Protection Sophos contre les menaces sur les systèmes d extrémité

Transcription

1 par Chester Wisniewski, Analyste en sécurité Aujourd'hui, les réseaux professionnels doivent faire face à un grand nombre de menaces, les systèmes d'extrémité étant la première cible. Protéger ces systèmes contre cet éventail croissant de malwares requiert la mise en place d'une stratégie employant de multiples technologies et politiques. Ce guide, qui vient compléter les guides et manuels d'installation fournis avec le produit, vous aidera à comprendre les technologies de protection contre les menaces disponibles dans l'agent Sophos Endpoint and Control. Vous trouverez des recommandations pour configurer au mieux Sophos Endpoint Security and Control selon vos besoins et garantir ainsi la meilleure protection pour votre entreprise. Comprendre les paramètres et options de la protection Sophos Sophos propose un large choix de technologies de protection pour aider votre entreprise à détecter et prévenir les attaques de malwares : identités d'identification des malwares, systèmes de prévention des intrusions sur l'hôte (HIPS, Host Intrusion Prevention Systems), systèmes de protection par dépassement de la mémoire tampon (BOPS, Buffer Overflow Protection Systems), blocage en fonction du comportement, pare-feu, liste blanche sur réputation et détection "inthe-cloud", services de mises à jour... Pour que le plan des pirates fonctionne, il faut qu'une chaîne d'événements se produise. Or, en employant ces technologies dans le cadre d'une stratégie de défense bien pensée, vous multipliez vos chances de briser cette chaîne. En fait, il vous suffit de briser un lien dans la chaîne pour empêcher une menace malveillante de se transformer en attaque de grande envergure. Les attaques actuelles sont très complexes et sophistiquées mais un ou deux niveaux de votre solution de sécurité peut neutraliser une menace donnée. Le logiciel antivirus est utile pour identifier et arrêter les menaces connues et déjà identifiées. Mais pour les malwares plus récents, qui peuvent inclure des attaques polymorphiques, les identités peuvent s'avérer moins efficaces, voire totalement inutiles. Les systèmes de prévention des intrusions sur l'hôte (HIPS) assurent une protection proactive car ils utilisent des méthodes de détection basées sur les anomalies pour identifier les menaces de malwares sur les systèmes et réseaux. De plus, les règles HIPS ne requièrent pas de mises à jour permanentes pour s'attaquer aux nouvelles menaces de malwares. Le service de protection contre les dépassements de la mémoire tampon (BOPS) est une autre application de sécurité proactive. Elle protège contre les malwares qui tentent d'exécuter du code pour altérer le fonctionnement d'un programme en causant un dépassement de la mémoire tampon. La détection et le blocage des comportements suspects surveillent les activités des fichiers et empêchent certaines modifications au niveau du système d'exploitation et des fichiers associés. Le blocage en fonction du comportement, par exemple, peut surveiller le registre du système et émettre un avertissement si un fichier tente de le modifier. Pour prévenir le blocage des programmes légitimes, la fonction de blocage en fonction du comportement demande si l'action était attendue et invite l'utilisateur à autoriser ou à refuser l'action. Les recherches de malwares in-the-cloud permettent d'assurer une protection plus appropriée. Les fournisseurs complètent leurs mises à jour normales par des recherches en temps réel de fichiers suspects. Cette technique n'est pas aussi agressive que les technologies proactives mais apporte un niveau supplémentaire de sécurité pour une détection instantanée des nouvelles menaces. Le filtrage des URL protège des menaces Web en bloquant les URL connues hébergeant du malware. Lorsqu'un utilisateur tente d'accéder à une URL via le navigateur Web, cette URL est extraite du trafic et vérifiée. Si l'url de l'utilisateur est connue pour héberger du malware ou pour présenter un quelconque danger, alors le service est rejeté. Les pare-feu demeurent une composante essentielle de toute solution de sécurité. Ils peuvent être la première ligne de défense pour protéger votre entreprise contre les attaques. Protection Sophos contre les menaces sur les systèmes d'extrémité 1

2 AVERTISSEMENT Sophos vous permet de profiter de toutes ces technologies en toute simplicité et sans configuration complexe, puisqu'elles sont directement intégrées dans un agent unique : Sophos Endpoint Security and Control. Voyons maintenant en détail les technologies Sophos à votre disposition et passons en revue les valeurs par défaut et les paramètres recommandés. Figure 1 : les technologies de détection des menaces de Sophos Endpoint Security and Control offrent les fonctionnalités suivantes : Si vous procédez à la mise à niveau vers Enterprise Console 4.5, nous vous conseillons de réviser vos politiques actuelles. Les paramètres par défaut exposés dans ce guide s'appliquent uniquement aux politiques nouvellement créées. La nouvelle fonctionnalité est désactivée par défaut, et toute modification des paramètres par défaut sera maintenue pendant le processus de mise à niveau. Contrôle antivirus Sophos Protection Live Sophos Prévention des intrusions Sophos (HIPS) Le moteur de détection des virus Sophos effectue des contrôles basés sur l'identité et les comportements pour détecter les virus, les spywares, les adwares, les fichiers suspects, les comportements suspects et les applications potentiellement indésirables. La technologie "in-the-cloud" garantit une détection rapide et efficace des menaces du jour zéro sans besoin de mises à jour. Les nouvelles données sur réputation peuvent être vérifiées instantanément en ligne par le moteur de protection Sophos pendant le contrôle. Cette couche de détection observe les processus système fondamentaux afin d'y déceler la présence de malwares actifs, et notamment d'écritures suspectes au niveau du registre ou des copies de fichiers. Elle peut être paramétrée de sorte que l'administrateur soit averti et/ou le processus soit bloqué. Identités des menaces antivirus Sophos Live Anti-Virus Détection comportementale runtime Protection Behavioral Genotype Filtrage des URL Live Sophos Sophos Client Firewall Protection Sophos contre les menaces sur les systèmes d'extrémité 2

3 Protection Live Sophos : Anti-Virus et politique HIPS (La protection Live Sophos doit être activée pour utiliser cette fonction) Paramètre : Activer la protection Live Défaut : Activé lorsque l'option "Envoyer automatiquement les fichiers" est activée (cf. ci-dessous) Fonction : la protection Live Sophos contrôle les éléments antivirus Live de Sophos Endpoint Security and Control. Si un contrôle antivirus sur un ordinateur d'extrémité identifie un fichier comme suspect, mais ne peut pas l'identifier comme sain ou malveillant d'après les fichiers d'identités des menaces (IDE) stockés sur l'ordinateur, certaines caractéristiques de ce fichier comme sa somme de contrôle sont envoyées à Sophos pour une analyse approfondie (remarque : cette fonction envoie uniquement des données de fichiers telles que la somme de contrôle ou le type de fichier, mais pas le fichier proprement dit). Les vérifications dans-le-nuage (in-the-cloud) recherchent instantanément les fichiers suspects dans la base de données de la protection Live Sophos. Si le fichier est identifié comme sain ou malveillant, la décision est renvoyée à l'ordinateur et le statut du fichier est automatiquement mis à jour. Lorsqu'une nouvelle menace est identifiée lors du contrôle, la fonction Live Intelligence Sharing permet la mise à jour des bases de données des menaces et le renforcement de la protection pour tous les produits Sophos et les systèmes protégés. Fonction : Si la protection Live Sophos détecte un fichier qui n'a pas été identifié auparavant et si ce paramètre est activé, le fichier complet est envoyé intact aux SophosLabs où les chercheurs procèdent à son analyse pour améliorer la détection. Recommandation : Utilisez cette fonction sur l'ensemble de vos systèmes d'extrémité avec accès Internet. Vérifiez avec attention les politiques de votre entreprise pour déterminer si vous pouvez partager les fichiers en toute confidentialité avec Sophos. Paramètre : Alerter uniquement Défaut : Activé Fonction : Le mode Alerter uniquement permet de soutenir les protocoles HIPS/BOPS. Il détecte les dépassements de mémoire tampon et les comportements suspects sans bloquer l'application qui déclenche l'événement. Une alerte est renvoyée à l'enterprise Console pour que l'administrateur puisse décider si elle a été déclenchée par une application légitime. Si l'application est légitime, elle peut être ajoutée à la liste "Autoriser" pour empêcher de futures détections. La détection proactive Sophos détecte plus de 85 % des malwares connus en liberté. Recommandation : Utilisez cette fonction sur l'ensemble de vos systèmes d'extrémité avec accès Internet (les communications avec Sophos utilisent le DNS). Paramètre : Envoyer automatiquement les échantillons de fichiers à Sophos Recommandation : Comme les fichiers suspects ne sont pas nécessairement des malwares, Sophos recommande de tester les HIPS/BOPS avec toutes vos applications standards pour que vous puissiez les autoriser si elles s'exécutent hors de la série de règles Sophos. Désactivez le mode Alerter uniquement une fois votre déploiement commencé. Protection Sophos contre les menaces sur les systèmes d'extrémité 3

4 Prévention des intrusions Sophos : Politiques de comportements suspects Paramètre : Détecter les comportements suspects Défaut : Activé Alerter uniquement Recommandation : Il s'agit d'un outil très utile pour identifier les attaques et détecter les programmes malveillants dans les applications, nous vous conseillons donc de laisser ce paramètre activé. Identité de menaces antivirus Fonction : Le paramètre Détection des comportements suspects active la technologie HIPS Sophos, qui est efficace pour bloquer les menaces du jour zéro. Cependant, "suspect" est ici un mot-clé. La fonction HIPS envoie une alerte à l'administrateur lorsqu'elle détecte un comportement inhabituel mais il ne s'agit pas obligatoirement d'un virus ou d'un malware. Cela dit, elle a permis la détection proactive de menaces telles que Fake AV, Conficker et les attaques Aurora contre Google. Recommandation : Tous les comportements suspects ne signifient pas un risque pour la sécurité, Sophos conseille donc de garder les paramètres par défaut pendant la phase de test initiale. En cours d'utilisation normale, la fonction HIPS doit être totalement activée (pas de mode Alerte seulement) et si une application est identifiée de manière erronée, elle peut être autorisée comme "exception". Si vous n'êtes pas sûr qu'un fichier présente un risque pour la sécurité, envoyez-le aux SophosLabs pour analyse. Paramètre : Détecter les dépassements de mémoire tampon Défaut : Activé Alerter uniquement Fonction : La détection des dépassements de mémoire tampon est un outil proactif qui identifie les processus dont la mémoire est manipulée par des programmes malveillants. Il bloque le processus victime de l'attaque avant que le malware puisse être injecté dans le système. Cela protège les systèmes des malwares inconnus et les empêche d'être exposés aux charges virales malveillantes. Cette fonctionnalité a permis de prévenir les attaques Aurora sur Internet Explorer, ainsi que Conficker et bien d'autres menaces PDF. Paramètre : Activer le contrôle sur accès Défaut : Activé Fonction : L'activation du contrôle sur accès permet de contrôler l'analyse Behavioral Genotype et l'antivirus traditionnel basé sur l'identité. Behavioral Genotype est un contrôle plus sophistiqué qui ordonne à Sophos Endpoint Security and Control de rechercher des éléments connus ou des combinaisons d'éléments connus, identifiés dans des variantes précédentes de malwares connus, permettant ainsi un haut niveau de détection proactive des familles de malwares connues. Recommandation : Laisser activé en permanence pour toutes les plates-formes prises en charge Paramètre : Vérifier les fichiers (A la lecture/a l écriture/au moment de renommer) Défaut : A la lecture Fonction : Indique lorsqu'un fichier va être analysé. Recommandation : Changez le paramètre par défaut. Pour les ordinateurs récents, activez à la fois A la lecture/a l écriture. Ainsi, le fichier est analysé lorsque les données sont enregistrées sur le disque puis lorsqu'elles sont lues, au cas où les identités antivirus ont été mises à jour. La vérification des fichiers au moment de les renommer s'avère généralement inutile car le fichier sera vérifié lors de sa lecture, avant qu'il ne soit autorisé à effectuer une action quelconque. Protection Sophos contre les menaces sur les systèmes d'extrémité 4

5 Paramètre : Rechercher les adwares et les PUA Fonction : Lorsqu il est activé, ce paramètre contrôle les systèmes d'extrémité pour détecter les adwares, les PUA, les outils d'administration à distance et les autres éléments que les SophosLabs classifient comme des outils de piratage. Si un élément est détecté, il peut être autorisé pour une utilisation par politique, permettant ainsi à certains employés d'utiliser ces outils tout en les bloquant pour le reste du personnel. Recommandation : Changez le paramètre par défaut. Toutes les entreprises ne souhaitent pas limiter l'utilisation des "gray-ware" mais Sophos recommande de bloquer ces applications. Paramètre : Virus Macintosh Fonction : Ce paramètre ordonne au moteur antivirus de rechercher les malwares Macintosh. Recommandation : Activez ce paramétrage pour les environnements qui partagent des segments réseau avec des postes Macintosh. Le nombre d'identités pour les ordinateurs Macintosh est faible, ce paramétrage n a donc pas d impact notable sur les performances. Paramètre : Fichiers suspects (HIPS) Recommandation : Il existe un faible risque que des fichiers suspects puissent en réalité être sains. En raison du risque de détection indésirable, ce paramètre doit être testé en environnement de laboratoire avant d'être activé en environnement réel. Les installations de nouvelles applications sont plus susceptibles de déclencher de fausses alertes. Si le logiciel est déployé uniquement par l administrateur, il est recommandé d'activer ce paramètre. S'il fonctionne bien en environnement de test, il renforcera la protection de Sophos contre les malwares du jour zéro. Paramètre : Autres options de contrôle Fonction : Ce paramètre permet d'analyser les fichiers d'archive et les secteurs de démarrage. Recommandation : Autorisez l'accès aux lecteurs avec des secteurs de démarrage infectés. Le contrôle des fichiers d'archive n'est pas recommandé car il implique de monopoliser des ressources importantes pour très peu de bénéfices. Lorsqu une archive est extraite, tout le contenu est analysé en utilisant les paramètres recommandés. Onglet Nettoyage Paramètre : Nettoyer automatiquement les éléments avec un virus/spyware Fonction : Ce paramètre active l'analyse statique pour la détection comportementale des malwares avant exécution. Ce type de détection recherche les combinaisons de codes connus qui présentent une forte probabilité d'être malveillantes, mais qui n'ont pas encore été identifiées sous cette configuration précise. Fonction : Comme son nom l'indique, ce paramètre nettoie automatiquement tous les éléments qui sont infectés par des malwares. Il est désactivé par défaut pour éviter d'altérer les systèmes de manière accidentelle. Les identités n'offrent pas toutes une fonction de nettoyage. Cette fonction est disponible pour les identités qui nécessitent des opérations de nettoyage complexes. Protection Sophos contre les menaces sur les systèmes d'extrémité 5

6 Recommandation : Sophos recommande d'activer cette fonction et la plupart des entreprises suivent cette pratique. Elle est désactivée par défaut simplement pour garantir que toutes les actions qui modifient votre système résultent de votre propre choix. Paramètre : Comportement nettoyage des virus/ spywares Défaut : Refuser l'accès uniquement un réseau public. La plupart des navigateurs sont pris en charge, notamment Internet Explorer, Firefox, Safari, Opera et Chrome. Recommandation : Laissez cette politique activée. Vous pouvez préciser les sites pour lesquels vous voudriez qu'ils contournent la validation (par exemple, les sites intranet). Ils peuvent être configurés au niveau de l'agent sur le poste d extrémité et de la Sophos Enterprise Console. Fonction : Ce paramètre prend effet lorsque le nettoyage automatique est désactivé ou échoue. La suppression de fichiers de malwares peut causer la panne des ordinateurs ou le non-démarrage si les fichiers système sont infectés. Le déplacement de fichiers est également dangereux car il signifie que vous pouvez transférer du contenu malveillant. Recommandation : Refuser l'accès uniquement est la meilleure option si le nettoyage échoue. Protection Web Paramètre : Bloquer l'accès aux sites Web malveillants Défaut : Activé Fonction : Cette technologie bloque l'accès aux sites Web connus pour héberger du malware et empêche la récupération d'objets malveillants. Les requêtes du navigateur depuis les systèmes d'extrémité sont interceptées et vérifiées à l aide de la base de données du filtrage des URL qui contient des millions de sites compromis. Les SophosLabs mettent à jour en permanence la base de données avec nouveaux sites par jour. Cette technologie protège les systèmes d'extrémité contre les menaces Web, que les utilisateurs travaillent à leur bureau ou qu ils soient connectés au réseau de l'entreprise depuis la maison ou Paramètre : Contrôle des téléchargements Défaut : sur accès Fonction : La protection des navigateurs Web empêche les malwares Web de s'exécuter dans les pages HTML, les scripts, les contenus multimédia en temps réel et les images. Il offre un plug-in, le Sophos Browser Helper Object (BHO), pour les versions Internet Explorer 6 et 7. Le paramètre Contrôle des téléchargements contrôle le BHO. En plus du Live URL Filtering, cette option contrôle les objets pour identifier le code malveillant à l'intérieur de IE et recherche le script Java malveillant intégré aux pages Web. Lorsqu'une attaque Web est découverte sur une page Web principale ou dans un sous-élément, le contenu original est bloqué. La page Web ou l'élément infecté est remplacé par une page de rapport sécurisée et un message apparaît sur le bureau pour chaque élément de contenu malveillant bloqué. Ces messages sont localisés dans toutes les langues prises en charge par Sophos et informent l'utilisateur sur ce qui s'est produit lorsque le contenu malveillant a été bloqué. Le BHO tente de préserver autant que possible le site original, afin d'altérer la navigation au minimum. Les pages bloquées sont rapportées à la Sophos Enterprise Console en mode Signaler uniquement. Recommandation : Laissez ce paramètre activé pour protéger les systèmes des sites Web malveillants. Protection Sophos contre les menaces sur les systèmes d'extrémité 6

7 Parce que le contenu malveillant est supprimé sur les systèmes et qu'aucune intervention n'est nécessaire pour nettoyer la menace, ce paramètre n'alourdit pas la charge administrative. Politiques de pare-feu Remarque : Sophos recommande d'ignorer l'assistant et de sélectionner Avancé pour un paramétrage plus précis des politiques de pare-feu. Grâce à l'onglet Général, vous pouvez paramétrer la fonction intégrée de sécurité intuitive, qui permet de configurer un emplacement primaire et secondaire, chacun avec une série de règles différente pour les utilisateurs mobiles. Sous Configuration pour chaque politique, il existe plusieurs options notables : Paramètre : Mode de fonctionnement Défaut : Bloquer Fonction : Le Mode de fonctionnement vous permet de déterminer comment le pare-feu doit traiter le trafic pour lequel aucune règle spécifique n'est appliquée. Paramètre : (localisé sous Blocage) Utiliser les sommes de contrôle pour authentifier les applications Défaut : Activé Fonction : Cette fonction empêche les applications non autorisées de se déguiser en outils valides. Recommandation : Gardez la configuration par défaut pour un déploiement plus sécurisé. A noter cependant : ce mode peut alourdir la charge administrative car il faudra autoriser à nouveau les sommes de contrôle de toutes les applications en réseau lorsqu'elles seront mises à jour. Paramètre : Sous l'onglet LAN, vous trouverez des options qui permettent plus de souplesse avec votre série de règles, sans besoin de spécifier des règles individuelles. Vous pouvez saisir des plages d adresses IP, des adresses IP individuelles ou des noms de domaines. Pour chacun d'entre eux, vous pouvez choisir NetBIOS ou Trusted. Défaut : Ajout de vos LAN locaux détectés depuis votre adaptateur réseau Recommandation : L'option la plus sûre est de garder le paramètre par défaut et de bloquer le trafic qui n'a pas d'autre règle qui lui est appliquée. Cependant, lorsque vous établissez la politique, pensez à changer ce paramètre en Autoriser. Il sera utile lors de la création de nouvelles politiques, avec le paramétrage minimal qui signale les données sur le trafic à l'enterprise Console. Après une semaine de fonctionnement de cette manière, analysez le trafic en sélectionnant Affichage -> Evénements du pare-feu. Vous pouvez alors vérifier les ports et les protocoles du trafic autorisé et mettre en œuvre une politique de blocage plus sécurisée sans perturber les utilisateurs. Fonction : Choisir Fiable autorise tout le trafic vers ces adresses IP et depuis celles-ci. NetBIOS autorise ou bloque le trafic du partage de fichiers et d imprimantes. Remarque : cette case à cocher remplace la série de règles globales, donc créer des règles Globales pour le trafic NetBIOS ne fonctionnera pas. Paramètre : L'onglet Détection de l emplacement vous permet de configurer comment les emplacements sont détectés. Il existe deux méthodes : l'emplacement par DNS et l'emplacement par adresse MAC de la passerelle. Défaut : Aucun Protection Sophos contre les menaces sur les systèmes d'extrémité 7

8 Fonction : Identifier l'emplacement par DNS permet de déterminer l'emplacement en recherchant un nom DNS uniquement disponible en interne et devant correspondre à l'entrée. Ce paramètre fonctionne bien et offre assez de souplesse pour prendre en charge de nombreux sites distants tout en empêchant l'application de mauvaises règles sur Internet. Identifier l'emplacement par l adresse MAC de la passerelle permet de vérifier les adresses MAC saisies par rapport à l'adresse MAC de la passerelle actuelle par défaut. Cela fonctionne bien pour les petits bureaux ou pour les entreprises avec un petit nombre de sites. Si vous achetez un nouveau routeur ou pare-feu, vous devrez mettre à jour cette entrée. Recommandation : En fonction du nombre de failles et des risques de fuites de données depuis ces applications, Sophos encourage vivement les entreprises à établir une politique de contrôle des applications. Si vous ne souhaitez pas totalement bloquer ces applications, vous pouvez envisager d'activer l'option Détecter mais autoriser l exécution, ce qui permet de vérifier les applications qui sont actives dans votre environnement. Visitez notre site à l'adresse : controlled-applications/ pour obtenir la liste complète des applications qui peuvent être bloquées sur votre réseau. Paramètre : Contrôle des périphériques Recommandation : Pour tous les réseaux (excepté les petits réseaux), il est recommandé d'utiliser Identifier l'emplacement par DNS. Paramètre : Contrôle des applications Fonction : Limiter votre surface d'attaque en minimisant le nombre des applications actives est l'un des moyens les plus efficaces de sécuriser votre environnement. Le contrôle des applications est utilisé pour faire appel à un ensemble d'identités publiées par les SophosLabs pour identifier les applications non malveillantes que vous souhaitez interdire sur votre réseau. Au lieu de vérifier les sommes de contrôle, cette fonction recherche les caractéristiques uniques des applications connues. Cela permet à la technologie d'être plus résiliente aux mises à jour effectuées sur vos programmes. Parmi les catégories d'applications contrôlées, on compte les plug-ins de navigateur, les outils de recherche bureau, les programmes de partage de fichiers, les messageries instantanées et les outils d'administration à distance. Fonction : De nombreuses entreprises se retrouvent victimes d'incidents de type fuites de données, intrusions de malwares ou non-conformité, suite à la connexion de périphériques de stockage amovibles à leurs systèmes via les ports USB. Le contrôle des périphériques peut être utilisé pour limiter les types de périphériques que les utilisateurs peuvent connecter à leurs ordinateurs et contrôler comment les périphériques peuvent être utilisés. Les exceptions pour les périphériques USB peuvent être administrées par périphérique, par fabricant et par politique. Recommandation : Sophos recommande vivement de créer une politique. De nombreuses menaces actuelles se propagent via l'utilisation des périphériques de stockage amovibles. Ces derniers sont également l'une des principales causes de perte de données. Sophos conseille de limiter l'usage des périphériques de stockage amovibles et de bloquer la connexion des cartes Wi-Fi au réseau de l'entreprise. Protection Sophos contre les menaces sur les systèmes d'extrémité 8

9 Paramètre : Contrôle d'accès réseau Fonction : le Contrôle d'accès réseau est utilisé pour empêcher les postes invités ou non autorisés d'accéder aux informations et aux ressources sur le réseau et pour garantir la conformité des ordinateurs administrés à la politique de sécurité de l'entreprise ou aux réglementations externes. Les tests en ligne montrent que 86 % des postes d'entreprise ont échoué dans des contrôles de sécurité de base en raison de l'absence de certains correctifs essentiels ou de pare-feu ou d'un antivirus expiré. L'absence de contrôle sur les accès invités peut engendrer des failles de sécurité et des pertes de données. Sophos NAC permet de contrôler tout ce qui se connecte à vos réseaux sans besoin de mises à niveau ou de nouvelle architecture réseau. Le NAC peut être configuré pour refuser