vendredi, 29 mars 2024

De Bitdefender à Sophos, comment les OSC choisissent une suite de protection des terminaux

Crédit : Dreamstime

Les recherches montrent que les lecteurs de CSO sont probablement de savoir que la défense des terminaux est l’itération moderne des outils antivirus des générations précédentes. D’accord, j’ai inventé cette première partie, mais la deuxième partie est, de toute évidence, réelle.

L’antivirus–plus approprié appelé anti-malware–a en fait considérablement augmenté depuis l’époque des serveurs antivirus, mises à jour quotidiennes des signatures et politiques gérées manuellement.

La protection des terminaux couvre bien plus qu’un simple anti-malware. À mesure que les approches des attaques et les innovations qui les sous-tendent sont devenues de plus en plus variées et sophistiquées, les outils de sécurité chargés de protéger les gadgets généralement les plus vulnérables du réseau d’entreprise : ceux auxquels les utilisateurs accèdent quotidiennement.

Les vecteurs de danger pour les gadgets des utilisateurs finaux incluent les attaques basées sur le navigateur, les efforts de phishing, les logiciels destructeurs ou les logiciels espions. En raison de la diversité des vecteurs d’attaque, une gamme de méthodes de protection doit être utilisée pour protéger les terminaux contre les compromissions.

Le terme protection des terminaux renvoie également à l’architecture réseau moderne, qui peut inclure de nombreux types de gadgets répartis sur de nombreux sites commerciaux, potentiellement même connectés au réseau de l’entreprise via un réseau personnel virtuel (VPN) ou en dehors des limites du contrôle de l’entreprise, comme les gadgets appartenant aux employés.

Fonctionnalités modernes de sécurité des terminaux

Quelles fonctionnalités composent une suite de protection des terminaux modernes ? Pour commencer, les OSC privilégient une option qui accepte complètement une architecture cloud hybride contemporaine. Cela pourrait suggérer que les appareils clients sont répartis sur divers réseaux, y compris ceux sous le contrôle de l’entreprise, les réseaux domestiques et les connexions Wi-Fi publiques.

Pour préserver la sécurité de ces points de terminaison, une suite de protection des points de terminaison doit communiquer avec ces gadgets sur une base semi-régulière. Cette communication implique généralement d’obtenir des informations de journal sur les résultats de l’analyse et les dangers obstrués, d’obtenir des mises à jour de logiciels et de politiques (et même des instructions pour annuler ces mises à jour) et à partir d’un autre emplacement d’initier des tâches de gestion.

Les solutions avancées de gestion des terminaux peuvent même utiliser l’apprentissage des appareils basé sur le cloud pour sécuriser contre les attaques zero-day (nous en parlerons plus tard).

Bien que les options basées sur le cloud puissent être l’une des plus logiques pour de nombreux clients, les OSC ne présument pas que ils sont la seule alternative. Plusieurs fournisseurs, en particulier ceux qui existent depuis un certain temps, proposent toujours des options sur site avec un certain nombre des avantages découverts dans une suite hébergée dans le cloud.

Le tout premier et peut-être le plus important travail de gestion est la mise en œuvre et l’inscription préliminaires de gadgets de point de terminaison. De nombreuses options de protection des terminaux produisent un programme d’installation qui enregistre instantanément l’appareil (au moins pour Windows et Mac).

Certaines solutions permettent aux OSC de personnaliser ce package de configuration, en définissant les composants qui sont configurés et pour lesquels cela est possible. Dans de nombreux cas, les infrastructures existantes telles que les solutions de gestion des téléphones mobiles (MDM) ou les outils d’administration basés sur des politiques peuvent également être utilisées pour faciliter les déploiements de masse.

Intégration avec, ou peut-être l’inclusion de, une détection et une réponse des points de terminaison (EDR) est une solution à laquelle les OSC pensent, en particulier pour les grands déploiements. L’EDR renforce la protection des terminaux en corrélant, en informant et en automatisant les actions d’atténuation lorsque des attaques basées sur les terminaux sont identifiées. Cela renforce non seulement la défense initiale offerte aux terminaux, mais aide à limiter les dégâts si une attaque préliminaire est partiellement réussie (comme un effort de phishing).

L’autre grande raison de rechercher l’EDR est dans les circonstances où une attaque est réussie. L’EDR peut aider à reconnaître l’attaque réussie, à mesurer l’étendue et l’impact sur le réseau, et même à reconnaître l’origine.

Certaines solutions de protection des terminaux prennent même des mesures au-delà de l’EDR avec des choix tels que la détection et la réponse gérées (MDR ), qui est généralement un service où le prestataire de services ou un partenaire propose des services de surveillance, de recherche de danger et d’analyse 24h/24, 7j/7, en étroite collaboration avec le personnel de sécurité organique.

Une autre option est la détection et la réponse étendues (XDR ), une étape évolutive plus concentrée sur l’automatisation des aspects du processus d’examen et l’autonomisation de la correction basée sur le flux de travail.

La sécurité de base des points de terminaison comprend

La gestion des points de terminaison empêche souvent de nombreux vecteurs d’attaque consistant en des tentatives de phishing, des attaques basées sur un navigateur, des pièces jointes aux e-mails et des vers. Ces vecteurs d’attaque nécessitent différentes approches de sécurité, qui peuvent être trouvées sous la forme de modules tels qu’un logiciel anti-malware, un logiciel de pare-feu individuel ou même un système de détection d’intrusion basé sur l’hôte (HIDS).

HIDS est particulièrement convaincant. sur les appareils modernes en raison du fait qu’il peut garder un œil sur l’état du système et les éléments importants pour éviter les modifications non autorisées du système telles que les ajouts aux applications de démarrage ou aux services système, les modifications du registre Windows et même les modifications du répertoire système. Intégré aux services de sécurité préventive conventionnels tels que les logiciels anti-malware et pare-feu, HIDS peut fournir une dernière ligne de défense pour les cas où la suite de protection des terminaux est à première vue.

