Protection Sophos contre les menaces sur les systèmes d`extrémité

Transcription

Protection Sophos contre les menaces sur les systèmes d’extrémité
Guide de mise en œuvre
par Chester Wisniewski, Analyste en sécurité
Aujourd'hui, les réseaux professionnels doivent faire face à un grand
nombre de menaces, les systèmes d'extrémité étant la première cible.
Protéger ces systèmes contre cet éventail croissant de malwares
requiert la mise en place d'une stratégie employant de multiples
technologies et politiques. Ce guide, qui vient compléter les guides
et manuels d'installation fournis avec le produit, vous aidera à
comprendre les technologies de protection contre les menaces
disponibles dans l'agent Sophos Endpoint and Control. Vous trouverez
des recommandations pour configurer au mieux Sophos Endpoint
Security and Control selon vos besoins et garantir ainsi la meilleure
protection pour votre entreprise.
Comprendre les paramètres et options de la protection Sophos
Sophos propose un large choix de technologies de protection pour
aider votre entreprise à détecter et prévenir les attaques de malwares :
identités d'identification des malwares, systèmes de prévention des
intrusions sur l'hôte (HIPS, Host Intrusion Prevention Systems),
systèmes de protection par dépassement de la mémoire tampon
(BOPS, Buffer Overflow Protection Systems), blocage en fonction du
comportement, pare-feu, liste blanche sur réputation et détection "inthe-cloud", services de mises à jour...
Pour que le plan des pirates fonctionne, il faut qu'une chaîne
d'événements se produise. Or, en employant ces technologies dans
le cadre d'une stratégie de défense bien pensée, vous multipliez vos
chances de briser cette chaîne. En fait, il vous suffit de briser un
lien dans la chaîne pour empêcher une menace malveillante de se
transformer en attaque de grande envergure. Les attaques actuelles
sont très complexes et sophistiquées mais un ou deux niveaux de votre
solution de sécurité peut neutraliser une menace donnée.
Le logiciel antivirus est utile pour identifier et arrêter
les menaces connues et déjà identifiées. Mais pour les
malwares plus récents, qui peuvent inclure des attaques
polymorphiques, les identités peuvent s'avérer moins
efficaces, voire totalement inutiles.
Les systèmes de prévention des intrusions sur l'hôte
(HIPS) assurent une protection proactive car ils utilisent
des méthodes de détection basées sur les anomalies pour
identifier les menaces de malwares sur les systèmes et
réseaux. De plus, les règles HIPS ne requièrent pas de
mises à jour permanentes pour s'attaquer aux nouvelles
menaces de malwares.
Le service de protection contre les dépassements de la
mémoire tampon (BOPS) est une autre application de
sécurité proactive. Elle protège contre les malwares qui
tentent d'exécuter du code pour altérer le fonctionnement
d'un programme en causant un dépassement de la mémoire
tampon.
La détection et le blocage des comportements suspects
surveillent les activités des fichiers et empêchent certaines
modifications au niveau du système d'exploitation et des
fichiers associés. Le blocage en fonction du comportement,
par exemple, peut surveiller le registre du système et
émettre un avertissement si un fichier tente de le modifier.
Pour prévenir le blocage des programmes légitimes, la
fonction de blocage en fonction du comportement demande
si l'action était attendue et invite l'utilisateur à autoriser ou à
refuser l'action.
Les recherches de malwares “in-the-cloud” permettent
d'assurer une protection plus appropriée. Les fournisseurs
complètent leurs mises à jour normales par des recherches
en temps réel de fichiers suspects. Cette technique n'est
pas aussi agressive que les technologies proactives mais
apporte un niveau supplémentaire de sécurité pour une
détection instantanée des nouvelles menaces.
Le filtrage des URL protège des menaces Web en bloquant
