Réponse Automatisée sur l'Ensemble de la Plateforme

À Bulletproof, nous tenons la promesse d'une protection optimale de la plateforme grâce à Microsoft Security. Selon nous, cette plateforme offre une intégration et une automatisation inégalées.

L’industrie de la cybersécurité est inondée d'acronymes, et le plus récent est XDR, pour détection et réponse étendue (Extended Detection and Response) Gartner définit XDR comme une application Cloud pouvant déceler et répondre aux menaces et incidents qui intègre nativement plusieurs produits de sécurité dans un système d’opérations de sécurité cohérent qui unifie tous les composants de chaque fournisseurs sous licence.

L’évolution de l'industrie vers une approche plateforme en est une reconnaissant les lacunes qui existent dans l'ancien modèle Endpoint "Best-of-Breed", en particulier en ce qui concerne les capacités d’interventions.

Microsoft a été un leader dans ce domaine bien avant la création de l'acronyme, et a récemment rebaptisé sa gamme de produits de sécurité sous la marque Microsoft Defender afin de mieux refléter l'intégration préexistante de sa plateforme. Microsoft Defender couvre tous les domaines de l'environnement informatique d'un client, notamment:

• Identité (sur Cloud et sur site)
• Infrastructure (sur Cloud et sur site)
• Productivité (O365)
• Application (Serveur SQL)
• Points d’accès (traditionnels et mobiles)
• Environnements d'exploitation pour technologie opérationnelle

Aucun autre fournisseur de cybersécurité n'est en mesure d'offrir une couverture intégrée aussi complete pour l'ensemble d’une entreprise.

L'intégration de la suite d'outils de Microsoft Defender à Azure Sentinel SIEM/SOAR permet une visibilité complète de bout en bout sur toutes les ressources, y compris le réseau périphérique avec des alertes corrélées et hiérarchisées basées sur la compréhension profonde que Microsoft a des produits qu'il a construits. Outre les alertes plus précises, cette intégration native permet également des activités de réponse et d'isolation automatisées et intelligentes sur l'ensemble de la plateforme, ce qu'aucun autre fournisseur ne peut égaler.

La plupart des SIEM récupèrent les rapports de plusieurs sources. Azure Sentinel va un peu plus loin. Désormais, vous pouvez obtenir une vue unifiée de toutes ces données dans Sentinel, et investiguer de manière transparente un incident dans Microsoft 365 Defender.

Les campagnes de ransomware gérées par l’être humain constituent une menace importante et croissante pour les entreprises et représentent l’une des tendances les plus percutantes en matière de cyberattaques aujourd’hui. Dans ces attaques pratiques sur clavier, qui sont différentes des ransomwares à propagation automatique comme comme WannaCry ou NotPetya, ces attaquants emploient des méthodes de vol d'informations d'identification et de déplacement latéral traditionnellement associées à des attaques ciblées. Ils font preuve d'une connaissance approfondie de l'administration des systèmes et des erreurs courantes de configuration de la sécurité du réseau, effectuent une reconnaissance approfondie et s'adaptent à ce qu'ils découvrent dans un réseau compromis.
Ces attaques sont connues pour tirer parti des faiblesses de configuration du réseau et des services vulnérables pour déployer les rançongiciels qui sont la conséquence la plus visible de ces attaques. Cependant, les cyberpirates diffusent également d’autres attaques malveillantes, volent des informations d’identification, accèdent à des données et les récupèrent.

Les informations sur les attaques par rançongiciel se concentrent souvent sur les temps d'arrêt qu'elles provoquent et sur le paiement de la rançon, sans parler des campagnes souvent de longue durée. D'après nos enquêtes, ces campagnes ne semblent pas se soucier de la furtivité et ont montré qu'elles pouvaient opérer sans entrave dans les réseaux. Les opérateurs humains compromettent des profiles avec privilèges plus élevés, escaladent les privilèges ou utilisent des techniques de déversement d'informations d'identification pour infiltrer les machines et poursuivre sans relâche l'infiltration des environnements cibles.

