alphaspirit - Fotolia
Vectra continue d'étendre les capacités d'intégration de son moteur d'analyse
Le spécialiste de l'analytique de sécurité annonce parallèlement l'ouverture d'un centre de recherche et développement à Dublin. Il indique mettre l'accent sur une rentabilité qu'il voit comme préalable à une éventuelle entrée en bourse.
Vectra Networks vient d’annoncer l’intégration de Cognito, son moteur d’analyse d’événements de sécurité, avec les outils de CrowdStrike. De quoi permettre de couvrir l’environnement de manière complète, en intégration activités réseau et activités sur les points de terminaison, les hôtes du système d’information.
Vectra poursuit l’extension du périmètre supporté par Cognito. Il supportait déjà l’intégration avec Carbon Black, sait détecter les comportements d’attaque visant les protocoles LDAP et Kerberos, et peut assurer un premier niveau de corrélation automatique avec les menaces connues, en s’alimentant sur des flux de renseignement sur les menaces.
Le réseau, source de vérité
Lors d’un entretien téléphonique, Hitesh Sheth, Pdg de Vectra Networks, reconnaît que l’idée consistant à combiner réseau et hôtes pour protéger le système d’information de manière globale « n’est pas nouvelle ». A la création de l’entreprise, la question des sources de données à analyser s’est naturellement posée – « nous aurions pu être un éditeur de plus sur le poste de travail, utiliser les journaux d’activité, ou encore le réseau ».
Mais pour lui et ses collègues, « le réseau est la source de données la plus pure. Toute attaque passe sur le réseau à un moment ou un autre, d’où qu’elle vienne ». Et au-delà des signatures pour les menaces connues, « la vérité est toujours là, dans les entêtes des paquets. Les protocoles donnent tous des indications sur le comportement de l’attaquant. On voit toujours l’attaque, même si le contenu est chiffré. Et il n’est pas nécessaire de faire courir un risque à la confidentialité des données ».
Ajouter du contexte
D’où le choix de se concentrer sur le réseau. Et cela à plus forte raison dans la perspective des objets connectés où déployer un agent n’est pas toujours possible. Pour autant, « certains clients ont beaucoup investi dans des technologies de protection de leurs autres. Il est donc pertinent de leur offrir des capacités d’intégration ».
Et cela vaut aussi au-delà, avec les systèmes de gestion des informations et des événements de sécurité (SIEM), les pare-feu, etc. Car « vous ne pouvez pas être une start-up et vous présenter à des prospects de grande taille, avec des workflows bien établis, sans reconnaître les investissements qu’ils ont déjà consentis ». Mais alimenter Cognito auprès d’autres sources présente des avantages supplémentaires : « cela donne du contexte ».
Au final, Hitesh Sheth revendique être « agnostique » des sources de données, ainsi que des systèmes de gestion de la réponse et de la remédiation. A l’automne dernier, Vectra avait d’ailleurs annoncé une intégration avec Phantom Cyber, qui vient d’être racheté par Splunk. Cognito peut s’intégrer avec ce dernier. Mais il supporte également Demisto.
Vers une introduction en bourse ?
Cette annonce survient tout juste après celle d’une levée de fonds de 36 M$ auprès, notamment, de Wipro Ventures, d’Atlantic Bridge, ou encore du fonds d’investissement stratégique irlandais. Vectra Networks ouvre d’ailleurs un nouveau centre de recherche et développement à Dublin.
Hitesh Sheth souligne la dimension internationale de cette levée de fonds, voulue pour aider à l’accélération de son développement en dehors des Etats-Unis. Selon lui, l’Europe représente déjà plus d’un tiers de son chiffre d’affaires. Et c’est avec cette dimension « critique » de l’Europe qu’il justifie l’ouverture du centre de R&D de Dublin.
Enfin, Hitesh Sheth insiste sur des ambitions de rentabilité, soulignant que disposer de flux de trésorerie positifs est « clé pour être coté en bourse : lorsque vous choisissez de faire cela, vous ne pouvez pas vous contenter d’être une machine à bruler l’argent ».