Protection Sophos contre les menaces sur les systèmes d`extrémité
Transcription
Protection Sophos contre les menaces sur les systèmes d`extrémité
Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre par Chester Wisniewski, Analyste en sécurité Aujourd'hui, les réseaux professionnels doivent faire face à un grand nombre de menaces, les systèmes d'extrémité étant la première cible. Protéger ces systèmes contre cet éventail croissant de malwares requiert la mise en place d'une stratégie employant de multiples technologies et politiques. Ce guide, qui vient compléter les guides et manuels d'installation fournis avec le produit, vous aidera à comprendre les technologies de protection contre les menaces disponibles dans l'agent Sophos Endpoint and Control. Vous trouverez des recommandations pour configurer au mieux Sophos Endpoint Security and Control selon vos besoins et garantir ainsi la meilleure protection pour votre entreprise. Comprendre les paramètres et options de la protection Sophos Sophos propose un large choix de technologies de protection pour aider votre entreprise à détecter et prévenir les attaques de malwares : identités d'identification des malwares, systèmes de prévention des intrusions sur l'hôte (HIPS, Host Intrusion Prevention Systems), systèmes de protection par dépassement de la mémoire tampon (BOPS, Buffer Overflow Protection Systems), blocage en fonction du comportement, pare-feu, liste blanche sur réputation et détection "inthe-cloud", services de mises à jour... Pour que le plan des pirates fonctionne, il faut qu'une chaîne d'événements se produise. Or, en employant ces technologies dans le cadre d'une stratégie de défense bien pensée, vous multipliez vos chances de briser cette chaîne. En fait, il vous suffit de briser un lien dans la chaîne pour empêcher une menace malveillante de se transformer en attaque de grande envergure. Les attaques actuelles sont très complexes et sophistiquées mais un ou deux niveaux de votre solution de sécurité peut neutraliser une menace donnée. Le logiciel antivirus est utile pour identifier et arrêter les menaces connues et déjà identifiées. Mais pour les malwares plus récents, qui peuvent inclure des attaques polymorphiques, les identités peuvent s'avérer moins efficaces, voire totalement inutiles. Les systèmes de prévention des intrusions sur l'hôte (HIPS) assurent une protection proactive car ils utilisent des méthodes de détection basées sur les anomalies pour identifier les menaces de malwares sur les systèmes et réseaux. De plus, les règles HIPS ne requièrent pas de mises à jour permanentes pour s'attaquer aux nouvelles menaces de malwares. Le service de protection contre les dépassements de la mémoire tampon (BOPS) est une autre application de sécurité proactive. Elle protège contre les malwares qui tentent d'exécuter du code pour altérer le fonctionnement d'un programme en causant un dépassement de la mémoire tampon. La détection et le blocage des comportements suspects surveillent les activités des fichiers et empêchent certaines modifications au niveau du système d'exploitation et des fichiers associés. Le blocage en fonction du comportement, par exemple, peut surveiller le registre du système et émettre un avertissement si un fichier tente de le modifier. Pour prévenir le blocage des programmes légitimes, la fonction de blocage en fonction du comportement demande si l'action était attendue et invite l'utilisateur à autoriser ou à refuser l'action. Les recherches de malwares “in-the-cloud” permettent d'assurer une protection plus appropriée. Les fournisseurs complètent leurs mises à jour normales par des recherches en temps réel de fichiers suspects. Cette technique n'est pas aussi agressive que les technologies proactives mais apporte un niveau supplémentaire de sécurité pour une détection instantanée des nouvelles menaces. Le filtrage des URL protège des menaces Web en bloquant les URL connues hébergeant du malware. Lorsqu'un utilisateur tente d'accéder à une URL via le navigateur Web, cette URL est extraite du trafic et vérifiée. Si l'URL de l'utilisateur est connue pour héberger du malware ou pour présenter un quelconque danger, alors le service est rejeté. Les pare-feu demeurent une composante essentielle de toute solution de sécurité. Ils peuvent être la première ligne de défense pour protéger votre entreprise contre les attaques. Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 1 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre AVERTISSEMENT Sophos vous permet de profiter de toutes ces Si vous procédez à la mise à niveau vers technologies en toute simplicité et sans configuration Enterprise Console 4.5, nous vous conseillons complexe, puisqu'elles sont directement intégrées dans de réviser vos politiques actuelles. un agent unique : Sophos Endpoint Security and Control. Les paramètres par défaut exposés dans Voyons maintenant en détail les technologies Sophos ce guide s'appliquent uniquement aux à votre disposition et passons en revue les valeurs par politiques nouvellement créées. La nouvelle défaut et les paramètres recommandés. fonctionnalité est désactivée par défaut, et toute modification des paramètres par défaut sera maintenue pendant le processus Figure 1 : les technologies de détection des menaces de Sophos Endpoint Security and Control offrent les fonctionnalités suivantes : de mise à niveau. Contrôle antivirus Sophos Protection Live Sophos Prévention des intrusions Sophos (HIPS) Le moteur de détection des La technologie "in-the-cloud" Cette couche de détection virus Sophos effectue des garantit une détection rapide et observe les processus système contrôles basés sur l'identité et efficace des menaces du jour fondamentaux afin d'y déceler la les comportements pour détecter zéro sans besoin de mises à présence de malwares actifs, et les virus, les spywares, les jour. Les nouvelles données sur notamment d'écritures suspectes adwares, les fichiers suspects, réputation peuvent être vérifiées au niveau du registre ou des les comportements suspects et instantanément en ligne par le copies de fichiers. Elle peut les applications potentiellement moteur de protection Sophos être paramétrée de sorte que indésirables. pendant le contrôle. l'administrateur soit averti et/ou le processus soit bloqué. Identités des menaces antivirus Sophos Live Anti-Virus Détection comportementale runtime Protection Behavioral Genotype Filtrage des URL Live Sophos Sophos Client Firewall Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 2 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Protection Live Sophos : Anti-Virus et politique HIPS activée pour utiliser cette fonction) Paramètre : Activer la protection Live Fonction : Si la protection Live Sophos détecte un Défaut : Désactivé (La protection Live Sophos doit être fichier qui n'a pas été identifié auparavant et si ce Défaut : Activé lorsque l'option "Envoyer paramètre est activé, le fichier complet est envoyé intact automatiquement les fichiers" est activée (cf. ci-dessous) aux SophosLabs où les chercheurs procèdent à son analyse pour améliorer la détection. Fonction : la protection Live Sophos contrôle les éléments antivirus Live de Sophos Endpoint Security Recommandation : Utilisez cette fonction sur and Control. Si un contrôle antivirus sur un ordinateur l'ensemble de vos systèmes d'extrémité avec accès d'extrémité identifie un fichier comme suspect, mais ne Internet. Vérifiez avec attention les politiques de votre peut pas l'identifier comme sain ou malveillant d'après entreprise pour déterminer si vous pouvez partager les les fichiers d'identités des menaces (IDE) stockés sur fichiers en toute confidentialité avec Sophos. l'ordinateur, certaines caractéristiques de ce fichier comme sa somme de contrôle sont envoyées à Sophos Paramètre : Alerter uniquement pour une analyse approfondie (remarque : cette fonction envoie uniquement des données de fichiers telles que Défaut : Activé la somme de contrôle ou le type de fichier, mais pas le fichier proprement dit). Les vérifications dans-le-nuage Fonction : Le mode Alerter uniquement permet (in-the-cloud) recherchent instantanément les fichiers de soutenir les protocoles HIPS/BOPS. Il détecte suspects dans la base de données de la protection les dépassements de mémoire tampon et les Live Sophos. Si le fichier est identifié comme sain ou comportements suspects sans bloquer l'application malveillant, la décision est renvoyée à l'ordinateur et qui déclenche l'événement. Une alerte est renvoyée à le statut du fichier est automatiquement mis à jour. l'Enterprise Console pour que l'administrateur puisse Lorsqu'une nouvelle menace est identifiée lors du décider si elle a été déclenchée par une application contrôle, la fonction Live Intelligence Sharing permet légitime. Si l'application est légitime, elle peut être la mise à jour des bases de données des menaces et ajoutée à la liste "Autoriser" pour empêcher de futures le renforcement de la protection pour tous les produits détections. La détection proactive Sophos détecte plus Sophos et les systèmes protégés. de 85 % des malwares connus en liberté. Recommandation : Utilisez cette fonction sur Recommandation : Comme les fichiers suspects ne sont l'ensemble de vos systèmes d'extrémité avec accès pas nécessairement des malwares, Sophos recommande Internet (les communications avec Sophos utilisent le de tester les HIPS/BOPS avec toutes vos applications DNS). standards pour que vous puissiez les autoriser si elles s'exécutent hors de la série de règles Sophos. Désactivez Paramètre : Envoyer automatiquement les le mode Alerter uniquement une fois votre déploiement échantillons de fichiers à Sophos commencé. Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 3 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Prévention des intrusions Sophos : Politiques de comportements suspects Recommandation : Il s'agit d'un outil très utile pour identifier les attaques et détecter les programmes malveillants dans les applications, nous vous conseillons Paramètre : Détecter les comportements suspects donc de laisser ce paramètre activé. Défaut : Activé – Alerter uniquement Identité de menaces antivirus Fonction : Le paramètre Détection des comportements Paramètre : Activer le contrôle sur accès suspects active la technologie HIPS Sophos, qui est efficace pour bloquer les menaces du jour zéro. Défaut : Activé Cependant, "suspect" est ici un mot-clé. La fonction HIPS envoie une alerte à l'administrateur lorsqu'elle Fonction : L'activation du contrôle sur accès permet détecte un comportement inhabituel mais il ne s'agit pas de contrôler l'analyse Behavioral Genotype et l'antivirus obligatoirement d'un virus ou d'un malware. Cela dit, elle a traditionnel basé sur l'identité. Behavioral Genotype permis la détection proactive de menaces telles que Fake est un contrôle plus sophistiqué qui ordonne à Sophos AV, Conficker et les attaques Aurora contre Google. Endpoint Security and Control de rechercher des éléments connus ou des combinaisons d'éléments Recommandation : Tous les comportements suspects connus, identifiés dans des variantes précédentes de ne signifient pas un risque pour la sécurité, Sophos malwares connus, permettant ainsi un haut niveau de conseille donc de garder les paramètres par défaut détection proactive des familles de malwares connues. pendant la phase de test initiale. En cours d'utilisation normale, la fonction HIPS doit être totalement activée Recommandation : Laisser activé en permanence pour (pas de mode Alerte seulement) et si une application est toutes les plates-formes prises en charge identifiée de manière erronée, elle peut être autorisée comme "exception". Si vous n'êtes pas sûr qu'un fichier présente un risque pour la sécurité, envoyez-le aux Paramètre : Vérifier les fichiers (A la lecture/A SophosLabs pour analyse. l’écriture/Au moment de renommer) Paramètre : Détecter les dépassements de mémoire Défaut : A la lecture tampon Défaut : Activé – Alerter uniquement Fonction : La détection des dépassements de mémoire tampon est un outil proactif qui identifie les processus dont la mémoire est manipulée par des programmes malveillants. Il bloque le processus victime de l'attaque avant que le malware puisse être injecté dans le système. Cela protège les systèmes des malwares inconnus et les empêche d'être exposés aux charges virales malveillantes. Cette fonctionnalité a permis de prévenir les attaques Fonction : Indique lorsqu'un fichier va être analysé. Recommandation : Changez le paramètre par défaut. Pour les ordinateurs récents, activez à la fois A la lecture/A l’écriture. Ainsi, le fichier est analysé lorsque les données sont enregistrées sur le disque puis lorsqu'elles sont lues, au cas où les identités antivirus ont été mises à jour. La vérification des fichiers au moment de les renommer s'avère généralement inutile car le fichier sera vérifié lors de sa lecture, avant qu'il ne soit autorisé à effectuer une action quelconque. Aurora sur Internet Explorer, ainsi que Conficker et bien d'autres menaces PDF. Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 4 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Paramètre : Rechercher les adwares et les PUA Recommandation : Il existe un faible risque que des fichiers suspects puissent en réalité être sains. En raison Défaut : Désactivé du risque de détection indésirable, ce paramètre doit être Fonction : Lorsqu’il est activé, ce paramètre contrôle les en environnement réel. Les installations de nouvelles systèmes d'extrémité pour détecter les adwares, les PUA, applications sont plus susceptibles de déclencher de testé en environnement de laboratoire avant d'être activé les outils d'administration à distance et les autres éléments fausses alertes. Si le logiciel est déployé uniquement que les SophosLabs classifient comme des outils de par l’administrateur, il est recommandé d'activer ce piratage. Si un élément est détecté, il peut être autorisé paramètre. S'il fonctionne bien en environnement de test, pour une utilisation par politique, permettant ainsi à il renforcera la protection de Sophos contre les malwares certains employés d'utiliser ces outils tout en les bloquant du jour zéro. pour le reste du personnel. Paramètre : Autres options de contrôle Recommandation : Changez le paramètre par défaut. Toutes les entreprises ne souhaitent pas limiter Défaut : Désactivé l'utilisation des "gray-ware" mais Sophos recommande de bloquer ces applications. Fonction : Ce paramètre permet d'analyser les fichiers d'archive et les secteurs de démarrage. Paramètre : Virus Macintosh Recommandation : Autorisez l'accès aux lecteurs avec Défaut : Désactivé des secteurs de démarrage infectés. Le contrôle des fichiers d'archive n'est pas recommandé car il implique Fonction : Ce paramètre ordonne au moteur antivirus de de monopoliser des ressources importantes pour très rechercher les malwares Macintosh. peu de bénéfices. Lorsqu’une archive est extraite, tout Recommandation : Activez ce paramétrage pour les recommandés. le contenu est analysé en utilisant les paramètres environnements qui partagent des segments réseau avec des postes Macintosh. Le nombre d'identités pour les Onglet Nettoyage ordinateurs Macintosh est faible, ce paramétrage n’a donc pas d’impact notable sur les performances. Paramètre : Nettoyer automatiquement les éléments avec un virus/spyware Paramètre : Fichiers suspects (HIPS) Défaut : Désactivé Défaut : Désactivé Fonction : Ce paramètre active l'analyse statique Fonction : Comme son nom l'indique, ce paramètre pour la détection comportementale des malwares nettoie automatiquement tous les éléments qui sont avant exécution. Ce type de détection recherche les infectés par des malwares. Il est désactivé par défaut combinaisons de codes connus qui présentent une pour éviter d'altérer les systèmes de manière accidentelle. forte probabilité d'être malveillantes, mais qui n'ont pas Les identités n'offrent pas toutes une fonction de encore été identifiées sous cette configuration précise. nettoyage. Cette fonction est disponible pour les identités qui nécessitent des opérations de nettoyage complexes. Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 5 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Recommandation : Sophos recommande d'activer un réseau public. La plupart des navigateurs sont pris cette fonction et la plupart des entreprises suivent cette en charge, notamment Internet Explorer, Firefox, Safari, pratique. Elle est désactivée par défaut simplement Opera et Chrome. pour garantir que toutes les actions qui modifient votre système résultent de votre propre choix. Recommandation : Laissez cette politique activée. Vous pouvez préciser les sites pour lesquels vous voudriez Paramètre : Comportement nettoyage des virus/ qu'ils contournent la validation (par exemple, les spywares sites intranet). Ils peuvent être configurés au niveau Défaut : Refuser l'accès uniquement Enterprise Console. Fonction : Ce paramètre prend effet lorsque le Paramètre : Contrôle des téléchargements de l'agent sur le poste d’extrémité et de la Sophos nettoyage automatique est désactivé ou échoue. La suppression de fichiers de malwares peut causer la Défaut : sur accès panne des ordinateurs ou le non-démarrage si les fichiers système sont infectés. Le déplacement de Fonction : La protection des navigateurs Web empêche fichiers est également dangereux car il signifie que vous les malwares Web de s'exécuter dans les pages HTML, pouvez transférer du contenu malveillant. les scripts, les contenus multimédia en temps réel et les images. Il offre un plug-in, le Sophos Browser Helper Recommandation : Refuser l'accès uniquement est la Object (BHO), pour les versions Internet Explorer 6 et meilleure option si le nettoyage échoue. 