Les campagnes de rançongiciel menées directement par une personne, c’est-à-dire non automatisée, commencent souvent par des logiciels malveillants de base, tels que les chevaux de Troie bancaires ou les vecteurs d'attaque non sophistiqués qui déclenchent généralement de nombreuses alertes de détection. Ces attaques initiales sont souvent interceptées par les solutions antivirus mais en même temps elles déploient un rançongiciel ou récupère un accès administratif pour désactiver l'antivirus sans attirer l'attention des intervenants sur les incidents ou des centres d’opération de sécurité (SOC).

Un exemple de remédiations automatisées que nous avons vu est un scénario dans lequel un poste de travail est utilisé pour naviguer sur un site Web et télécharger un fichier qui s'avère être malveillant. Defender Endpoint peut le détecter et alerter le portail Defender Endpoint, où Azure Sentinel sur la base des politiques en place, peut automatiquement demander au poste de travail de s'isoler du reste du réseau jusqu'à ce qu'il puisse être examiné en détail. Ce n'est là qu'un exemple de la manière dont les mesures correctives automatisées peuvent être utilisées pour réduire le délai entre la détection et la réponse à un problème.

L'alternative est le scénario classique, dans lequel un agent de sécurité ou un autre membre du personnel informatique est avisé d'un incident potentiel, du temps est consacré à l'examen de l'alerte reçue, une décision est finalement prise d'examiner la station de travail (le point de terminaison) de manière plus approfondie, et quelqu'un retire manuellement la station de travail du réseau, ou apporte des modifications à un commutateur de réseau ou à une autre architecture pour isoler la station de travail. Cela prend du temps - un temps qui pourrait permettre à un élément malveillant sur un poste de travail de se propager latéralement dans le réseau et d'affecter plusieurs appareils. C'est malheureusement le scénario auquel nous sommes souvent confrontés lorsque nous utilisons des solutions de pointe qui ne disposent pas de mécanismes de réponses automatiques intégrés.

Cependant, le problème le plus grave est quand les informations d'identification sont capturées avant que le poste de travail soit isolé. Cela signifie que l'attaquant peut simplement sauter directement dans le Cloud.

Defender pour Endpoint est également un composant de Windows 10 avec une intégration et une visibilité complète dans le système d'exploitation. Aucun autre EDR/XDR ne peut offrir le même niveau de visibilité et de contrôle sur le poste de travail. Les fonctionnalités existent déjà dans le système d'exploitation, ce qui les rend plus difficiles à contourner ou à désactiver.
De plus, une fonctionnalité semblable à celle de Cloud Access Security Broker (CASB) est intégrée à Defender pour Endpoint, ce qui permet des protections automatiques telles que le blocage de l'accès d'un poste de travail à un site Web malveillant identifié par le service de renseignements Microsoft concernant les menaces (Microsoft’s Threat Intelligence). Defender pour Endpoint s'intègre également étroitement avec le CASB de Microsoft, Microsoft Cloud App Security, et permet un contrôle et une visibilité supplémentaires sur l'utilisation soit par un poste de travail et\ou un utilisateur qui navigue d'autres services dans le Cloud incluant ceux qui ne sont pas permis par Microsoft comme Dropbox, SalesForce, etc
D'autres techniques de remédiation/atténuation automatisées peuvent être déployées sur un poste de travail grâce à Defender Endpoint:
• Recueillir le dossier d'enquête
• Isoler l’appareil (cette action peut être annulée)
• Relâchement du code d’exécution
• Libération de la quarantaine
• Demander un échantillon
• Restreindre l'exécution du code (cette action peut être annulée)
• Exécuter une analyse antivirus
• Arrêt et mise en quarantaine

Bulletproof utilise les techniques de chasse aux menaces comme un élément clé de ses services réactifs et proactifs dans le cadre de son offre de services Bulletproof 365 Enterprise. Grâce à l'utilisation de Jupyter Notebooks, nous créons des stratégies reproductibles qui peuvent être utilisées pour effectuer des exercices de détection de menaces. De nombreux exemples de ces rapports sont publiés en ligne par la communauté de la cybersécurité afin de contribuer à l'élaboration d’outils de détection de menaces. Ce partage d’informations et de techniques essentielles permet de réduire le délai de détection des menaces.