La sécurisation des terminaux comprend plus que de nombreux éléments . Il existe toujours de toutes nouvelles variantes et stratégies de logiciels malveillants créées pour empêcher la sécurité, ce qui implique que les services anti-programmes malveillants devraient également se développer et devenir plus avancés.

Un virus polymorphe peut modifier sa signature de manière dynamique, ce qui rend son identification difficile. avec des approches de défense standard basées sur les signatures. L’analyse heuristique existe depuis longtemps et fournit une certaine protection contre les logiciels malveillants polymorphes, et la détection basée sur le comportement est également utile, mais la défense des terminaux avec des capacités d’apprentissage automatique renforcées par de grandes informations offre une protection améliorée par rapport à l’une ou l’autre de ces approches.

Services de défense des terminaux

La plupart des suites de protection des terminaux mentionnées ici ont une histoire importante dans le monde de la sécurité informatique. Ce n’est pas une liste exhaustive, néanmoins, et l’inclusion ne symbolise pas une approbation ni une exemption une critique.

Bitdefender Endpoint Security

J’ai toujours pensé à propos de Bitdefender comme une option pour sécuriser les appareils domestiques, mais quelques minutes de recherche dans sa brochure produit montrent que ce n’est pas le cas. Bitdefender Endpoint Security est disponible en 3 goûts, utilisant une défense progressivement avancée. La solution GravityZone de Bitdefender fournit la sécurité des terminaux ainsi que des outils de protection des serveurs, des boîtes aux lettres Exchange et des téléphones portables, le tout à partir d’une seule vitre.

Sa console centrale GravityZone Nerve peut être installée sur site et permet possible pour la gestion des appareils dans vos installations. Bitdefender fournit également des modules complémentaires qui apportent une valeur supplémentaire, tels que la gestion des correctifs, un service EDR et une sécurité optimisée pour les environnements virtuels.

Broadcom (alias Symantec Endpoint Security Total)

Symantec est désormais une division de Broadcom, mais ils sont toujours fortement investis dans le domaine de la sécurité informatique, et Symantec Endpoint Security Complete (SESC) est son offre Endpoint Security.

Symantec veut pour ralentir ou éviter les attaques à chaque action de la chaîne d’attaque, qu’il s’agisse de réduire la surface d’attaque en limitant les appareils connectés et en renforçant les applications, en évitant les attaques grâce à la détection des comportements et à l’apprentissage automatique, ou en suivant les dangers et les attaques au fur et à mesure qu’ils se matérialisent pour vous aider à trier et à y remédier gadgets.

Kaspersky Endpoint Security for Service

Kaspersky Endpoint Security est exactement ce que vous obtiendriez de l’un des poids lourds du secteur : la sécurité des terminaux pour un gamme de types de gadgets, pré-construits des politiques de sécurité pour vous permettre de démarrer rapidement et l’alternative à la détection des attaques basée sur EDR (avec analyse des causes profondes et de la chaîne d’élimination).

Kaspersky propose également une analyse des vulnérabilités (aide à déterminer les correctifs système manquants), la gestion directe des spots et le contrôle des gadgets (limitant l’accès aux gadgets de stockage connectés). Kaspersky Endpoint Security peut même détecter l’utilisation non autorisée de services cloud tels que le stockage cloud personnel ou la messagerie électronique et fournit des outils pour surveiller le temps perdu sur les réseaux sociaux et les services de messagerie.

Malwarebytes Endpoint Defense

Malwarebytes Endpoint Defense provient d’un autre fournisseur que j’avais auparavant relégué (injustement) à la classification de défense interne. L’utilisation d’outils pour évaluer et mettre en liste blanche le code correctement signé des fournisseurs d’applications logicielles populaires et ceux qui réussissent le processus d’évaluation de Malwarebytes (ils ont inventé le terme « goodware ») permet d’éliminer les faux positifs et d’optimiser la procédure d’analyse pour minimiser l’efficacité.

Le panneau de contrôle de gestion de Malwarebytes est une autre fonction cruciale, vous révélant la santé du gadget en temps réel et l’état de toutes les occasions. Le tableau de bord vous permet également de hiérarchiser la réaction au danger avec des filtres basés sur la gravité, le lieu physique et d’autres aspects.

McAfee Endpoint Security

McAfee a en fait été à peu près parce que le concept de cheval de Troie a fini par être un risque reconnu, et McAfee Endpoint Security est le point culminant moderne de leurs années d’expérience.

Y compris tous les composants que vous attendez d’une suite de sécurité des terminaux , McAfee propose une architecture basée sur le cloud, une détection des dangers basée sur l’IA et des rapports exploitables qui permettent de progresser rapidement dans l’étape d’enquête et de passer à la résolution et à l’élimination du danger. Si cela ne suffisait pas, McAfee propose à la fois un service MDR et une plate-forme XDR.

Sophos Intercept X Advanced

Sophos Intercept X Advanced utilise l’intelligence artificielle et des informations sur les dangers en temps réel pour protéger vos terminaux contre les attaques zero-day. Sophos utilise également la prévention des exploits pour reconnaître les vecteurs d’attaque potentiels (tels que l’exécution de VBScript dans un fichier Workplace ou le piratage de DLL), bloque l’attaque avant même qu’elle ne commence, et fournit même une ventilation de l’attaque, la ramenant à la cause première. Sophos est un autre fournisseur qui propose différents niveaux d’EDR, de XDR et même sa solution MDR : Sophos Managed Danger Reaction.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici