Dans le paysage des menaces actuel, l’email reste le principal vecteur d’attaque et est responsable de plus de 90 % des cyberattaques fructueuses. Face à la sophistication et au volume croissants des menaces diffusées par ce canal, les centres d’opérations de sécurité (SOC) doivent analyser et répondre aux incidents plus rapidement que jamais. Même avec une fonction de détection efficace, le nombre d’alertes et d’étapes qu’impliquent les investigations peut ralentir les temps de réponse et accaparer des ressources déjà limitées. Il s’ensuit une baisse de vigilance et un risque accru de passer à côté de certaines menaces.
Proofpoint a la réponse au problème.
Nous vous invitons à découvrir Proofpoint Threat Protection Workbench, une console moderne destinée aux analystes, incluse dans la solution Proofpoint Core Email Protection. Elle aide les équipes SOC à accélérer les investigations et la neutralisation des menaces diffusées par email, au moyen d’une interface conviviale unique. En regroupant en une seule expérience les informations de Proofpoint Nexus, l’analyse des messages et des expéditeurs ainsi que les actions de correction, nous offrons aux équipes SOC une visibilité approfondie, mais aussi la capacité de détecter et de répondre plus rapidement. Et ce, à partir d’un outil centralisé.
Un outil conçu pour les SOC modernes
Pour les clients Proofpoint Core Email Protection, Proofpoint Threat Protection Workbench offre une nouvelle approche du fonctionnement des équipes SOC. Dès la connexion, les analystes découvrent une interface utilisateur intuitive et conçue à leur intention, adaptée à leurs tâches quotidiennes. Qu’ils répondent à une alerte de phishing à haut risque, évaluent un expéditeur suspect ou examinent une campagne d’attaques de plus grande envergure, ils disposent de tous les éléments nécessaires au sein d’une vue unifiée.
Proofpoint Threat Protection Workbench offre plusieurs avantages :
- Investigations optimisées. Toutes les données et actions de correction pertinentes étant rassemblées dans une seule interface, les analystes peuvent examiner les menaces, prendre des décisions et appliquer les mesures qui s’imposent dans des délais très brefs.
- Réponse aux incidents plus rapide. Les analystes peuvent identifier les menaces rapidement, ce qui réduit les temps de réponse en cas d’incident de sécurité.
- Décisions plus avisées. Grâce à la contextualisation des données comportementales, de la threat intelligence et de l’analyse de l’expéditeur, les analystes sont en mesure de comprendre rapidement la menace et de répondre avec assurance.
Examen d’un email suspect
Nous sommes lundi matin et un analyste SOC reçoit une alerte : un assistant de direction de l’entreprise signale ne pas avoir reçu un email d’un fournisseur connu. En temps normal, il s’agirait d’un contrôle de routine. L’analyste soupçonne que le message a été placé en quarantaine et doit déterminer s’il s’agit d’un faux positif ou d’un problème plus sérieux.
L’analyste se connecte à Proofpoint Threat Protection Workbench et commence son investigation.
Étape 1. Recherche et investigation électronique rapides
À l’aide de la barre de recherche, l’analyste saisit les données de l’expéditeur et du destinataire, recherche le message et constate qu’il est bloqué. En un clic, il ouvre la vue Message Analysis (Analyse du message) et repère immédiatement des éléments suspects.
L’adresse de réponse (reply-to) est « quantumlleap.com », avec deux lettres l : c’est donc un domaine similaire, avec une variante orthographique subtile, peu évidente à repérer. Le corps du message comprend un lien qui a déjà été marqué comme malveillant par Proofpoint Nexus. Il ne s’agit donc pas d’un simple email dont la remise a été retardée, mais bien d’une compromission potentielle.
Vue consolidée d’un message dans Proofpoint Threat Protection Workbench
Étape 2. Informations optimisées par l’IA
Ensuite, l’analyste accède à la section Email Insights (Détails du message) de Proofpoint Nexus. Immédiatement, cette plate-forme Proofpoint complète de threat intelligence optimisée par l’IA, l’apprentissage automatique et une threat intelligence en temps réel identifie les tactiques sous-jacentes à l’attaque. En l’occurrence, une adresse de réponse manipulée, un domaine qui vient d’être enregistré en Chine et des tendances d’envoi suspectes.
