Aller au contenu

Protection des serveurs contre les menaces : Intercept X Advanced

Si vous avez une licence Intercept X Advanced for Server, vous allez voir les options suivantes dans votre stratégie de protection contre les menaces en plus des options Server Protection habituelles.

Protection à l’exécution (runtime)

Vous devez rejoindre le programme d’accès anticipé pour utiliser certaines options.

La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant sur les terminaux.

  • Protéger les fichiers document contre les ransomwares (CryptoGuard) : Cette option permet de protéger des fichiers document contre les malwares empêchant l’accès aux fichiers et demandant le paiement d’une somme d’argent pour les rendre accessibles. Vous pouvez également choisir de protéger les ordinateurs 64 bits contre les ransomwares s’exécutant depuis un emplacement distant. Vous pouvez choisir l’action à effectuer si un ransomware est détecté. Vous pouvez mettre fin à tout processus de ransomware en cours d’exécution, ou empêcher tout processus de ransomware d’écrire sur le système de fichiers en les isolant.
  • Protéger contre les ransomwares d’enregistrement de démarrage principal : Cette option permet de protéger l’ordinateur contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formattent le disque dur.
  • Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée) : Cette option permet de protéger les navigateurs Web contre toute mauvaise exploitation par des malwares.
  • Limiter les attaques dans les applications vulnérables : Cette option permet de protéger les applications les plus susceptibles d’être attaquées par des malwares. Vous pouvez sélectionner les types d’application à protéger.
  • Paramètres de prévention des Exploits :

    • Empêcher le vol de codes d’accès : empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
    • Empêcher l’utilisation de « Code cave » : détecte le code malveillant qui a été inséré dans une autre application légitime.
    • Empêcher la violation APC : empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
    • Empêcher l’élévation des privilèges : empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes. Nous vous recommandons de tester ces paramètres avant d’appliquer la stratégie à vos serveurs.
  • Protéger les processus : Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez procéder comme suit :

    • Protéger contre les attaques de remplacement de processus (attaques contre les processus creux).
    • Protéger contre le chargement de fichiers .DLL à partir de dossiers non fiables.
  • Activer la surveillance d’exécution du CPU : La détection du code malveillant dans le processeur est une fonction des processeurs Intel permettant de suivre l’activité du processeur à des fins de détection. Cette fonction est compatible avec les processeurs Intel sous les architectures suivantes : Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, et Kaby Lake.

    Nous ne prenons pas en charge cette fonction en cas de présence d’un hyperviseur (légitime) sur l’ordinateur.

  • Détection dynamique de shellcode. Cette option détecte le comportement des agents d’accès à distance malveillants et empêche les cybercriminels de prendre le contrôle de vos réseaux.

  • Valider l’appelant du protocole CTF. Cette option intercepte et bloque les applications qui tentent d’exploiter CTF.

    Une vulnérabilité dans un composant Windows, connu uniquement sous le nom de « CTF », présente dans toutes les versions de Windows XP, permet à un cybercriminel non administratif et non autorisé de détourner tous les processus Windows de son choix, y compris les applications qui s’exécutent dans une « sandbox ».

  • Empêcher le chargement des modules non sécurisés. Cette option empêche une application de charger une DLL malveillante se faisant passer pour une DLL ApiSet Stub.

    Les DLL ApiSet Stub sont des DLL qui servent de proxy pour maintenir la compatibilité entre les anciennes applications et les versions plus récentes du système d’exploitation. Les cybercriminels peuvent placer des DLL ApiSet Stub malveillantes pour manipuler cette fonctionnalité, ou contourner la protection antialtération et désactiver la protection antimalwares.

  • Protéger les cookies de navigateurs utilisés pour la connexion MFA. Cette option empêche les applications non autorisées de déchiffrer la clé AES utilisée pour chiffrer les cookies d’authentification multifacteur (MFA).

  • Détections à l’exécution (runtime) Linux : Vous bénéficiez ainsi d’une visibilité à l’exécution et d’une détection des menaces pour les charges de travail et les conteneurs de serveurs Linux. Vous pouvez gérer ces alertes dans le Centre d’analyse des menaces dans Sophos Central Admin.

    Vous avez besoin d’une licence Intercept X Advanced for Server with XDR ou d’une licence Server MTR pour utiliser cette option.

Deep Learning

Deep Learning utilise l’apprentissage machine avancé pour détecter les menaces. Il identifie les malwares connus et auparavant inconnus ainsi que les applications potentiellement indésirables sans l’aide de signatures.

Correction

  • Activer la création du Graphique de menace : Les dossiers Menace vous permettent d’examiner en profondeur la série d’événements d’une attaque de malware et d’identifier les zones sur lesquelles la sécurité peut être renforcée.