7. Le paramètre Contrôle des téléchargements contrôle Protection Web contrôle les objets pour identifier le code malveillant à le BHO. En plus du Live URL Filtering, cette option l'intérieur de IE et recherche le script Java malveillant Paramètre : Bloquer l'accès aux sites Web malveillants Défaut : Activé Fonction : Cette technologie bloque l'accès aux sites Web connus pour héberger du malware et empêche la récupération d'objets malveillants. Les requêtes du navigateur depuis les systèmes d'extrémité sont interceptées et vérifiées à l’aide de la base de données du filtrage des URL qui contient des millions de sites compromis. Les SophosLabs mettent à jour en permanence la base de données avec 20 000 - 40 000 nouveaux sites par jour. Cette technologie protège les systèmes d'extrémité contre les menaces Web, que les utilisateurs travaillent à leur bureau ou qu’ils soient connectés au réseau de l'entreprise depuis la maison ou intégré aux pages Web. Lorsqu'une attaque Web est découverte sur une page Web principale ou dans un sous-élément, le contenu original est bloqué. La page Web ou l'élément infecté est remplacé par une page de rapport sécurisée et un message apparaît sur le bureau pour chaque élément de contenu malveillant bloqué. Ces messages sont localisés dans toutes les langues prises en charge par Sophos et informent l'utilisateur sur ce qui s'est produit lorsque le contenu malveillant a été bloqué. Le BHO tente de préserver autant que possible le site original, afin d'altérer la navigation au minimum. Les pages bloquées sont rapportées à la Sophos Enterprise Console en mode “Signaler uniquement”. Recommandation : Laissez ce paramètre activé pour protéger les systèmes des sites Web malveillants. Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 6 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Parce que le contenu malveillant est supprimé sur les Paramètre : (localisé sous Blocage) Utiliser les systèmes et qu'aucune intervention n'est nécessaire sommes de contrôle pour authentifier les applications pour nettoyer la menace, ce paramètre n'alourdit pas la charge administrative. Défaut : Activé Politiques de pare-feu Fonction : Cette fonction empêche les applications non autorisées de se déguiser en outils valides. Remarque : Sophos recommande d'ignorer l'assistant et de sélectionner Avancé pour un paramétrage plus Recommandation : Gardez la configuration par défaut précis des politiques de pare-feu. pour un déploiement plus sécurisé. A noter cependant : ce mode peut alourdir la charge administrative car il Grâce à l'onglet Général, vous pouvez paramétrer la faudra autoriser à nouveau les sommes de contrôle fonction intégrée de sécurité intuitive, qui permet de de toutes les applications en réseau lorsqu'elles seront configurer un emplacement primaire et secondaire, mises à jour. chacun avec une série de règles différente pour les utilisateurs mobiles. Sous Configuration pour chaque Paramètre : Sous l'onglet LAN, vous trouverez des politique, il existe plusieurs options notables : options qui permettent plus de souplesse avec votre série de règles, sans besoin de spécifier des règles Paramètre : Mode de fonctionnement individuelles. Vous pouvez saisir des plages d’adresses IP, des adresses IP individuelles ou des noms de Défaut : Bloquer Fonction : Le Mode de fonctionnement vous permet de domaines. Pour chacun d'entre eux, vous pouvez choisir NetBIOS ou Trusted. déterminer comment le pare-feu doit traiter le trafic pour Défaut : Ajout de vos LAN locaux détectés depuis votre lequel aucune règle spécifique n'est appliquée. adaptateur réseau Recommandation : L'option la plus sûre est de garder le paramètre par défaut et de bloquer le trafic qui n'a pas d'autre règle qui lui est appliquée. Cependant, lorsque vous établissez la politique, pensez à changer ce paramètre en Autoriser. Il sera utile lors de la création de nouvelles politiques, avec le paramétrage minimal qui signale les données sur le trafic à l'Enterprise Console. Après une semaine de fonctionnement de cette manière, analysez le trafic en sélectionnant Affichage -> Evénements du pare-feu. Vous pouvez alors vérifier les ports et les protocoles du trafic autorisé et mettre en œuvre une politique de blocage plus sécurisée sans perturber les utilisateurs. Fonction : Choisir Fiable autorise tout le trafic vers ces adresses IP et depuis celles-ci. NetBIOS autorise ou bloque le trafic du partage de fichiers et d’imprimantes. Remarque : cette case à cocher remplace la série de règles globales, donc créer des règles Globales pour le trafic NetBIOS ne fonctionnera pas. Paramètre : L'onglet Détection de l’emplacement vous permet de configurer comment les emplacements sont détectés. Il existe deux méthodes : l'emplacement