Partner Blog

Attaques Living-Off-the-Land : Un Défi pour la Détection et la Réponse dans les Services Gérés Couvert par WatchGuard Advanced EPDR

Dans le domaine de la cybersécurité, les attaques Living-off-the-land (LotL) représentent un défi significatif, en particulier pour les fournisseurs de services gérés responsables de la sécurité de leurs clients. Ces attaques, qui utilisent des outils et fonctionnalités légitimes du système au lieu de logiciels malveillants traditionnels, nécessitent une stratégie sophistiquée de détection et de réponse.

Le Rôle Critique des Partenaires Avancés dans la Détection des Attaques LotL

En tant que partenaire avancé, votre rôle dans la défense contre les attaques LotL est crucial. Ces attaques sont difficiles à détecter, car elles n'impliquent pas l'introduction de fichiers malveillants dans les systèmes de vos clients, qui auraient été bloqués par le Zero-Trust Application Service présent dans WatchGuard EDR, EPDR et Advanced EPDR. Au lieu de cela, les attaquants utilisent des outils natifs tels que PowerShell, WMI et les macros d'Office pour effectuer des activités malveillantes sans éveiller les soupçons.

Comment WatchGuard Advanced EPDR Facilite la Détection et la Réponse aux Attaques LotL

WatchGuard Advanced EPDR est conçu pour fournir aux partenaires les outils nécessaires pour détecter et répondre efficacement aux attaques LotL. Grâce à l'accès à une télémétrie enrichie et des capacités avancées d'analyse comportementale, WatchGuard Advanced EPDR identifie les activités suspectes mappées aux tactiques et techniques du cadre MITRE ATT&CK, même lorsque les attaquants tentent de se cacher en utilisant des techniques LotL. Cela aide les analystes à identifier rapidement le cours des actions lors d'une attaque.

Stratégies Spécifiques pour les Partenaires Avancés Fournissant des Services de Sécurité Gérés

  • Mise en Œuvre de Politiques de Contrôle des Applications : En tant que partenaire, vous pouvez configurer des politiques de contrôle des applications qui restreignent l'utilisation d'outils comme PowerShell ou WMI aux utilisateurs autorisés. Cela aide à minimiser le risque que les attaquants abusent de ces outils pour compromettre les systèmes de vos clients.
  • Surveillance et Enquête en Temps Réel : La nouvelle version de WatchGuard Advanced EPDR permet aux analystes de sécurité d'accéder à une télémétrie enrichie avec des renseignements sur les menaces à partir d'une console centralisée dans le cloud pour enquêter sur un IoA (Indicateur d'Attaque) critique détecté dans les environnements de vos clients.
    Cette fonctionnalité est essentielle pour détecter rapidement les schémas de comportement typiques des attaques LotL, avec des informations sur les tactiques et techniques MITRE ATT&CK, telles que l'exécution de scripts sans fichier dans PowerShell ou l'utilisation de WMI pour exécuter des commandes à distance.
  • Enquête Étendue et Réponse Rapide via Shell à Distance sur Toutes les Plates-formes : La nouvelle version de WatchGuard Advanced EPDR inclut la capacité d'ouvrir un shell à distance pour obtenir des fichiers, inspecter des processus et même prendre des mesures directes sur l'endpoint, qu'il s'agisse de Windows, Linux ou macOS.
  • Segmentation du Réseau et Contrôle des Connexions : En plus de la segmentation mise en œuvre au sein du réseau, WatchGuard Advanced EPDR vous permet de bloquer les connexions provenant d'endpoints non conformes qui représentent un risque pour les endpoints protégés. Cela renforce encore davantage la posture de sécurité globale de vos clients, en empêchant les attaquants de se déplacer latéralement au sein du réseau.
  • Formation Continue et Sensibilisation : Une partie cruciale de votre stratégie en tant que partenaire est de garantir que les utilisateurs finaux sont bien formés aux risques des macros et à l'utilisation sécurisée des outils administratifs. La formation continue peut prévenir l'exécution involontaire de scripts malveillants par les employés, ce qui pourrait compromettre la sécurité de toute l'organisation.

Avantages pour Vos Clients Utilisant WatchGuard Advanced EPDR

En utilisant WatchGuard Advanced EPDR dans le cadre de vos services gérés, vous offrez à vos clients une solution robuste qui, grâce au Zero-Trust Application Service, non seulement détecte et bloque les attaques à l'aide d'applications non fiables, mais équipe également votre équipe pour faire face à des techniques d'attaque avancées comme LotL. Vos clients peuvent être assurés que vos services de sécurité gérés protègent leurs systèmes contre les menaces les plus furtives et dangereuses.

Conclusion

Les attaques Living-off-the-land représentent un défi unique qui nécessite une combinaison de technologies avancées et de surveillance continue. En tant que partenaire avancé, vous avez la responsabilité et l'opportunité de protéger vos clients contre ces menaces en utilisant des solutions comme WatchGuard Advanced EPDR. En intégrant ces capacités dans vos services gérés, vous pouvez offrir une protection supérieure et une réponse rapide aux incidents, renforçant la confiance des clients dans vos services.