Splunk s'offre un spécialiste de l'orchestration de la réponse à incident

Splunk vient d’annoncer avoir conclu un accord pour le rachat de Phantom Cyber. Fondée en 2014 par Sourabh Satish et Oliver Friedrichs, un ancien d’Immunet, dont Sourcefire a retiré sa technologie FireAMP pour la traçabilité des menaces, avant de faire racheter par Cisco, cette jeune pousse s’était fait une spécialité de l’orchestration des briques de l’architecture de sécurité des systèmes d’information. En 2016, Phantom Cyber avait remporté l’Innovation Sandbox de la conférence RSA.

A l’époque, Oliver Friedrichs décrivait l’orchestration comme « permettant une automatisation complète sur centre opérationnel de sécurité (SOC) » : « cela vous permet de contrôler l’ensemble de votre environnement de sécurité, et les 40 à 50 briques qui le composent ». Pour lui, « l’orchestration consiste à contrôler l’environnement dans une grande entreprise, afin de se protéger dans une approche très tactique ».

Depuis, Phantom Cyber a considérablement fait évoluer sa plateforme. A l’occasion de sa version 2.0, sortie en septembre 2016, l’éditeur a complètement réécrit son outil de création de procédure de réponse, les playbooks, adoptant, pour cet éditeur visuel, le standard BPMN de modélisation des processus métiers. De quoi permettre à des personnes ne maîtrisant pas Python d’apporter leur pierre à l’édifice.

Le tableau de bord destiné aux analystes de premier niveau avait alors également été revu pour accélérer le triage des événements et des alertes, tout en intégrant un flux d’information continu sur les activités en cours au sein du SOC pour simplifier la coopération entre analystes.

La version 3.0 de la plateforme, lancée en septembre dernier, mettait quant à elle l’accent sur la productivité des analystes et, avec elle, sur la rapidité de traitement des analystes. Mais elle apportait également des fonctionnalités destinées à répondre à des besoins spécifiques, comme le contrôle des accès basés sur les rôles. Et la plateforme peut être désormais déployée en double-actif pour assurer une haute disponibilité.

Parallèlement, Phantom Cyber a travaillé à étendre le périmètre d’orchestration et d’intégration supporté. L’éventail est aujourd’hui impressionnant, couvrant tant la sécurité réseau que celle des postes de travail, mais également bien au-delà : bacs à sable, systèmes de gestion des informations et des événements de sécurité (SIEM), communications, ticketing, recherche de vulnérabilité, investigation et leurres, ou encore renseignement sur les menaces, avec Soltra Edge, Anomali, ThreatConnect, Passive Total, et ThreatQuotient. Vectra a récemment rejoint l’écosystème.

Mais pas question, pour Splunk, de limiter l’application de la plateforme développée par Phantom à la seule sécurité. Dans un communiqué de presse, l’éditeur explique l’intégration de Phantom doit permettre « aux équipes IT de mettre à profit ses capacités d’automatisation pour aider à résoudre les défis de l’automatisation dans un éventail toujours plus large de cas d’usage, y compris l’intelligence artificielle au service de l’exploitation IT ».