par DNS et l'emplacement par adresse MAC de la passerelle. Défaut : Aucun Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 7 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Fonction : Identifier l'emplacement par DNS permet Recommandation : En fonction du nombre de failles et de déterminer l'emplacement en recherchant un nom des risques de fuites de données depuis ces applications, DNS uniquement disponible en interne et devant Sophos encourage vivement les entreprises à établir correspondre à l'entrée. Ce paramètre fonctionne bien une politique de contrôle des applications. Si vous ne et offre assez de souplesse pour prendre en charge de souhaitez pas totalement bloquer ces applications, vous nombreux sites distants tout en empêchant l'application pouvez envisager d'activer l'option Détecter mais autoriser de mauvaises règles sur Internet. l’exécution, ce qui permet de vérifier les applications qui sont actives dans votre environnement. Visitez notre Identifier l'emplacement par l’adresse MAC de la site à l'adresse : http://www.sophos.fr/security/analyses/ passerelle permet de vérifier les adresses MAC saisies controlled-applications/ pour obtenir la liste complète des par rapport à l'adresse MAC de la passerelle actuelle applications qui peuvent être bloquées sur votre réseau. par défaut. Cela fonctionne bien pour les petits bureaux ou pour les entreprises avec un petit nombre de sites. Paramètre : Contrôle des périphériques Si vous achetez un nouveau routeur ou pare-feu, vous devrez mettre à jour cette entrée. Défaut : Désactivé Recommandation : Pour tous les réseaux (excepté les Fonction : De nombreuses entreprises se retrouvent victimes petits réseaux), il est recommandé d'utiliser Identifier d'incidents de type fuites de données, intrusions de malwares l'emplacement par DNS. ou non-conformité, suite à la connexion de périphériques de stockage amovibles à leurs systèmes via les ports USB. Le Paramètre : Contrôle des applications contrôle des périphériques peut être utilisé pour limiter les types de périphériques que les utilisateurs peuvent connecter Défaut : Désactivé à leurs ordinateurs et contrôler comment les périphériques Fonction : Limiter votre surface d'attaque en minimisant USB peuvent être administrées par périphérique, par fabricant le nombre des applications actives est l'un des moyens et par politique. peuvent être utilisés. Les exceptions pour les périphériques les plus efficaces de sécuriser votre environnement. Le contrôle des applications est utilisé pour faire appel à Recommandation : Sophos recommande vivement un ensemble d'identités publiées par les SophosLabs de créer une politique. De nombreuses menaces pour identifier les applications non malveillantes que actuelles se propagent via l'utilisation des périphériques vous souhaitez interdire sur votre réseau. Au lieu de de stockage amovibles. Ces derniers sont également vérifier les sommes de contrôle, cette fonction recherche l'une des principales causes de perte de données. les caractéristiques uniques des applications connues. Sophos conseille de limiter l'usage des périphériques Cela permet à la technologie d'être plus résiliente aux de stockage amovibles et de bloquer la connexion des mises à jour effectuées sur vos programmes. Parmi cartes Wi-Fi au réseau de l'entreprise. les catégories d'applications contrôlées, on compte les plug-ins de navigateur, les outils de recherche bureau, les programmes de partage de fichiers, les messageries instantanées et les outils d'administration à distance. Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 8 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Paramètre : Contrôle d'accès réseau Fonction : Dans certaines entreprises, le vol de données est une menace aussi importante que les malwares. Fonction : le Contrôle d'accès réseau est utilisé pour Sophos offre une solution simple et unique pour la empêcher les postes invités ou non autorisés d'accéder prévention des pertes de données (DLP, Data Leakage aux informations et aux ressources sur le réseau et Prevention) en intégrant le contrôle du contenu dans pour garantir la conformité des ordinateurs administrés l'agent sur le système d’extrémité. Les listes de contrôle à la politique de sécurité de l'entreprise ou aux du contenu prédéfinies par les SophosLabs contiennent réglementations externes. Les tests en ligne montrent des centaines d’informations personnelles identifiables que 86 % des postes d'entreprise ont échoué dans des (PII, Personally