Détection et remédiation sur le terminal, vedette discrète de RSA Conference

Les spécialistes de la protection du système d’information au niveau des postes de travail profitent de RSA Conference pour présenter leurs dernières nouveautés.

Entre gestion du renseignement sur les menaces, technologies d’automatisation des défenses et brokers d’accès cloud sécurisé, la protection du poste de travail passerait presque inaperçue. Elle compte pourtant parmi les sujets majeurs de cette édition 2016 de RSA Conference au travers des solutions de détection et de remédiation sur le terminal (Endpoint Detection and Response, ou EDR)

Cybereason, l’un des finalistes de l’Innovation Sandbox de RSA Conference 2015, aux côtés de SentinelOne, vient ainsi d’annoncer le renforcement de son offre d’EDR avec l’intégration des flux de renseignement sur les menaces de Lockheed Martin. Tanium, qui a conclu un partenariat avec Palo Alto Networks à l’été dernier, vient de son côté d’annoncer Tanium Protect, un nouveau module pour sa plateforme et conçu pour tirer profit des technologies de protection natives des systèmes d’exploitation, à commencer par le pare-feu, l’anti-virus ou encore le mécanisme de prévention des exploitations de vulnérabilités de Windows (Emet).

Pour sa part, CounterTack revendique une croissance annuelle de 900 % en 2015, et plus de 200 clients. Son produit de surveillance en continu du système d’exploitation, Sentinel, offre des capacités de tableau de bord et de visualisation de menaces enrichies. Il revendique en outre la capacité à détecter les attaques exploitant PowerShell.

L’EDR attire de plus en plus

Dell a de son côté annoncé l’enrichissement de son offre SecureWork Advanced Endpoint Threat Detection (AETD), animée par la technologie de Carbon Black, avec un service de surveillance à distance, Red Cloak – jusque là développé pour les besoins propres de son équipe de réponse aux incidents. Disponible en Europe, le service n’est toutefois pas proposé en français.

Mais il faut également compter sur Malwarebytes, qui vient de profiter de RSA Conference pour annoncer son entrée sur le marché de l’EDR, avec sa solution Breach Remediation, de même que Tripwire, avec de nouvelles fonctions dédiées au sein de son produit Tripwire Enterprise.

Et c’est également le cas de Microsoft. Dans un billet de blog, ce dernier évoque Windows Defender Advanced Threat Protection, un service qui « va aider les entreprises à détecter, enquêter et répondre aux attaques avancées sur leurs réseaux ». Il doit s’appuyer sur les informations remontées par les postes de travail Windows 10 à un moteur analytique en mode Cloud, combiné à des sources de renseignement sur les menaces et au graph de sécurité interne à l’éditeur. Le service serait déjà en production sur plusieurs centaines de milliers de postes de travail déployés chez les « clients entreprises les plus avancés » de Microsoft.

Des entreprises vraiment matures ?

Si le marché de l’EDR semble ainsi intéresser de plus en plus d’éditeurs – jusqu’au jeune français I-Guard, disponible depuis en test gratuit pour 30 jours –, Anton Chuvakin, analyste de Gartner auquel on doit le terme, ne cachait pas ses réserves en juillet dernier. Dans un billet de blog, il reprochait ainsi à la plupart des outils d’EDR de s’appuyer sur des agents – soulignant que « beaucoup d’organisations haïssent les agents de sécurité avec une telle passion que rien ne leur en fera déployer un autre » –, tout en jugeant sévèrement les pratiques de surveillance et de réponse aux incidents dans les entreprises : « horriblement immatures » alors que, justement, puisque les outils EDR simplifient certaines actions de supervision, « cela implique qu’il y ait un désir de réaliser ces tâches et qu’il y ait effectivement quelqu’un pour les accomplir ». Sans compter, selon lui, avec l’absence de profils « pour lesquels il n’y a même pas de nom – analystes de sécurité du terminal ». 

Pour approfondir sur Protection du terminal et EDR

Close