Le plus remarquable ? L’outil offre un résumé clair et facile à comprendre, optimisé par Nexus Generative AI. En quelques lignes, il indique à l’analyste tout ce qu’il doit savoir. Il s’agit d’une tentative de phishing d’identifiants de connexion qui cible des utilisateurs internes.
Vue des informations de Proofpoint Nexus Threat Intelligence dans la console Proofpoint Threat Protection Workbench
Étape 3. Analyse approfondie rapide
À partir du même écran, l’analyste explore la vue Email Threats (Menaces email) Le verdict est clair : phishing d’identifiants de connexion, de gravité moyenne, avec deux utilisateurs qui ont essayé de cliquer sur le lien malveillant mais qui ont été bloqués au niveau du navigateur.
Pas besoin d’essayer de deviner les objectifs de l’attaque. Et si une analyse plus approfondie s’avère nécessaire, l’analyste peut ouvrir le lien en toute sécurité dans Proofpoint Browser Isolation, sans risque pour son système ou pour le réseau d’entreprise.
Vue analytique détaillée de la menace dans Proofpoint Threat Protection Workbench
Étape 4. Confirmation rapide de la menace
Pour boucler la boucle, l’analyste clique sur l’onglet Sender Analysis (Analyse de l’expéditeur). La situation se clarifie davantage. Proofpoint met en évidence le domaine similaire, quantumlleap.com, et le compare au domaine légitime du fournisseur. Non seulement les deux noms de domaine se ressemblent fortement, mais le domaine de l’attaque a été enregistré très récemment, un indice courant d’intention malveillante. La console montre les interactions passées avec les deux domaines, afin que l’analyste puisse déterminer lequel des deux est le domaine de confiance, et lequel est suspect. Il existe une preuve évidente d’usurpation de compte, et l’historique d’activité du domaine étaie cette conclusion.
Vue de l’examen de l’expéditeur dans Proofpoint Threat Protection Workbench
Étape 5. Action instantanée
À présent que l’analyste dispose de tous les éléments d’information pertinents, le moment est venu d’agir. Contrairement aux autres outils, il n’est pas nécessaire de basculer vers une autre console ou d’attendre l’intervention d’une autre équipe.
À partir de la même vue unifiée, l’analyste peut lancer des actions de neutralisation en un clic, telles que :
- Bloquer un domaine similaire pour empêcher les envois ultérieurs
- Ajouter une URL malveillante à une liste de blocage
- Ajouter un hachage de fichier malveillant à une liste de blocage
- Soumettre un faux négatif pour une analyse plus poussée
Vue des actions de neutralisation des menaces dans Proofpoint Threat Protection Workbench
Moins d’efforts et plus d’informations pour des résultats concrets
Voici à quoi devraient ressembler les opérations de sécurité modernes.
Proofpoint Threat Protection Workbench accélère les investigations et la neutralisation des menaces grâce aux éléments suivants :
- Workflows intégrés basés sur des alertes et des recherches
- 50 % de clics en moins pour réaliser et clôturer une investigation
- 90 % de temps en moins pour résumer la threat intelligence avec Nexus Generative AI
Toutes les opérations sont réalisées dans le cadre d’une expérience SOC rationalisée unique. Plus besoin de basculer entre différents outils. Ni de se lancer dans des conjectures et des suppositions. Mais des résultats plus rapides.
Que vous soyez déjà un client Proofpoint ou que vous envisagiez d’adopter Proofpoint Core Email Protection, la console Proofpoint Threat Protection Workbench témoigne de notre volonté d’évoluer en accord avec les besoins des équipes SOC modernes.
Pour en savoir plus sur la façon dont Proofpoint Core Email Protection protège vos utilisateurs et votre entreprise, téléchargez notre fiche solution.
