McAfee veut aller plus loin dans l’automatisation

Tout dans la continuité. Il y a presqu’un an jour pour jour, Chris Young, directeur général de celui qui s’appelait encore Intel Security, articulait l’idée d’une approche combinant les méthodes d’investigation et la vision stratégique de l’humain, avec les capacités techniques des machines pour gérer les données de renseignement sur la sécurité à grande échelle, et faire émerger les problèmes les plus significatifs.

Rebelotte cette année, à l’occasion de l’édition américaine de la conférence Mpower, avec un Chris Young campé sur la même ligne : « nous croyons que l’équipe humain-machine va complètement changer la donne », a-t-il ainsi lancé en ouverture de l’événement.

Dans celle logique, McAfee a donc présenté Investigator, un outil qui combine apprentissage automatique et intelligence artificielle avec l’ambition d’améliorer l’efficacité des analystes dans les centres opérationnels de sécurité (SOC). Pour cela, l’outil doit assurer une hiérarchisation automatique des menaces, afin que les analystes ne concentrent que sur les plus importants. Les différentes informations liées aux menaces sont collectées automatiquement pour accélérer le travail d’enquête. Proposé en mode SaaS, à l’abonnement, Investigator s’alimente notamment auprès des sources et des alertes du système de gestion des informations et des événements de sécurité (SIEM). Il s’intègre également avec ePolicy Orchestrator et met à profit un agent dit dissoluble à déployer à la demande sur les postes de travail. 

Hunting adversaries w/ @McAfee Investigator & Active Response (MAR) live at #MPower17. Wanna know more? Come to our talks & visit Expo Hall pic.twitter.com/2u8i1z3MLD

— Ismael Valenzuela (@aboutsecurity) October 18, 2017

Et justement, McAfee n’oublie pas là les points de terminaison de l’infrastructure. Pour Chris Young, « endpoints et cloud sont les points de contrôle idéaux dans l’architecture », dans l’approche stratégique de l’éditeur. Dans cette perspective, McAfee revendique l’enrichissement de sa solution Endpoint Security (ENS) avec des algorithmes de Deep Learning « pour assister dans le processus de décision et qualifier les menaces potentielles ». ENS s’appuie en outre sur des modèles établis par apprentissage automatique pour analyser les contenus de manière statique et dynamique.

Ces évolutions d’ENS apparaissent en fait s’inscrire dans la continuité naturelle de celles apportées, durant l’été à Advanced Threat Defense (ATD), avec sa version 4.0. Celle-ci permet la décompilation et l’analyse des appels faits par exécutable suspect, ou pour lequel l’information de réputation n’est pas disponible, des informations fournies par le service de renseignement sur les menaces de McAfee, Global Threat Intelligence (GTI) et le Threat Intelligence Exchange (TIE), lancé en 2014. ATD s’intègre d’ailleurs avec un vaste éventail de solutions de protection de l’éditeur.

Mais le slogan « together is power » ne recouvre pas uniquement la coopération humain/machine : il s’agit aussi de l’ouverture sur le reste de l’industrie de la cybersécurité avec DXL, ou Data Exchange Layer, sa technologie d’échange de renseignements, mise à profit notamment dans les produits connectés à TIE, une approche récemment étendue avec l’initiative OpenDXL. Car pour le patron de McAfee, « il n’y a pas une entreprise qui résoudra seule » les problèmes de la cybersécurité.

Dans cette logique, l’éditeur vient d’annoncer le support de DXL par Cisco, avec son pxGrid. Mais l’équipementier n’est pas le seul à avoir rejoint l’initiative. Il faut ainsi compter avec Fortinet, DomainTools, Check Point, Forcepoint, Extreme Networks, GuardiCore, Infoblox, Sailpoint ou encore Juniper. Et des connecteurs Slack, Demisto, VirusTotal, ElasticSeach, Phantom, Joe Sandbox, ou encore le projet MISP sont désormais disponibles.