l'accès aux postes non administrés et bloquer ou réparer les postes administrés non conformes. Si vous voulez seulement contrôler l'accès au réseau, sans le bloquer, la fonction d'édition de rapports en temps réel est disponible pour vous aider à prouver la conformité aux réglementations. Recommandation : Sophos recommande d'utiliser le NAC pour assurer l'efficacité des solutions de correctifs existantes et atténuer les risques provenant des visiteurs et des sous-traitants. Le NAC peut être utilisé comme un outil de création de rapports pour évaluer ou appliquer les politiques de sécurité (voir l article html). Paramètre : Contrôle des données Paramètre : Désactivé Fonction : Dans certaines entreprises, le vol de données est une menace aussi importante que les malwares. Sophos offre une solution simple et unique pour la prévention des pertes de données (DLP, Data Leakage Prevention) en intégrant le contrôle du contenu dans l'agent sur le système d extrémité. Les listes de contrôle du contenu prédéfinies par les SophosLabs contiennent des centaines d informations personnelles identifiables (PII, Personally Identifiable Information) et autres types de données sensibles tels que les cartes de crédit, comptes bancaires, numéros d'identité nationale, adresses, numéros de téléphone, etc. Il vous suffit de sélectionner les données que vous voulez vous protéger parmi des centaines de types de données spécifiques et de choisir d'enregistrer, avertir, bloquer ou chiffrer les informations sensibles qui déclenchent une règle de politique de DLP. Cette fonctionnalité de DLP est comprise dans nos produits Sophos Endpoint et Appliance Recommandation : Sophos conseille vivement de créer une politique. Vos besoins en conformité ou votre politique de protection des données/confidentialité déterminera si vous devez activer cette fonctionnalité ou pas. Sophos recommande d'activer cette fonctionnalité pour limiter les données sensibles à la source et apporter des informations utiles à l'utilisateur. Acessible au moyen d un assistant dédié, le contrôle des données est personnalisable en fonction de vos propres données sensibles uniques à votre entreprise. Vous pouvez mettre en place des politiques homogènes pour les systèmes d'extrémité et les appliances de messagerie avec possibilité d'exporter facilement des personnalisations depuis la Sophos Enterprise Console et d'importer vers le moteur DLP de l appliance de messagerie.. Protection Sophos contre les menaces sur les systèmes d'extrémité 9

10 Le contrôle antivirus Sophos comprend la technologie Behavioral Genotype, utilisée pour identifier les caractéristiques spécifiques des fichiers avant qu'ils ne s'exécutent pour déterminer s'ils sont malveillants. Il protège contre les logiciels malveillants inconnus en utilisant le contrôle avant exécution pour déterminer les caractéristiques du code et du comportement qu'il est susceptible de développer, et ce sans permettre au code de s'exécuter. Cela signifie que le moteur de détection Sophos détecte les menaces du jour zéro sans sans la nécessité de mises à jour des identités ou d un logiciel HIPS distinct. L'agent de Sophos Endpoint and Control fait partie de la suite la plus complète, performante et simple à administrer actuellement disponible sur le marché des solutions de sécurité. Au cours du processus d installation, nous vous encourageons à consulter notre vaste base de connaissances dans laquelle vous trouverez des conseils et des exemples pour exploiter au mieux votre solution de sécurité, sans alourdir votre budget. Pour en savoir plus sur les derniers virus et spywares, visitez le site Web des SophosLabs. Conclusion Seule une approche complète et stratifiée de votre sécurité permettra de protéger efficacement vos systèmes d'extrémité, votre réseau, ainsi que les données essentielles à votre entreprise contre le spectre croissant de menaces internes et externes, en particulier les virus et les logiciels malveillants. Pour y parvenir, vous devez vous assurer que la sécurité que vous déployez et les politiques d utilisation acceptable que vous définissez ne ralentissent pas vos systèmes d'extrémité et n'empêchent pas les employés d'accéder aux données indispensables dans le cadre de leur travail. Boston, Etats-Unis Oxford, Royaume-Uni Copyright Sophos Plc. Tous droits réservés. Toutes les marques appartiennent à leurs propriétaires respectifs.