les URL connues hébergeant du malware. Lorsqu'un
utilisateur tente d'accéder à une URL via le navigateur
Web, cette URL est extraite du trafic et vérifiée. Si l'URL de
l'utilisateur est connue pour héberger du malware ou pour
présenter un quelconque danger, alors le service est rejeté.
Les pare-feu demeurent une composante essentielle de
toute solution de sécurité. Ils peuvent être la première
ligne de défense pour protéger votre entreprise contre les
attaques.
Protection Sophos contre les menaces sur les systèmes d'extrémité – Guide de mise en œuvre
1
AVERTISSEMENT
Sophos vous permet de profiter de toutes ces
Si vous procédez à la mise à niveau vers
technologies en toute simplicité et sans configuration
Enterprise Console 4.5, nous vous conseillons
complexe, puisqu'elles sont directement intégrées dans
de réviser vos politiques actuelles.
un agent unique : Sophos Endpoint Security and Control.
Les paramètres par défaut exposés dans
Voyons maintenant en détail les technologies Sophos
ce guide s'appliquent uniquement aux
à votre disposition et passons en revue les valeurs par
politiques nouvellement créées. La nouvelle
défaut et les paramètres recommandés.
fonctionnalité est désactivée par défaut,
et toute modification des paramètres par
défaut sera maintenue pendant le processus
Figure 1 : les technologies de détection des menaces
de Sophos Endpoint Security and Control offrent les
fonctionnalités suivantes :
de mise à niveau.
Contrôle antivirus Sophos
Protection Live Sophos
Prévention des intrusions Sophos
(HIPS)
Le moteur de détection des
La technologie "in-the-cloud"
Cette couche de détection
virus Sophos effectue des
garantit une détection rapide et
observe les processus système
contrôles basés sur l'identité et
efficace des menaces du jour
fondamentaux afin d'y déceler la
les comportements pour détecter
zéro sans besoin de mises à
présence de malwares actifs, et
les virus, les spywares, les
jour. Les nouvelles données sur
notamment d'écritures suspectes
adwares, les fichiers suspects,
réputation peuvent être vérifiées
au niveau du registre ou des
les comportements suspects et
instantanément en ligne par le
copies de fichiers. Elle peut
les applications potentiellement
moteur de protection Sophos
être paramétrée de sorte que
indésirables.
pendant le contrôle.
l'administrateur soit averti et/ou
le processus soit bloqué.
Identités des menaces antivirus
Sophos Live Anti-Virus
Détection comportementale
runtime
Protection Behavioral Genotype
Filtrage des URL Live Sophos
Sophos Client Firewall
2
Protection Live Sophos : Anti-Virus et politique
HIPS
activée pour utiliser cette fonction)
Paramètre : Activer la protection Live
Fonction : Si la protection Live Sophos détecte un
Défaut : Désactivé (La protection Live Sophos doit être
fichier qui n'a pas été identifié auparavant et si ce
Défaut : Activé lorsque l'option "Envoyer
paramètre est activé, le fichier complet est envoyé intact
automatiquement les fichiers" est activée (cf. ci-dessous)
aux SophosLabs où les chercheurs procèdent à son
analyse pour améliorer la détection.
Fonction : la protection Live Sophos contrôle les
éléments antivirus Live de Sophos Endpoint Security
Recommandation : Utilisez cette fonction sur
and Control. Si un contrôle antivirus sur un ordinateur
l'ensemble de vos systèmes d'extrémité avec accès
d'extrémité identifie un fichier comme suspect, mais ne
Internet. Vérifiez avec attention les politiques de votre
peut pas l'identifier comme sain ou malveillant d'après
entreprise pour déterminer si vous pouvez partager les
les fichiers d'identités des menaces (IDE) stockés sur
fichiers en toute confidentialité avec Sophos.
l'ordinateur, certaines caractéristiques de ce fichier
comme sa somme de contrôle sont envoyées à Sophos
Paramètre : Alerter uniquement
pour une analyse approfondie (remarque : cette fonction
envoie uniquement des données de fichiers telles que