Les informations récupérées pendant la détection de menaces, ou par les différents capteurs de la suite E5 Security peuvent être corrélées entre Azure Sentinel, Defender pour Endpoints, Defender pour Office 365 et Microsoft Cloud App Security. Cela permet de montrer l’ensemble des preuves de l’incident sur un seul tableau, ce qui ne peut pas être accompli aussi facilement en utilisant d'autres produits non intégrés car nous ne pouvons pas utiliser aussi librement les API pour intégrer et analyser les données.

Defender pour Endpoint dispose également d'une intégration directe avec les technologies de protection contre la perte de données de Microsoft (Microsoft Data Loss Prevention - DLP), ce qui permet d'obtenir des informations lorsque les clients mettent en œuvre des contrôles de gouvernance et de conformité au sein de leur organisation.

Il n'est pas surprenant que le courriel demeure le principal mécanisme d'attaque pour les logiciels malveillants et les cyberpirates. La protection des environnements de messagerie est primordiale et considérée comme l'enjeu principal des programmes de sécurité de la plupart des organisations.

Defender pour Office 365 P2 est un mécanisme de protection extrêmement performant fourni par Microsoft pour vous aider à cet égard et il fait partie intégrante de la suite Microsoft 365 Security. Cependant, Defender pour Office 365 P2 va plus loin que ses concurrents. Il protège la messagerie et aussi d'autres applications de productivité, telles que OneDrive, SharePoint et Teams. Defender pour Office 365 P2 détecte lorsque des fichiers malveillants ou des liens Web sont attachés dans ces applications et les supprime avant que les utilisateurs ne puissent cliquer dessus en toute innocence et ainsi se retrouver en difficulté. Cela comble une lacune souvent présente sur d’autres produits ou systèmes.

Les solutions concurrentes se concentrent exclusivement sur les courriels et certaines d'entre elles ne détectent les éléments malveillants qu'au moment où ils franchissent la porte de protection. Par conséquent, ces solutions ne peuvent pas pénétrer dans les boîtes de réception de vos utilisateurs pour permettre la suppression des liens qui deviennent des armes après la livraison du courriel.

Defender pour Office 365 P2 est intégré au reste de l’ensemble de sécurité de Microsoft et fournit des mécanismes de réponse automatisés pour réduire le délai entre la détection des incidents et la réponse appropriée. Defender pour Office 365 fournit des réponses aux enquêtes automatisées qui peuvent inclure les actions suivantes:
• Blocage des URL (temps de clic) : Microsoft vérifiera une URL avant qu'un utilisateur puisse y accéder afin de s'assurer que l'utilisateur ne se trouve pas accidentellement dans le pétrin.
• Suppression douce de messages électroniques ou de groupes de messages, même après qu'ils ont été livrés
• La possibilité de mettre en quarantaine les courriels et les pièces jointes.Ceci est un enjeu majeur de la protection de la messagerie.
• Le transfert de courriels vers une boîte de réception externe est une technique malveillante qui est souvent utilisée pour espionner les courriels de l'entreprise dans le but de recueillir des informations pertinentes. Defender pour Office 365 peut repérer cette technique et désactiver automatiquement cette fonctionnalité.

Un des nombreux avantages qu’offre Defender pour Office 365 P2 est qu’il protège les domaines clés tel que Teams, SharePoint et OneDrive. Cela devient de plus en plus important quand vous invitez des utilisateurs externes dans vos environnements Teams ou SharePoint et permettez ainsi l’accès à partir d'appareils que vous ne gérez pas directement.

Bulletproof 365 Entreprise est conçu pour offrir les capacités de visibilité de la sécurité et de réponse aux incidents le plus complètement possible, afin de répondre aux exigences d'un environnement sécuritaire en constante évolution.

Les solutions SIEM traditionnelles, qui n'intègrent pas et ne déploient pas l’ensemble complet de Microsoft E5 Security, ne permettent pas la même qualité \de sécurité et de réponses aux incidents.

Un environnement moderne exige une solution de sécurité très performante ayant des capacités d'investigations et de réponses améliorées. La valeur de la solution complète avec réponse automatisée dépasse de loin ce que les produits "best-of" individuels peuvent apporter à une organisation. Cette réduction des risques constitue le retour sur investissement du modèle "Best-of-Platform".