Sophos réunit la sécurité des terminaux, du réseau, de l’identité, de la messagerie et du cloud dans un système unique : Fusion. La plateforme utilise une couche partagée de données et d’IA pour détecter et traiter les incidents plus rapidement.
Sophos arrive avec une nouvelle technologie de sécurité. Fusion doit apporter une réponse à un paysage de la sécurité de plus en plus complexe, explique le PDG Joe Levy lors d’un point de presse. « Les organisations disposent de trop d’outils de sécurité, 45 en moyenne. Les dépenses mondiales en technologies de sécurité augmentent, mais n’entraînent pas une meilleure sécurité. Les fournisseurs tentent de consolider, mais ne s’intègrent pas entre eux. »
Le fait qu’il existe une offre excédentaire de technologies de sécurité et qu’aucune plateforme ne puisse couvrir l’ensemble du spectre est un refrain que l’on entend depuis longtemps. Sophos n’est certainement pas non plus le premier fournisseur à prétendre être le seul à pouvoir le faire. Selon l’entreprise, Fusion n’est pas une plateforme de plus, mais un « système de sécurité » complet et intégré où convergent les différents niveaux.
Contexte partagé pour une réponse plus rapide
Sophos Fusion est le successeur de Sophos Central. Fusion collecte les signaux des points de contrôle en temps réel dans une couche de données partagée unique, où des agents d’IA sont prêts à passer à l’action. « L’IA n’est pas une fonctionnalité, mais l’architecture qui relie tout », déclare Chief Product Officer Raja Patel. Les détections sur un terminal peuvent ainsi déclencher des actions dans la sécurité du pare-feu, du cloud, de la messagerie ou de l’identité. La plateforme fonctionne aussi bien avec les produits Sophos qu’avec les outils d’autres fournisseurs.
Plus de 500 intégrations externes peuvent envoyer des données au système. Sophos affirme que les organisations peuvent ainsi conserver leurs outils existants de terminaux, de pare-feu et d’identité, tout en les intégrant simultanément dans une défense plus large. Les analystes déterminent les limites à l’intérieur desquelles les agents d’IA enquêtent et réagissent. « Les humains ne doivent pas être in the loop (dans la boucle), mais on the loop (sur la boucle). Sans contrôle humain, vous détruisez la responsabilité », ajoute Patel.
Sophos utilise également cette technologie dans son propre SOC. Selon l’entreprise, l’IA traite entièrement 52 % des incidents. Le temps moyen entre une alerte et une réponse complète y est de 89 secondes, réparti sur plus de 40 000 clients.
Extensions
Sophos publiera une première version de Fusion à partir d’août, bien qu’elle ne contienne pas encore toutes les capacités. Entre août et octobre, Sophos ajoutera progressivement de nouvelles fonctions. Celles-ci incluent notamment le « Next-Gen SIEM », un MDR plus étendu et un XDR reconstruit sur la base de Secureworks Taegis.
Un aperçu de ce que Sophos prévoit encore d’ajouter à Fusion :
- Next-Gen SIEM offre une conservation des données à long terme, des rapports de conformité et des analyses. Sophos lie le prix aux utilisateurs et aux serveurs, et non au volume de données. Les organisations pourraient ainsi saisir toute la télémétrie sans que les coûts n’augmentent en raison de volumes de données plus importants.
- Sophos MDR bénéficie d’une chasse aux menaces permanente avec le soutien de l’équipe de recherche X-Ops. Le service peut réagir via le terminal, le pare-feu, le cloud, la messagerie et l’identité. Sophos s’adresse ainsi aux entreprises qui ne veulent pas ou ne peuvent pas mettre en place leur propre SOC.
- Sophos XDR bénéficie de milliers de détecteurs, d’une automatisation avec des scénarios et d’un nouvel environnement pour les analystes.
- AI Defense apparaîtra d’abord en version préliminaire et sera plus largement disponible à partir d’octobre. Le service doit donner une visibilité sur les outils d’IA utilisés, y compris l’utilisation non autorisée de l’IA, et aider les organisations à appliquer des politiques et à protéger les données.
- CISO Advantage combine la validation des contrôles, les liens de conformité, les comparaisons avec d’autres organisations et les évaluations des risques. Sophos s’adresse ainsi également aux organisations sans CISO propre et aux fournisseurs de services gérés.
Une plateforme unique pour les partenaires
Pour les partenaires, Fusion regroupe des produits individuels dans un système unique pour la vente et la gestion. Sophos s’attend à ce que les fournisseurs de services gérés puissent ainsi proposer, outre des services techniques, des conseils sur les risques et les politiques de sécurité.
Les informations partagées sur les menaces doivent en outre profiter à chaque client connecté lorsque Sophos remarque une attaque ailleurs. La question de savoir si Fusion réussira réellement à réduire la complexité et le nombre d’outils de sécurité dans les organisations ne deviendra claire que lorsque le système atteindra sa pleine capacité.
L’identité comme plus grande vulnérabilité
En marge du lancement de Sophos Fusion, l’entreprise partage également son dernier rapport sur les ransomwares. Il n’est pas surprenant de constater que les ransomwares restent l’un des plus grands dangers pour les organisations. Mais la manière dont les attaquants mènent les attaques par ransomware a changé.
79 % des attaques par ransomware commencent par des identités piratées, constate Sophos. Les vulnérabilités logicielles ne sont plus le vecteur le plus courant pour les ransomwares : le phishing prend le relais. « Les humains sont exploités au moins aussi souvent que les logiciels », explique le chercheur de Sophos Alex Rose pour justifier ce changement.
La MFA s’est avérée insuffisante dans de nombreux cas pour stopper les attaques, ce qui montre que la MFA seule ne suffit pas à assurer la sécurité de votre organisation. L’identité doit devenir une composante centrale de la sécurité.
Des dépenses plus élevées en sécurité ne mènent pas à une meilleure sécurité.
Joe Levy, PDG de Sophos
Mesure préventive
Il y a aussi des nouvelles positives, car les organisations progressent dans leur capacité à se remettre des attaques. Plus de la moitié (55 %) des organisations peuvent reprendre leurs activités après une semaine, 16 % même après une journée seulement. L’importance des sauvegardes semble s’être progressivement imposée dans le monde de l’entreprise. Les grandes entreprises restent toutefois plus efficaces pour stopper les attaques et s’en remettre que les petites entreprises.
Qu’elles soient ou non renforcées par des sauvegardes, les entreprises se montrent également plus affirmées dans les négociations après une attaque. 48 % des entreprises acceptent les exigences des attaquants. Cela semble encore beaucoup, mais c’est le deuxième pourcentage le plus bas au cours des sept années où Sophos a mené son étude. 51 % réussissent à faire baisser la rançon. La demande de rançon médiane a chuté de 65 % en deux ans, ce qui signifie que les criminels visent également moins haut.
« L’impact des ransomwares reste élevé et s’accélère avec l’IA. Les attaques ne sont pas isolées et se déroulent sur plusieurs niveaux. Les entreprises sont également préoccupées par leur chaîne d’approvisionnement, car elles ne peuvent pas la contrôler. La technologie de sécurité doit voir l’ensemble et agir en conséquence, au lieu de fonctionner de manière fragmentée », conclut Rose.