Défaut : Activé
la somme de contrôle ou le type de fichier, mais pas le
fichier proprement dit). Les vérifications dans-le-nuage
Fonction : Le mode Alerter uniquement permet
(in-the-cloud) recherchent instantanément les fichiers
de soutenir les protocoles HIPS/BOPS. Il détecte
suspects dans la base de données de la protection
les dépassements de mémoire tampon et les
Live Sophos. Si le fichier est identifié comme sain ou
comportements suspects sans bloquer l'application
malveillant, la décision est renvoyée à l'ordinateur et
qui déclenche l'événement. Une alerte est renvoyée à
le statut du fichier est automatiquement mis à jour.
l'Enterprise Console pour que l'administrateur puisse
Lorsqu'une nouvelle menace est identifiée lors du
décider si elle a été déclenchée par une application
contrôle, la fonction Live Intelligence Sharing permet
légitime. Si l'application est légitime, elle peut être
la mise à jour des bases de données des menaces et
ajoutée à la liste "Autoriser" pour empêcher de futures
le renforcement de la protection pour tous les produits
détections. La détection proactive Sophos détecte plus
Sophos et les systèmes protégés.
de 85 % des malwares connus en liberté.
Recommandation : Utilisez cette fonction sur
Recommandation : Comme les fichiers suspects ne sont
l'ensemble de vos systèmes d'extrémité avec accès
pas nécessairement des malwares, Sophos recommande
Internet (les communications avec Sophos utilisent le
de tester les HIPS/BOPS avec toutes vos applications
DNS).
standards pour que vous puissiez les autoriser si elles
s'exécutent hors de la série de règles Sophos. Désactivez
Paramètre : Envoyer automatiquement les
le mode Alerter uniquement une fois votre déploiement
échantillons de fichiers à Sophos
commencé.
3
Prévention des intrusions Sophos :
Politiques de comportements suspects
Recommandation : Il s'agit d'un outil très utile pour
identifier les attaques et détecter les programmes
malveillants dans les applications, nous vous conseillons
Paramètre : Détecter les comportements suspects
donc de laisser ce paramètre activé.
Défaut : Activé – Alerter uniquement
Identité de menaces antivirus
Fonction : Le paramètre Détection des comportements
Paramètre : Activer le contrôle sur accès
suspects active la technologie HIPS Sophos, qui
est efficace pour bloquer les menaces du jour zéro.
Défaut : Activé
Cependant, "suspect" est ici un mot-clé. La fonction
HIPS envoie une alerte à l'administrateur lorsqu'elle
Fonction : L'activation du contrôle sur accès permet
détecte un comportement inhabituel mais il ne s'agit pas
de contrôler l'analyse Behavioral Genotype et l'antivirus
obligatoirement d'un virus ou d'un malware. Cela dit, elle a
traditionnel basé sur l'identité. Behavioral Genotype
permis la détection proactive de menaces telles que Fake
est un contrôle plus sophistiqué qui ordonne à Sophos
AV, Conficker et les attaques Aurora contre Google.
Endpoint Security and Control de rechercher des
éléments connus ou des combinaisons d'éléments
Recommandation : Tous les comportements suspects
connus, identifiés dans des variantes précédentes de
ne signifient pas un risque pour la sécurité, Sophos
malwares connus, permettant ainsi un haut niveau de
conseille donc de garder les paramètres par défaut
détection proactive des familles de malwares connues.
pendant la phase de test initiale. En cours d'utilisation
normale, la fonction HIPS doit être totalement activée
Recommandation : Laisser activé en permanence pour
(pas de mode Alerte seulement) et si une application est
toutes les plates-formes prises en charge
identifiée de manière erronée, elle peut être autorisée
comme "exception". Si vous n'êtes pas sûr qu'un fichier
présente un risque pour la sécurité, envoyez-le aux
Paramètre : Vérifier les fichiers (A la lecture/A
SophosLabs pour analyse.
l’écriture/Au moment de renommer)
