Warakorn - Fotolia
Siemplify veut… simplifier les opérations de sécurité
Sortie de l’ombre en début d’année, la jeune pousse ambitionne de proposer aux analystes de SOC une unique interface depuis laquelle traquer et répondre aux incidents de sécurité.
Par certains aspects, Siemplify rappelle un autre jeune éditeur, SecBI ou encore le spécialiste de l’orchestration Phantom Cyber. De fait, la jeune pousse américaine, fondée en 2015 et qui vient de lever 10 M$, propose une plateforme ayant l’ambition de répondre à tous les besoins des analystes des centres opérationnels de sécurité (SOC) en consolidant événements de sécurité, flux de renseignements sur les menaces ou encore informations sur les vulnérabilités. Et c’est sans sous oublier le volet orchestration de la réponse à incident.
Mi-février dernier, Amos Stern, Pdg et co-fondateur de Siemplify, expliquait comment, au cours de son expérience professionnelle, il avait pu constater « comment les outils cyber échouent à répondre aux défis opérationnels auxquels sont confrontées les équipes de sécurité ». D’où l’idée de la plateforme ThreatNexus, conçue suivant un « modèle de centre de commande pour le SOC, combinant analyse temps réel, investigation visuelle, et réponse à incident ». Et pour cela, il s’agit de réduire la part d’analyse restant à la charge des exploitants de SOC au milieu des alertes qui leur sont remontées, notamment en réduisant l’importance des compétences purement techniques liées à l’exploitation des outils : « les analystes sont embauchés pour leur capacité à comprendre le sens des données, pas pour leur capacité technique à écrire une requête sur une base de données ».
La plateforme ThreatNexus a donc été conçue avec l’ambition de replacer automatiquement dans le contexte de l’organisation les données de sécurité internes et externes – y compris les renseignements sur les menaces ; de corréler les alertes générées par tous les systèmes de sécurité déployés ; de « filtrer le bruit de fond » des alertes et les hiérarchiser ; ou encore de s’intégrer à l’infrastructure de sécurité existante pour permettre une réponse à incident à partir d’une console unique.
Pour cela, la plateforme ThreatNexus s’appuie sur six modules. Le premier est un outil de gestion de cas et de tickers d’incidents. Il s’appuie sur un moteur d’analyse chargé de corréler et grouper les alertes critiques en une liste de cas hiérarchisés. Chaque cas donne directement accès aux informations qui lui sont associées ainsi qu’aux workflows de remédiation.
Ce premier module apparaît en fait comme un point d’entrée. De là, les analystes peuvent étudier en profondeur les cas présentés, de manière graphique, en s’appuyant sur les différentes sources de données de l’infrastructure de sécurité. Les flux de renseignements sur les menaces sont intégrés, permettant de faire ressortir rapidement les liens entre événements observés et menaces connues, le tout dans le contexte de l’organisation à protéger.
ThreatNexus permet également aux analystes de formuler aisément des hypothèses, comme des scénarios d’attaques, et chercher les traces qui seraient susceptible de trahir des activités cohérentes avec des hypothèses. Le tout pour appréhender la protection de l’organisation de manière proactive.
Face à un incident, le moteur d’orchestration de la plateforme, présenté en juillet, permet d’automatiser partiellement ou complètement la réponse, suivant des workflow prédéfinis. L’intégration est notamment supportée avec les systèmes de gestion des informations et des événements de sécurité (SIEM) Splunk, ArcSight, ou QRadar, mais également avec les outils de McAfee, Symantec, Carbon Black, Tanium, FireEye, RSA, ou encore Palo Alto Networks. Devant cette liste, on relèvera au passage qu’Alex Daly, ancien fondateur et patron d’ArcSight fait partie des investisseurs de Siemplify.