Prazis - Fotolia
Kaspersky lance sa suite de chasse aux menaces avancées
L’éditeur commercialise son offre d’EDR de manière intégrée à sa plateforme de lutte contre les attaques ciblées, pour proposer une solution complète recouvrant détection, investigation et remédiation.
Kaspersky vient de présenter sa solution Threat Management and Defense, et lance ainsi la commercialisation de sa brique d’EDR, dévoilée en septembre dernier. Car elle constitue l’un des deux composants clés de cette suite présentée comme une plateforme complète de lutte contre les menaces complètes.
Le premier n’est autre que Kata, la plateforme de protection contre les attaques ciblées lancée au printemps 2016. Pour mémoire, celle-ci doit permettre de détecter rapidement les attaques ciblées visant l’entreprise, en s’appuyant non seulement sur le poste de travail, mais également sur d’autres éléments de l’infrastructure : proxy, passerelle de sécurité Web, ou encore passerelle de sécurité de l’e-mail. Le tout profitant d’un bac à sable pour analyser les éléments suspects, et d’un système expert cherché d’effectuer les corrélations d’événements en s’appuyant sur des scénarios élaborés par les analystes de Kaspersky. Le système expert profite aussi de renseignements sur les menaces produits par les informations remontées par les clients de l’éditeur connectés à son Kaspersky Security Network (KSN) – une remontée optionnelle mais activée à l’époque sur plus de 10 % des 400 millions de postes clients équipés par l’éditeur russe.
Récemment, les ICSA Labs ont eu l’occasion de souligner les performances de Kata en matière de détection des menaces avancées, au même niveau que Trend Micro Deep Discovery Inspector, et un cheveu devant l’offre de Fortinet ou encore celle de Barracuda Networks.
Le second composant clé est donc la solution d’EDR, présentée en septembre dernier. Elle assure la collecte des données nécessaires à l’investigation d’un incident – internes et externes –, la détection, en s’appuyant sur un moteur d’analyse basé sur l’apprentissage automatique, et enfin la réaction, via l’intervention à distance sur les systèmes compromis. Kaspersky EDR peut en outre s’intégrer avec un système de gestion des informations et des événements de sécurité (SIEM), pour aider à corréler les alertes.
En septembre dernier, Kaspersky EDR faisait l’objet d’un programme pilote et n’était pas encore effectivement commercialisée. Cette étape est désormais dépassée.
A cette offre produit, Kaspersky ajoute un volet services, avec « nombre d’offres allant de la réponse rapide à incident jusqu’à la chasse aux menaces externalisée, en passant par l’examen préliminaire et la réparation de dommages ».
L’intrusion affirmée de Kaspersky sur le marché de l’EDR est symptomatique d’une tendance de fond clairement identifiée par Gartner : celle de la convergence des marchés de la protection du point de terminaison (EPP) – où Kaspersky figure parmi les leaders, aux côtés de Trend Micro, Sophos et Symantec –, et de l’EDR. Ce dernier marché était dominé par FireEye, Cisco, Tanium, ou encore Carbon Black.