Paramètre : Détecter les dépassements de mémoire
Défaut : A la lecture
tampon
Défaut : Activé – Alerter uniquement
Fonction : La détection des dépassements de mémoire
tampon est un outil proactif qui identifie les processus
dont la mémoire est manipulée par des programmes
malveillants. Il bloque le processus victime de l'attaque
avant que le malware puisse être injecté dans le système.
Cela protège les systèmes des malwares inconnus et les
empêche d'être exposés aux charges virales malveillantes.
Cette fonctionnalité a permis de prévenir les attaques
Fonction : Indique lorsqu'un fichier va être analysé.
Recommandation : Changez le paramètre par défaut.
Pour les ordinateurs récents, activez à la fois A la
lecture/A l’écriture. Ainsi, le fichier est analysé lorsque les
données sont enregistrées sur le disque puis lorsqu'elles
sont lues, au cas où les identités antivirus ont été mises
à jour. La vérification des fichiers au moment de les
renommer s'avère généralement inutile car le fichier sera
vérifié lors de sa lecture, avant qu'il ne soit autorisé à
effectuer une action quelconque.
Aurora sur Internet Explorer, ainsi que Conficker et bien
d'autres menaces PDF.
4
Paramètre : Rechercher les adwares et les PUA
Recommandation : Il existe un faible risque que des
fichiers suspects puissent en réalité être sains. En raison
Défaut : Désactivé
du risque de détection indésirable, ce paramètre doit être
Fonction : Lorsqu’il est activé, ce paramètre contrôle les
en environnement réel. Les installations de nouvelles
systèmes d'extrémité pour détecter les adwares, les PUA,
applications sont plus susceptibles de déclencher de
testé en environnement de laboratoire avant d'être activé
les outils d'administration à distance et les autres éléments
fausses alertes. Si le logiciel est déployé uniquement
que les SophosLabs classifient comme des outils de
par l’administrateur, il est recommandé d'activer ce
piratage. Si un élément est détecté, il peut être autorisé
paramètre. S'il fonctionne bien en environnement de test,
pour une utilisation par politique, permettant ainsi à
il renforcera la protection de Sophos contre les malwares
certains employés d'utiliser ces outils tout en les bloquant
du jour zéro.
pour le reste du personnel.
Paramètre : Autres options de contrôle
Recommandation : Changez le paramètre par défaut.
Toutes les entreprises ne souhaitent pas limiter
l'utilisation des "gray-ware" mais Sophos recommande de
bloquer ces applications.
Fonction : Ce paramètre permet d'analyser les fichiers
d'archive et les secteurs de démarrage.
Paramètre : Virus Macintosh
Recommandation : Autorisez l'accès aux lecteurs avec
des secteurs de démarrage infectés. Le contrôle des
fichiers d'archive n'est pas recommandé car il implique
Fonction : Ce paramètre ordonne au moteur antivirus de
de monopoliser des ressources importantes pour très
rechercher les malwares Macintosh.
peu de bénéfices. Lorsqu’une archive est extraite, tout
Recommandation : Activez ce paramétrage pour les
recommandés.
le contenu est analysé en utilisant les paramètres
environnements qui partagent des segments réseau avec
des postes Macintosh. Le nombre d'identités pour les
Onglet Nettoyage
ordinateurs Macintosh est faible, ce paramétrage n’a
donc pas d’impact notable sur les performances.
Paramètre : Nettoyer automatiquement les éléments
avec un virus/spyware
Paramètre : Fichiers suspects (HIPS)
Fonction : Ce paramètre active l'analyse statique
Fonction : Comme son nom l'indique, ce paramètre
pour la détection comportementale des malwares
nettoie automatiquement tous les éléments qui sont
avant exécution. Ce type de détection recherche les
infectés par des malwares. Il est désactivé par défaut
combinaisons de codes connus qui présentent une
pour éviter d'altérer les systèmes de manière accidentelle.
forte probabilité d'être malveillantes, mais qui n'ont pas
