denisismagilov - Fotolia
Kaspersky s’invite résolument sur le marché de l’EDR
L’éditeur avait un premier pas dans cette direction il y a peu plus d’un an. Aujourd’hui, il lance une solution, en phase pilote, ouvertement dédiée à la détection et la remédiation d’incidents sur les hôtes du réseau.
C’était au printemps 2016 : Kaspersky lançait Kata, sa plateforme de protection contre les attaques ciblées. Celle-ci doit permettre de détecter rapidement les attaques ciblées visant l’entreprise, en s’appuyant non seulement sur le poste de travail, mais également sur d’autres éléments de l’infrastructure : proxy, passerelle de sécurité Web, ou encore passerelle de sécurité de l’e-mail. Le tout profitant d’un bac à sable pour analyser les éléments suspects, et d’un système expert cherché d’effectuer les corrélations d’événements en s’appuyant sur des scénarios élaborés par les analystes de Kaspersky. Le système expert profite aussi de renseignements sur les menaces produits par les informations remontées par les clients de l’éditeur connectés à son Kaspersky Security Network (KSN) – une remontée optionnelle mais activée sur plus de 10 % des 400 millions de postes clients équipés par l’éditeur russe.
Avec Kata, Kaspersky se rapprochait doucement du monde de l’EDR, la détection de menaces et leur confinement sur le point de terminaison. En fait, l’éditeur présente toujours aujourd’hui Kata comme une source de données pour alimenter une solution d’EDR. Quoi de plus naturel alors que de développer une telle solution maison et de l’alimenter avec Kata ?
C’est ce que vient d’annoncer Kaspersky : sa propre solution d’EDR. Elle assure la collecte des données nécessaires à l’investigation d’un incident – internes et externes –, la détection, en s’appuyant sur un moteur d’analyse basé sur l’apprentissage automatique, et enfin la réaction, via l’intervention à distance sur les systèmes compromis.
Kaspersky EDR peut en outre s’intégrer avec un système de gestion des informations et des événements de sécurité (SIEM), pour aider à corréler les alertes.
La nouvelle solution de l’éditeur fait actuellement l’objet d’un programme pilote et n’est pas encore effectivement commercialisée. Mais elle est symptomatique d’une tendance de fond clairement identifiée par Gartner : celle de la convergence des marchés de la protection du point de terminaison (EPP) – où Kaspersky figure parmi les leaders, aux côtés de Trend Micro, Sophos et Symantec –, et de l’EDR. Ce dernier marché était dominé par Guidance Software, devant FireEye, Cisco, Tanium, ou encore Carbon Black. Mais le rachat de Guidance par OpenText vient d’être annoncé.
De son côté, Carbon Black mène depuis le début de l’année une offensive feutrée mais déterminée, laissant des partenaires multiplier les messages d’intégration – comme Lastline, Siemplify, Anomali ou encore PhishMe. Sans compter une récente étude produit commandée à l’institut Sans.
Au final, Kaspersky apparaît donc ainsi s’inviter sur un marché encombré, fortement compétitif, mais il ne semble y avoir d’autre option que de s’inviter.