Tout comprendre à Jamf Mobile Forensics.

Défendre les utilisateurs à haut risque

Logiciels espions mercenaires, exploitations zéro-clic, menaces persistantes avancées (APT) et attaques d’États voyous... Un large éventail d’attaques sophistiquées cible les utilisateurs en fonction de leur identité, de leurs fonctions ou des données auxquelles ils ont accès. Comme l’exécution de ce type d’attaques nécessite des ressources et des fonds importants, elles ciblent plus souvent des utilisateurs et des organisations à haut risque.

Apple et Google informent les utilisateurs des attaques potentielles de logiciels espions et publient des conseils pour « les journalistes, les activistes, les politiciens et les diplomates qui ont reçu des notifications de menace ». Selon la CISA, les fonctionnaires et les responsables politiques sont régulièrement ciblés. Quant au NCSC britannique, il vous considère comme une personne à haut risque « si, du fait de votre travail ou de votre statut public, vous avez accès à des informations sensibles qui pourraient intéresser des acteurs au service d’États voyous, ou exercez une influence sur ces informations ».

Mais ces menaces ne concernent pas seulement les employés qui ont des liens avec un gouvernement, les médias ou la politique. Les organisations de nombreux secteurs (technologies, logistique et transports, ressources naturelles, pétrole et gaz, fabrication, services financiers, etc.) sont vulnérables en raison des données de grande valeur détenues par leurs utilisateurs ou du lieu où elles exercent leurs activités.

Pour débusquer les attaques sophistiquées et garantir l’intégrité des appareils mobiles de leur parc, les équipes de sécurité, les SOC et les services d’enquête criminalistique ont besoin d’informations détaillées et d’analyses approfondies sur les appareils.

C’est là qu’intervient Jamf Mobile Forensics.

Jamf Mobile Forensics.

Jamf Mobile Forensics comble les lacunes qui nuisent à la détection, à l’exploration et à l’analyse des attaques sophistiquées ciblant les appareils mobiles. Ses capacités de renseignement sur les menaces et d’analyse automatisée allègent la charge des équipes de sécurité. En dopant l’efficacité des enquêtes criminalistiques numériques, elles permettent aux équipes de passer plus rapidement aux étapes d’atténuation et de remédiation.

Comment fonctionne Jamf Mobile Forensics ?

Jamf Mobile Forensics associe la collecte automatisée de logs détaillés à une expérience utilisateur conviviale pour simplifier le processus d’analyse, faciliter l’interprétation des attaques sophistiquées et aider les équipes de sécurité à répondre rapidement. Le moteur de règles de Jamf Mobile Forensics bénéficie de la technologie d’analyse comportementale exclusive de Jamf Threat Labs. Il analyse automatiquement chaque scan en s’appuyant sur des renseignements connus, des anomalies et des comportements suspects, afin de détecter les activités malveillantes et les menaces « zero-day ».

Les équipes de sécurité peuvent alors :

• Identifier les attaques « zéro clic », « en un clic » et APT avant qu’elles ne pénètrent dans le réseau.

• Intercepter les exploitations et les entités inconnues qui échappent aux contrôles de sécurité

• Analyser les indicateurs de compromission (IoC) pour identifier les activités malveillantes.

• Détecter les logiciels espions mercenaires et les menaces avancées et y répondre sans exposer d’IPI

Analyse des appareils des utilisateurs finaux

L’analyse des appareils informe les équipes des attaques, de leur déroulement et de leur impact. Les analyses effectuées avec Jamf Mobile Forensics aboutissent en quelques minutes au lieu de plusieurs semaines.

Pour les utilisateurs finaux, Jamf Mobile Forensics s’accompagne d’une application mobile appelée Threat Protect qui analyse préventivement les appareils à des intervalles définis par l’organisation. Cette app aide les équipes de sécurité à vérifier l’intégrité des appareils en continu, sans perturber les utilisateurs ni exposer les IPI. Pour réaliser ses inspections, l’application collecte et analyse de nombreuses données télémétriques des points de terminaison : journaux système, journaux de noyau, certificats, rapports de plantage, logiciels et autres. Cette richesse de renseignements lui permet de détecter les menaces connues et inconnues.

Pour se conformer aux workflows et aux bonnes pratiques de l’organisation, l’outil propose également une option d’inspection filaire (généralement pour les clients sur site). Cela permet d’analyser un appareil mobile en le connectant directement à un ordinateur (un Mac, par exemple).

La collecte de journaux exclut toutes les IPI : mots de passe, photos et vidéos, messages texte (iMessage inclus), contacts, données d’appel, données d’applications, etc.

Conseils d’experts et renseignements

Jamf Mobile Forensics bénéficie de l’appui de Jamf Threat Labs, notre équipe interne de chercheurs, d’analystes et d’ingénieurs en sécurité. L’équipe publie régulièrement des recherches sur les logiciels malveillants mobiles avancés et les techniques d’attaque sophistiquées. Elle travaille également au développement et à l’amélioration continue du moteur de règles de Jamf Mobile Forensics.