Les identités n'offrent pas toutes une fonction de
encore été identifiées sous cette configuration précise.
nettoyage. Cette fonction est disponible pour les identités
qui nécessitent des opérations de nettoyage complexes.
5
Recommandation : Sophos recommande d'activer
un réseau public. La plupart des navigateurs sont pris
cette fonction et la plupart des entreprises suivent cette
en charge, notamment Internet Explorer, Firefox, Safari,
pratique. Elle est désactivée par défaut simplement
Opera et Chrome.
pour garantir que toutes les actions qui modifient votre
système résultent de votre propre choix.
Recommandation : Laissez cette politique activée. Vous
pouvez préciser les sites pour lesquels vous voudriez
Paramètre : Comportement nettoyage des virus/
qu'ils contournent la validation (par exemple, les
spywares
sites intranet). Ils peuvent être configurés au niveau
Défaut : Refuser l'accès uniquement
Enterprise Console.
Fonction : Ce paramètre prend effet lorsque le
Paramètre : Contrôle des téléchargements
de l'agent sur le poste d’extrémité et de la Sophos
nettoyage automatique est désactivé ou échoue. La
suppression de fichiers de malwares peut causer la
Défaut : sur accès
panne des ordinateurs ou le non-démarrage si les
fichiers système sont infectés. Le déplacement de
Fonction : La protection des navigateurs Web empêche
fichiers est également dangereux car il signifie que vous
les malwares Web de s'exécuter dans les pages HTML,
pouvez transférer du contenu malveillant.
les scripts, les contenus multimédia en temps réel et les
images. Il offre un plug-in, le Sophos Browser Helper
Recommandation : Refuser l'accès uniquement est la
Object (BHO), pour les versions Internet Explorer 6 et
meilleure option si le nettoyage échoue.
7. Le paramètre Contrôle des téléchargements contrôle
Protection Web
contrôle les objets pour identifier le code malveillant à
le BHO. En plus du Live URL Filtering, cette option
l'intérieur de IE et recherche le script Java malveillant
Paramètre : Bloquer l'accès aux sites Web
malveillants
Défaut : Activé
Fonction : Cette technologie bloque l'accès aux sites
Web connus pour héberger du malware et empêche
la récupération d'objets malveillants. Les requêtes
du navigateur depuis les systèmes d'extrémité sont
interceptées et vérifiées à l’aide de la base de données
du filtrage des URL qui contient des millions de
sites compromis. Les SophosLabs mettent à jour en
permanence la base de données avec 20 000 - 40 000
nouveaux sites par jour. Cette technologie protège les
systèmes d'extrémité contre les menaces Web, que les
utilisateurs travaillent à leur bureau ou qu’ils soient
connectés au réseau de l'entreprise depuis la maison ou
intégré aux pages Web. Lorsqu'une attaque Web est
découverte sur une page Web principale ou dans un
sous-élément, le contenu original est bloqué. La page
Web ou l'élément infecté est remplacé par une page de
rapport sécurisée et un message apparaît sur le bureau
pour chaque élément de contenu malveillant bloqué.
Ces messages sont localisés dans toutes les langues
prises en charge par Sophos et informent l'utilisateur sur
ce qui s'est produit lorsque le contenu malveillant a été
bloqué. Le BHO tente de préserver autant que possible
le site original, afin d'altérer la navigation au minimum.
Les pages bloquées sont rapportées à la Sophos
Enterprise Console en mode “Signaler uniquement”.
Recommandation : Laissez ce paramètre activé pour
protéger les systèmes des sites Web malveillants.
6
Parce que le contenu malveillant est supprimé sur les
Paramètre : (localisé sous Blocage) Utiliser les
systèmes et qu'aucune intervention n'est nécessaire
sommes de contrôle pour authentifier les applications
pour nettoyer la menace, ce paramètre n'alourdit pas la
charge administrative.
Défaut : Activé
Politiques de pare-feu
Fonction : Cette fonction empêche les applications non
autorisées de se déguiser en outils valides.