Identifiable Information) et autres types de contrôles de sécurité de base en raison de l'absence données sensibles tels que les cartes de crédit, comptes de certains correctifs essentiels ou de pare-feu ou d'un bancaires, numéros d'identité nationale, adresses, antivirus expiré. L'absence de contrôle sur les accès numéros de téléphone, etc. Il vous suffit de sélectionner invités peut engendrer des failles de sécurité et des les données que vous voulez vous protéger parmi des pertes de données. Sophos NAC permet de contrôler centaines de types de données spécifiques et de choisir tout ce qui se connecte à vos réseaux sans besoin de d'enregistrer, avertir, bloquer ou chiffrer les informations mises à niveau ou de nouvelle architecture réseau. sensibles qui déclenchent une règle de politique de Le NAC peut être configuré pour refuser l'accès aux DLP. Cette fonctionnalité de DLP est comprise dans nos postes non administrés et bloquer ou réparer les postes produits Sophos Endpoint et Email Appliance administrés non conformes. Si vous voulez seulement contrôler l'accès au réseau, sans le bloquer, la fonction Recommandation : Sophos conseille vivement de d'édition de rapports en temps réel est disponible pour créer une politique. Vos besoins en conformité ou vous aider à prouver la conformité aux réglementations. votre politique de protection des données/confidentialité déterminera si vous devez activer cette fonctionnalité ou Recommandation : Sophos recommande d'utiliser le pas. Sophos recommande d'activer cette fonctionnalité NAC pour assurer l'efficacité des solutions de correctifs pour limiter les données sensibles à la source et apporter existantes et atténuer les risques provenant des visiteurs des informations utiles à l'utilisateur. Acessible au et des sous-traitants. Le NAC peut être utilisé comme moyen d’un assistant dédié, le contrôle des données un outil de création de rapports pour évaluer ou est personnalisable en fonction de vos propres données appliquer les politiques de sécurité (voir l’article http:// sensibles uniques à votre entreprise. Vous pouvez mettre www.sophos.fr/support/knowledgebase/article/32670. en place des politiques homogènes pour les systèmes html). d'extrémité et les appliances de messagerie avec possibilité d'exporter facilement des personnalisations Paramètre : Contrôle des données depuis la Sophos Enterprise Console et d'importer vers le moteur DLP de l’appliance de messagerie.. Paramètre : Désactivé Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre 9 Protection Sophos contre les menaces sur les systèmes d’extrémité Guide de mise en œuvre Le contrôle antivirus Sophos comprend la L'agent de Sophos Endpoint and Control fait partie de la technologie Behavioral Genotype®, utilisée suite la plus complète, performante et simple à administrer pour identifier les caractéristiques spécifiques actuellement disponible sur le marché des solutions de des fichiers avant qu'ils ne s'exécutent pour sécurité. Au cours du processus d’installation, nous vous déterminer s'ils sont malveillants. Il protège contre encourageons à consulter notre vaste base de connaissances les logiciels malveillants inconnus en utilisant dans laquelle vous trouverez des conseils et des exemples le contrôle avant exécution pour déterminer les pour exploiter au mieux votre solution de sécurité, sans caractéristiques du code et du comportement alourdir votre budget. Pour en savoir plus sur les derniers virus qu'il est susceptible de développer, et ce sans et spywares, visitez le site Web des SophosLabs. permettre au code de s'exécuter. Cela signifie que le moteur de détection Sophos détecte les menaces du jour zéro sans sans la nécessité de mises à jour des identités ou d’un logiciel HIPS distinct. Conclusion Seule une approche complète et stratifiée de votre sécurité permettra de protéger efficacement vos systèmes d'extrémité, votre réseau, ainsi que les données essentielles à votre entreprise contre le spectre croissant de menaces internes et externes, en particulier les virus et les logiciels malveillants. Pour y parvenir, vous devez vous assurer que la sécurité que vous déployez et les politiques d’utilisation acceptable que vous définissez ne ralentissent pas vos systèmes d'extrémité et n'empêchent pas les employés d'accéder aux données indispensables dans le cadre de leur travail. Boston, Etats-Unis |Oxford, Royaume-Uni © Copyright 2010. Sophos Plc. Tous droits réservés. Toutes les marques appartiennent à leurs propriétaires respectifs.