Nmedia - Fotolia
Avec Secdo, Palo Alto Networks se renforce dans la réponse aux incidents
Ce rachat doit permettre à l’équipementier de compléter Traps, sa solution de protection des postes de travail, avec une couche d’automatisation des processus de sécurité opérationnelle, au-delà de l’EDR.
Palo Alto Networks vient d’annoncerle rachat de Secdo. Mais pour laconique qu’il soit, le texte n’en est pas moins clair sur le potentiel de l’opération : il s’agit d’intégrer la technologie de Secdo avec Traps, la solution de protection du poste de travail de l’équipementier (EPP), et alimenter des applications d’aider à la détection des attaques, au suivi des attaquants, et à la remédiation, avec des données qui se veulent plus riches que celles fournies par des solutions d’EDR (détection et remédiation sur le point de terminaison) traditionnelles.
Car Gil Barak, directeur technique et co-fondateur de Secdo, se positionne clairement comme un concurrent de Carbon Black, CrowdStrike, Tanium ou encore Cybereason, en voulantproposer une solution de réponse à incident de bout en bout, centrée sur le point de terminaison – Windows, macOS et Linux. Car Secdo revendique apporter des réponses pour les processus clé du centre opérationnel de sécurité (SOC) : triage des événements, avec un moteur de corrélation, enquête, puis remédiation.
Cela commence par un suivi en continu de ce qui se passe sur les points de terminaison, pour automatiser l’investigation : environ 5 Mo de données de télémétrie quotidiennes, par hôte surveillé, « les événements comportementaux de base nécessaires pour l’enquête » - stockés avec 100 jours d’historique.
Pour l’investigation, Secdo propose un moteur analytique chargé de reconstruire la chaîne de causalité. Et à cela s’ajoute un centre de réponse, doté de plus d’une centaine de fonctionnalités intégrées de réaction/remédiation/confinement, sans utiliser de tiers. Sur le papier, la boucle apparaît ainsi bouclée.
La plateforme de Secdo peut aussi tirer profit de sources externes d’informations sur les événements de sécurité comme les SIEM, mais également les pare-feu, via des interfaces bi-directionnelles pour la remédiation, après consolidation et corrélation des alertes par son propre moteur d’analyse. En tenant compte, en plus d’indicateurs de compromission classiques comme des signatures, d’indicateurs liés à des comportements susceptibles de trahir des activités malveillantes. Et l’on pense là aux apports que pourraient lui fournir la technologie de LightCyber, centrée l’analyse comportementale à base d’apprentissage automatique, rachetée l’an dernière et depuis proposée comme une application activable à la demande.
La complémentarité avec un Traps – aujourd’hui en version 5.0, mais considérée comme une alternative crédible à l’antivirusdepuis sa version 4.0 – apparaît donc là évidente. Et ce rapprochement s’inscrit naturellement dans une tendance plus profonde du marché à la consolidation entre EPP et EDR.