Remarque : Sophos recommande d'ignorer l'assistant
et de sélectionner Avancé pour un paramétrage plus
Recommandation : Gardez la configuration par défaut
précis des politiques de pare-feu.
pour un déploiement plus sécurisé. A noter cependant :
ce mode peut alourdir la charge administrative car il
Grâce à l'onglet Général, vous pouvez paramétrer la
faudra autoriser à nouveau les sommes de contrôle
fonction intégrée de sécurité intuitive, qui permet de
de toutes les applications en réseau lorsqu'elles seront
configurer un emplacement primaire et secondaire,
mises à jour.
chacun avec une série de règles différente pour les
utilisateurs mobiles. Sous Configuration pour chaque
Paramètre : Sous l'onglet LAN, vous trouverez des
politique, il existe plusieurs options notables :
options qui permettent plus de souplesse avec votre
série de règles, sans besoin de spécifier des règles
Paramètre : Mode de fonctionnement
individuelles. Vous pouvez saisir des plages d’adresses
IP, des adresses IP individuelles ou des noms de
Défaut : Bloquer
Fonction : Le Mode de fonctionnement vous permet de
domaines. Pour chacun d'entre eux, vous pouvez
choisir NetBIOS ou Trusted.
déterminer comment le pare-feu doit traiter le trafic pour
Défaut : Ajout de vos LAN locaux détectés depuis votre
lequel aucune règle spécifique n'est appliquée.
adaptateur réseau
Recommandation : L'option la plus sûre est de
garder le paramètre par défaut et de bloquer le
trafic qui n'a pas d'autre règle qui lui est appliquée.
Cependant, lorsque vous établissez la politique, pensez
à changer ce paramètre en Autoriser. Il sera utile
lors de la création de nouvelles politiques, avec le
paramétrage minimal qui signale les données sur le
trafic à l'Enterprise Console. Après une semaine de
fonctionnement de cette manière, analysez le trafic en
sélectionnant Affichage -> Evénements du pare-feu.
Vous pouvez alors vérifier les ports et les protocoles
du trafic autorisé et mettre en œuvre une politique de
blocage plus sécurisée sans perturber les utilisateurs.
Fonction : Choisir Fiable autorise tout le trafic vers ces
adresses IP et depuis celles-ci. NetBIOS autorise ou
bloque le trafic du partage de fichiers et d’imprimantes.
Remarque : cette case à cocher remplace la série de
règles globales, donc créer des règles Globales pour le
trafic NetBIOS ne fonctionnera pas.
Paramètre : L'onglet Détection de l’emplacement vous
permet de configurer comment les emplacements sont
détectés. Il existe deux méthodes : l'emplacement
par DNS et l'emplacement par adresse MAC de la
passerelle.
Défaut : Aucun
7
Fonction : Identifier l'emplacement par DNS permet
Recommandation : En fonction du nombre de failles et
de déterminer l'emplacement en recherchant un nom
des risques de fuites de données depuis ces applications,
DNS uniquement disponible en interne et devant
Sophos encourage vivement les entreprises à établir
correspondre à l'entrée. Ce paramètre fonctionne bien
une politique de contrôle des applications. Si vous ne
et offre assez de souplesse pour prendre en charge de
souhaitez pas totalement bloquer ces applications, vous
nombreux sites distants tout en empêchant l'application
pouvez envisager d'activer l'option Détecter mais autoriser
de mauvaises règles sur Internet.
l’exécution, ce qui permet de vérifier les applications
qui sont actives dans votre environnement. Visitez notre
Identifier l'emplacement par l’adresse MAC de la
site à l'adresse : http://www.sophos.fr/security/analyses/
passerelle permet de vérifier les adresses MAC saisies
controlled-applications/ pour obtenir la liste complète des
par rapport à l'adresse MAC de la passerelle actuelle
applications qui peuvent être bloquées sur votre réseau.
par défaut. Cela fonctionne bien pour les petits bureaux
ou pour les entreprises avec un petit nombre de sites.
Paramètre : Contrôle des périphériques
