Réponse à incident : Microsoft s’offrirait Hexadite

Selon nos confrères de Calcalist, Microsoft aurait conclu un accord de rachat d’Hexadite. Fondée en 2014, cette jeune pousse se spécialise dans l’automatisation de la réponse aux incidents de sécurité informatique. A sa tête se trouvent Eran Barak, Barak Klinhofer, et Idan Levin, trois ancien d’Elbit Systems et de l’armée israélienne spécialistes de la sécurité des systèmes d’information.

Hexadite a développé une plateforme, baptisée Airs, qui ambitionne de permettre de traiter toutes les alertes remontées par l’infrastructure existante, sans tri ni affinement des seuils d’alerte manuels. Airs déclenche automatiquement les procédures d’investigation pour chaque alerte, en s’appuyant sur des algorithmes d’intelligence artificielle et sur les processus classiques d’enquête, jusqu’aux points de terminaison, via l’injection de sondes non persistantes. Chaque investigation peut déclencher des sous-enquêtes traitées de manière parallélisée.

La plateforme d’Hexadite s’appuie en outre sur son propre service cloud, alimenté par plusieurs flux de renseignements sur les menaces, pour qualifier les événements étudiés. Et de s’appuyer sur ses mécanismes d’analyse propriétaires si la sollicitation du service cloud s’avère insuffisante pour produire des conclusions.

Au-delà, Airs peut automatiser, de manière partielle ou totale, la remédiation, bloquant certaines connexions, interrompant des processus ou plaçant des fichiers en quarantaine, notamment. Le niveau d’automatisation peut être ajusté par les administrateurs, de manière globale ou spécifique à certains groupes d’actifs.

En décembre dernier, Hexadite a annoncé la création de l’Automated Security Alliance Program (ASAP), visant à faire émerger un écosystème de partenaires avec lesquels garantir « des flux bidirectionnels de données ou des intégrations transparentes » entre Airs et les systèmes de détection produisant les alertes. Et avec un certain succès. Aujourd’hui, la jeune pousse revendique des intégrations avec les moteurs anti-virus de Kaspersky, Sophos, Symantec, Trend Micro, Eset ou encore Check Point, mais également avec les outils de protection du point de terminaison Cybereason, Carbon Black, Crowdstrike, Cylance, Tanium, Damballa et Microsoft, sans compter les systèmes de protection réseau de FireEye, de Cisco et de Palo Alto, ou encore plusieurs systèmes de gestion des informations et des événements de sécurité (SIEM).

Depuis sa création, Hexadite a levé quelques 21 M$, notamment auprès de Hewlett Packard Ventures. Microsoft offrirait près de cinq de ce montant. Et l’éditeur pourrait fortement gagner à cette opération. De fait, System Center Endpoint Protection s’intègre déjà avec Airs – qui se déploie en local, sous la forme d’une appliance.

Microsoft fournit par ailleurs, avec les offres Office 365 Enterprise E5 et Secure Productive Enterprise E5, un tableau de bord permettant aux administrateurs de surveiller leur posture de sécurité, entre menaces détectées et bloquées, familles de logiciels malveillants observés, ou encore utilisateurs visés.

Ce service, baptisé Threat Intelligence, met à profit le graph de renseignements sur les menaces qui supporte déjà Windows Defender Advanced Threat Protection, dévoilé début 2016. Difficile d’imaginer qu’il ne vienne pas aussi alimenter Airs.

Ce dernier complèterait alors efficacement Advanced Threat Analytics, lancé en mai 2015, et qui vise à détecter les menaces de sécurité avancées par analyse des comportements en local. Le fruit du rachat de la start-up Aorato au mois de novembre précédent.