Jamf Executive Threat Protection
Analyse forensique approfondie et respectueuse de la vie privée des activités de menaces mobiles, déployée et gérée par Axtero. Fournissant aux équipes InfoSec et SecOps la visibilité nécessaire pour identifier les attaques 0-day sur les appareils des dirigeants.
L'accès de confiance pour les personnes à haut risque n'est pas complet sans des capacités forensiques détaillées sur les appareils mobiles. Les dirigeants, les membres du conseil d'administration et autres cibles de haute valeur portent des appareils mobiles qui se connectent à des réseaux non fiables, reçoivent des messages d'expéditeurs inconnus et accèdent aux données commerciales les plus sensibles — le tout en dehors de la protection des pare-feu d'entreprise. La plupart des solutions de gestion des appareils mobiles gèrent la configuration et la conformité, mais elles n'ont pas été conçues pour détecter les attaques sophistiquées ciblant des individus spécifiques. L'écart entre la protection des endpoints sur les ordinateurs de bureau et les appareils mobiles représente un angle mort critique pour les organisations soumises aux exigences réglementaires SOC 2, ISO 27001 ou FINMA.
Jamf Executive Threat Protection adopte une approche respectueuse de la vie privée pour obtenir une analyse approfondie des activités de menaces mobiles. Il fournit aux équipes InfoSec et SecOps la visibilité nécessaire pour identifier les attaques 0-day, les mécanismes de persistance et les malwares commerciaux ou étatiques sur les appareils iOS, iPadOS et Android. Axtero déploie et gère JETP en tant que service de sécurité, en prenant en charge la configuration, l'activation et la surveillance continue. La détection des menaces s'applique aux appareils d'entreprise comme aux appareils BYOD.
Détection des risques et des compromissions
JETP comprend une application mobile installée sur les endpoints avec les privilèges nécessaires pour détecter si et quand un appareil a été attaqué, comment l'attaque s'est produite et quel a été l'impact. L'inspection approfondie est effectuée via l'application Threat Protect Connector, installée sur des postes de travail macOS ou Windows, qui permet aux utilisateurs de connecter leur appareil mobile via un câble USB physique pour des analyses complètes. La détection des menaces s'applique aux appareils iOS, iPadOS et Android, qu'ils soient d'entreprise ou BYOD.
Inspections avant et après voyage
En intégrant JETP dans vos workflows d'analyse, les utilisateurs finaux ou les administrateurs peuvent effectuer des vérifications d'appareils mobiles avant et après les déplacements pour déterminer les risques et effectuer la remédiation avant de reconnecter l'appareil au réseau d'entreprise.
Forensique numérique et réponse aux incidents (DFIR)
JETP fournit des capacités avancées d'investigation forensique numérique qui donnent à votre équipe SOC des rapports d'analyste automatisés. Un moteur d'analyse sophistiqué détecte les activités malveillantes et les 0-days basés sur les anomalies, les renseignements sur les menaces connus et inconnus. La solution fournit une analyse automatisée pour effectuer le gros du travail pour les SOC, économisant des mois de travail d'investigation manuelle par appareil. Grâce à sa fonctionnalité d'analyse approfondie, JETP convient aux administrateurs IT, aux équipes InfoSec et aux équipes de recherche internes.
Capacités de renseignement sur les menaces
JETP identifie les attaques sur les appareils mobiles en analysant les logs OS, les logs kernel, les fichiers de diagnostic, les processus et les données au niveau du système d'exploitation, les fichiers et chemins de fichiers, les logs de crash, les fichiers IPS, les applications installées, les logs du gestionnaire WiFi, les logs de l'App Store et les stackshots/spindumps. Il utilise une combinaison d'indicateurs de compromission (IOC) uniques et de techniques de détection comportementale pour identifier les attaques 0-day, 0-click et 1-click, les mécanismes de persistance et les malwares commerciaux ou étatiques.
Respectueux de la vie privée : ne collecte pas les photos, vidéos, e-mails, messages texte, données d'appels, mots de passe, données d'applications, historique de navigation ou contacts
Les IOC au sein de JETP sont curatés par Jamf Threat Labs
Outils d'investigation forensique numérique
JETP prend en charge les investigations forensiques numériques avec des outils pour assister les chercheurs en malware et les équipes SOC.
Threat and Process Explorers : recherche approfondie des menaces avec un moteur de requêtes capable de chercher selon de nombreux attributs sur tous les endpoints JETP de votre organisation
Rules Engine : taguer, mettre en liste blanche ou liste noire différents types d'indicateurs d'attaque (IOA) et d'indicateurs de compromission (IOC) avec des règles complexes basées sur YARA, les identifiants de bundle et les noms de processus
Threat Intelligence : mapper les exploits et vulnérabilités connus aux événements et appareils sur l'ensemble de votre flotte mobile
Options de déploiement
JETP prend en charge plusieurs architectures de déploiement pour répondre aux exigences de sécurité de votre organisation.
Hébergement cloud (recommandé) : mises à jour en temps réel du moteur de règles de menaces et de l'UI, analyse active, collecte de fichiers, notification et remédiation de l'utilisateur final via l'application mobile Threat Protect
Hébergement sur site : toutes les données des endpoints restent dans votre environnement, mises à jour contrôlées par le client, nécessite une mise à jour manuelle du logiciel serveur
Hébergement air-gapped : pour les réseaux totalement isolés d'internet, avec mises à jour manuelles du logiciel serveur
Côté client : application Threat Protect Connector sur postes de travail macOS ou Windows, application mobile Threat Protect sur iOS/iPadOS/Android via MDM ou installation manuelle
L'activation de l'application mobile nécessite une connexion physique à l'application Threat Protect Connector sur un ordinateur hôte
Fonctionnalités
Détection d'attaques 0-day, 0-click et 1-click
Inspection approfondie des appareils via analyses par câble USB physique
Rapports d'analyste DFIR automatisés pour les équipes SOC
Inspections d'appareils avant et après voyage
Détection comportementale et renseignement sur les menaces basé sur les IOC
Threat and Process Explorers pour la recherche approfondie de menaces
Rules Engine avec support YARA, identifiants de bundle et noms de processus
Respectueux de la vie privée : aucune collecte de données personnelles
Options de déploiement cloud, sur site et air-gapped
Prise en charge des appareils d'entreprise et BYOD