Si vous achetez un nouveau routeur ou pare-feu, vous
devrez mettre à jour cette entrée.
Recommandation : Pour tous les réseaux (excepté les
Fonction : De nombreuses entreprises se retrouvent victimes
petits réseaux), il est recommandé d'utiliser Identifier
d'incidents de type fuites de données, intrusions de malwares
l'emplacement par DNS.
ou non-conformité, suite à la connexion de périphériques de
stockage amovibles à leurs systèmes via les ports USB. Le
Paramètre : Contrôle des applications
contrôle des périphériques peut être utilisé pour limiter les
types de périphériques que les utilisateurs peuvent connecter
à leurs ordinateurs et contrôler comment les périphériques
Fonction : Limiter votre surface d'attaque en minimisant
USB peuvent être administrées par périphérique, par fabricant
le nombre des applications actives est l'un des moyens
et par politique.
peuvent être utilisés. Les exceptions pour les périphériques
les plus efficaces de sécuriser votre environnement. Le
contrôle des applications est utilisé pour faire appel à
Recommandation : Sophos recommande vivement
un ensemble d'identités publiées par les SophosLabs
de créer une politique. De nombreuses menaces
pour identifier les applications non malveillantes que
actuelles se propagent via l'utilisation des périphériques
vous souhaitez interdire sur votre réseau. Au lieu de
de stockage amovibles. Ces derniers sont également
vérifier les sommes de contrôle, cette fonction recherche
l'une des principales causes de perte de données.
les caractéristiques uniques des applications connues.
Sophos conseille de limiter l'usage des périphériques
Cela permet à la technologie d'être plus résiliente aux
de stockage amovibles et de bloquer la connexion des
mises à jour effectuées sur vos programmes. Parmi
cartes Wi-Fi au réseau de l'entreprise.
les catégories d'applications contrôlées, on compte les
plug-ins de navigateur, les outils de recherche bureau,
les programmes de partage de fichiers, les messageries
instantanées et les outils d'administration à distance.
8
Paramètre : Contrôle d'accès réseau
Fonction : Dans certaines entreprises, le vol de données
est une menace aussi importante que les malwares.
Fonction : le Contrôle d'accès réseau est utilisé pour
Sophos offre une solution simple et unique pour la
empêcher les postes invités ou non autorisés d'accéder
prévention des pertes de données (DLP, Data Leakage
aux informations et aux ressources sur le réseau et
Prevention) en intégrant le contrôle du contenu dans
pour garantir la conformité des ordinateurs administrés
l'agent sur le système d’extrémité. Les listes de contrôle
à la politique de sécurité de l'entreprise ou aux
du contenu prédéfinies par les SophosLabs contiennent
réglementations externes. Les tests en ligne montrent
des centaines d’informations personnelles identifiables
que 86 % des postes d'entreprise ont échoué dans des
(PII, Personally Identifiable Information) et autres types de
contrôles de sécurité de base en raison de l'absence
données sensibles tels que les cartes de crédit, comptes
de certains correctifs essentiels ou de pare-feu ou d'un
bancaires, numéros d'identité nationale, adresses,
antivirus expiré. L'absence de contrôle sur les accès
numéros de téléphone, etc. Il vous suffit de sélectionner
invités peut engendrer des failles de sécurité et des
les données que vous voulez vous protéger parmi des
pertes de données. Sophos NAC permet de contrôler
centaines de types de données spécifiques et de choisir
tout ce qui se connecte à vos réseaux sans besoin de
d'enregistrer, avertir, bloquer ou chiffrer les informations
mises à niveau ou de nouvelle architecture réseau.
sensibles qui déclenchent une règle de politique de
Le NAC peut être configuré pour refuser l'accès aux
DLP. Cette fonctionnalité de DLP est comprise dans nos
postes non administrés et bloquer ou réparer les postes
produits Sophos Endpoint et Email Appliance
