsi les attaques sans fichier où le malware est chargé directement à partir de la mémoire. Sophos dispose également d’une solution propriétaire pour contrer les malwares qui tentent d’échapper à la détection AMSI.

 

Détection du trafic malveillant (MTD)

La Détection du trafic malveillant (MTD) permet de détecter un appareil qui tente de communiquer avec un serveur C2 (Command and Control) en interceptant le trafic provenant de processus autres que le navigateur et en analysant s’il est destiné à une adresse malveillante.

 

Surveillance de l’intégrité des fichiers (FIM)

La Surveillance de l’intégrité des fichiers (FIM) permet d’identifier les modifications apportées aux fichiers critiques sur les serveurs Windows. Vous pouvez également définir des emplacements et des exclusions pour identifier les modifications apportées à des fichiers, dossiers, clés de registre ou valeurs de registre spécifiques.

 

 

Détection, investigation et réponse

Plus votre visibilité sera large, plus vite vous pourrez agir. Sophos vous offre toute la richesse des données nécessaires pour investiguer et répondre efficacement aux activités suspectes dans votre environnement. La journalisation complète de l’activité des appareils a un impact faible sur l’empreinte de l’agent, mais un impact important sur l’efficacité de la réponse. Si nécessaire, vous pouvez limiter l’espace disque utilisé pour cela sur l’appareil et la durée pendant laquelle les données sont collectées.

Sophos Data Lake

Le Data Lake de Sophos intègre une télémétrie complète provenant d’un portefeuille étendu de solutions Sophos et tierces (non Sophos), notamment les technologies Endpoint, mobile, pare-feu, réseau, email et Cloud. Il vous permet d’accéder aux données critiques et aux détections de menaces priorisées par l’IA sur de multiples surfaces d’attaque.

 

Live Discover

La fonctionnalité Live Discover vous permet d’interroger les appareils pour analyser leur activité. Elle utilise la technologie osquery pour surveiller et consigner l’état et les attributs des appareils dans les journaux d’événements, et utilise des garde-fous pour limiter l’impact des requêtes sur l’appareil. Vous pouvez interroger les informations du Data Lake de Sophos pour plusieurs appareils, y compris ceux qui sont hors ligne.

 

Live Response

La fonctionnalité Live Response fournit un terminal sécurisé dans votre console Sophos Central, pour vous permettre de vous connecter directement aux appareils à investiguer et résoudre d’éventuels problèmes de sécurité. Exécutez des commandes pour arrêter les processus suspects, redémarrer les appareils dotés de mises à jour en attente, supprimer des fichiers et bien plus encore, avec un accès shell complet, sécurisé et audité.

Certains fournisseurs n’offrent qu’un ensemble limité de commandes par le biais de leurs consoles.

 

Instantanés d’analyse

Instantanés d’analyse. Lorsqu’une menace est détectée, un fichier de capture instantanée de l’activité en cours est créé sur le disque de l’appareil. Vous pouvez récupérer à distance ces instantanés d’analyse pour effectuer des analyses supplémentaires.

 

Isolement des appareils

L’Isolement des appareils vous permet d’isoler un terminal de votre réseau pour contenir une menace ou effectuer une investigation. L’isolement bloque le trafic TCP et UDP, et empêche l’appareil d’établir des connexions réseau.

 

Compatibilité tierce

L’agent Endpoint unifié de Sophos comprend notre suite complète de fonctionnalités de protection, de détection et de réponse. Les entreprises peuvent également bénéficier des capacités de détection et de réponse de Sophos avec une protection Endpoint non Sophos grâce à l’option légère ‘XDR Sensor’ et à une gamme d’intégrations de solutions tierces clés en main.

Certains éditeurs, dont CrowdStrike et Microsoft, ne prennent pas en charge l’utilisation de technologies Endpoint tierces.

 

Sophos EDR/XDR

Sophos fournit une plateforme unifiée d’opérations de sécurité et des outils qui vous permettent de détecter, d’investiguer et de répondre aux menaces, à travers tous les vecteurs d’attaque clés, dans les plus brefs délais. Apprenez-en plus sur la suite complète des puissantes fonctionnalités de Sophos en matière de fonctionnalités EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response).

 

sophos-shield-lockup

Sophos fournit les protections les plus robustes tout en maintenant une solution performante et un agent doté d’une empreinte optimisée.

Choisir une solution de sécurité Endpoint en se basant uniquement sur la taille de l’agent pourrait vous exposer à des cybermenaces. Pourquoi prendre ce risque ?