Simplifier les workflows d’analyse criminalistique

Les équipes de sécurité qui utilisent Jamf Mobile Forensics ont toutes les cartes en main pour détecter les menaces et mener des analyses criminalistiques :

• Centre des opérations de sécurité : regroupez automatiquement les événements en incidents pour simplifier les workflows. Les équipes surveillent et protègent l’ensemble de leur parc contre les attaques avancées, en corrélant les incidents survenus à différents moments et en exploitant des informations contextuelles sur les incidents.

• Moteur de règles : balisez, autorisez ou bloquez différents types d’indicateurs d’attaques et de compromission. Vous pouvez élaborer des règles complexes sur la base de nombreux attributs : YARA, identificateurs de lots, noms de processus, etc.

• Analyse IA : profitez de l’aide d’un assistant IA qui allège les recherches manuelles nécessaires à l’analyse des pannes d’appareils et des anomalies. Il délivre rapidement aux équipes des renseignements experts sur les compromissions potentielles des appareils. Par exemple, si un appareil semble faire l’objet d’une attaque ciblée et à distance visant une application, l’analyse IA délivre un résumé complet de l’incident. Elle détaille les comportements inhabituels de l’application, précise si l’appareil a été piraté ou si du code a été exécuté, et émet des recommandations pour les prochaines étapes.

• Déploiement MDM : simplifiez le déploiement des applications mobiles sur les appareils iOS, iPadOS et Android, qu’ils appartiennent à l’entreprise ou aux utilisateurs en BYOD.

• Intégrations : exploitez de puissantes API pour intégrer l’outil à votre SIEM/SOAR, à vos IdP, à vos solutions MDM et bien d’autres systèmes.

Principaux scénarios d’utilisation de Jamf Mobile Forensics

Avant et après un déplacement
Les collaborateurs qui se rendent dans des pays où le risque d’espionnage est élevé ont besoin d’un outil d’analyse rapide et approfondi pour évaluer le risque, rechercher des indicateurs de compromission et réagir aux menaces avant que les dommages ne s’étendent. Les organisations gouvernementales, notamment, doivent protéger des employés à haut risque dans le monde entier et sont confrontées à un large éventail de menaces.

Criminalistique numérique et réponse aux incidents
Analysez les appareils pour évaluer rapidement leur intégrité, mettre au jour les anomalies et prendre des mesures de confinement, tout cela quelques minutes.

Recherche des menaces mobiles
Analysez préventivement les appareils iOS et Android pour inspecter les journaux (y compris au niveau du système d’exploitation), rechercher des indicateurs de compromission ou rédiger des règles pour détecter les attaques avant qu’elles ne fassent des dommages.

Quelle est la différence entre Jamf Mobile Forensics et Jamf for Mobile ?

Jamf for Mobile est notre plateforme fondamentale pour les mobiles : elle combine la gestion et la conformité des appareils mobiles, la sécurité (protection contre l’hameçonnage, surveillance des risques liés aux applications, filtrage des contenus web, etc.) et l’accès sécurisé aux applications. Les organisations choisissent Jamf for Mobile pour déployer des scénarios de mobilité à grande échelle, avec une solution qui donne la priorité à l’expérience utilisateur, s’intègre à l’infrastructure informatique et étend les workflows de l’entreprise.

Jamf Mobile Forensics fournit une couche supplémentaire de criminalistique avancée afin de défendre les utilisateurs à haut risque face aux attaques ciblées. Il est conçu pour explorer les comportements anormaux, les activités suspectes et les menaces avancées qui touchent les appareils mobiles.

Contre quels types de menaces avancées est-ce que Jamf Mobile Forensics offre une protection ?

• Logiciels espions mercenaires : conçus pour mener des attaques ciblées, ces outils d’espionnage commerciaux – Predator, Pegasus, Graphite, Spyrtacus et autres – s’infiltrent dans les appareils iOS et Android en exploitant des vulnérabilités.

• Menaces persistantes avancées (APT) : selon la CISA, « les acteurs APT disposent de ressources importantes et se livrent à une cyberactivité malveillante sophistiquée et ciblée dans le but de s’introduire durablement dans le réseau ou le système ». Ces types d’attaques échappent souvent aux mécanismes de défense initiaux et peuvent persister longuement sur un appareil.

• Attaques d’États voyous : menées par des acteurs gouvernementaux, ces attaques s’appuient principalement sur des APT et des logiciels espions mercenaires.

• Attaques « zéro clic » : utilisées par des acteurs malveillants pour infecter des appareils mobiles sans aucune interaction de l’utilisateur. Les exploitations « zéro clic » et les attaques basées sur le réseau sont des tactiques courantes dans les campagnes d’espionnage mercenaires.

Les défis de la criminalistique sur mobile

• Visibilité des appareils : les outils de sécurité fondamentaux, comme la gestion des points de terminaison, la défense contre les menaces mobiles et le VPN/ZTNA, empêchent les attaques courantes. Pour autant, ils ne disposent pas des données détaillées et des capacités d’analyse nécessaires pour détecter les menaces avancées.

• Analyse criminalistique manuelle : Le recrutement d’un consultant externe en criminalistique mobilise des connaissances spécifiques, coûte cher et peut entraîner l’exposition d’informations confidentielles.

• Appareils « jetables » : outre leur expérience utilisateur médiocre, ils encouragent l’achat de matériel superflu et l’informatique de l’ombre.

Chez Jamf, l’utilisateur est notre priorité, surtout lorsqu’il est exposé à des attaques ciblées.