administrés non conformes. Si vous voulez seulement
contrôler l'accès au réseau, sans le bloquer, la fonction
Recommandation : Sophos conseille vivement de
d'édition de rapports en temps réel est disponible pour
créer une politique. Vos besoins en conformité ou
vous aider à prouver la conformité aux réglementations.
votre politique de protection des données/confidentialité
déterminera si vous devez activer cette fonctionnalité ou
Recommandation : Sophos recommande d'utiliser le
pas. Sophos recommande d'activer cette fonctionnalité
NAC pour assurer l'efficacité des solutions de correctifs
pour limiter les données sensibles à la source et apporter
existantes et atténuer les risques provenant des visiteurs
des informations utiles à l'utilisateur. Acessible au
et des sous-traitants. Le NAC peut être utilisé comme
moyen d’un assistant dédié, le contrôle des données
un outil de création de rapports pour évaluer ou
est personnalisable en fonction de vos propres données
appliquer les politiques de sécurité (voir l’article http://
sensibles uniques à votre entreprise. Vous pouvez mettre
www.sophos.fr/support/knowledgebase/article/32670.
en place des politiques homogènes pour les systèmes
html).
d'extrémité et les appliances de messagerie avec
possibilité d'exporter facilement des personnalisations
Paramètre : Contrôle des données
depuis la Sophos Enterprise Console et d'importer vers le
moteur DLP de l’appliance de messagerie..
Paramètre : Désactivé
9
Le contrôle antivirus Sophos comprend la
L'agent de Sophos Endpoint and Control fait partie de la
technologie Behavioral Genotype®, utilisée
suite la plus complète, performante et simple à administrer
pour identifier les caractéristiques spécifiques
actuellement disponible sur le marché des solutions de
des fichiers avant qu'ils ne s'exécutent pour
sécurité. Au cours du processus d’installation, nous vous
déterminer s'ils sont malveillants. Il protège contre
encourageons à consulter notre vaste base de connaissances
les logiciels malveillants inconnus en utilisant
dans laquelle vous trouverez des conseils et des exemples
le contrôle avant exécution pour déterminer les
pour exploiter au mieux votre solution de sécurité, sans
caractéristiques du code et du comportement
alourdir votre budget. Pour en savoir plus sur les derniers virus
qu'il est susceptible de développer, et ce sans
et spywares, visitez le site Web des SophosLabs.
permettre au code de s'exécuter. Cela signifie
que le moteur de détection Sophos détecte les
menaces du jour zéro sans sans la nécessité de
mises à jour des identités ou d’un logiciel HIPS
distinct.
Conclusion
Seule une approche complète et stratifiée de votre sécurité
permettra de protéger efficacement vos systèmes d'extrémité,
votre réseau, ainsi que les données essentielles à votre
entreprise contre le spectre croissant de menaces internes et
externes, en particulier les virus et les logiciels malveillants.
Pour y parvenir, vous devez vous assurer que la sécurité que
vous déployez et les politiques d’utilisation acceptable que
vous définissez ne ralentissent pas vos systèmes d'extrémité
et n'empêchent pas les employés d'accéder aux données
indispensables dans le cadre de leur travail.
Boston, Etats-Unis |Oxford, Royaume-Uni
© Copyright 2010. Sophos Plc. Tous droits réservés.
Toutes les marques appartiennent à leurs propriétaires respectifs.

Protection Sophos contre les menaces sur les systèmes d`extrémité

Transcription

Documents pareils

Télécharger la plaquette de présentation Sophos

La sécurité en toute simplicité

Le Support Technique Sophos Services de consultation à distance

Network Storage Protection

Profil de la société

Next-Generation Firewall

Présentation des Services professionnels Sophos

Fiche technique Sophos Web Appliance

Responsables de compte technique (TAM)

Logiciels de suppression de virus et autres X.. ware