Rapid7 automatise la remédiation des vulnérabilités et plus encore

Rapid7 vient d’annoncer InsightConnect, une solution d’automatisation intégrée à ses solutions de gestion des vulnérabilités – InsightVM – et de détection et réponse à incident – InsightIDR.

Avec InsightConnect, l’éditeur tire ainsi les bénéfices du rachat de Komand en juillet 2017, une jeune pousse spécialiste de l’orchestration et de l’automatisation de la sécurité.

Fondé en novembre 2015 par Jen Andre, ancienne de Mandiant et co-fondatrice de Threat Stack, une plateforme spécialisée dans la sécurité des environnements cloud, Komand propose un système de gestion de workflows dédié à la sécurité, extensible par le biais d’un kit de développement. Ce système permet de combiner interventions manuelles et automatisation de tâches. Au programme, par exemple : investigation sur les tentatives de hameçonnage, enrichissement de données liées à des alertes de sécurité, ou encore confinement d’identifiants compromis.

Cette surcouche d’automatisation va donc profiter tout d’abord à InsightVM. Le premier, présenté en avril 2017, consiste en une solution de gestion des vulnérabilités en mode cloud, basée sur le célèbre outil Nexpose. La collecte des informations nécessaires au suivi des vulnérabilités peut se faire avec ou sans agent résident.

InsightVM proposait déjà des workflows de remédiation, intégrant des mécanismes de filtre, pour affecter les tâches nécessaires à la correction des vulnérabilités aux équipes compétentes, le tout de manière intégrée aux solutions de ticketing déployées en interne. Mais à l’évidence, InsightConnect doit permettre d’aller plus loin.

De fait, cette couche d’automatisation vient également enrichir InsightIDR, présenté, lui, début 2016. Cet outil, qui vise à améliorer la détection des incidents et à accélérer l’investigation, s’appuie notamment sur la technologie de LogEntries, un spécialiste de la recherche au sein de données générées automatiquement, par les systèmes connectés au système d’information, et racheté par Rapid7 en octobre 2015. Mais InsightIDR tire également profit d’InsightUBA, initialement nommé UserInsight, un outil complémentaire d’un système de gestion des informations et des événements de sécurité (SIEM) visant à surveiller le comportement des utilisateurs (UBA, « User behavior analytics »). Et InsightUBA ne se contente pas des journaux d’activité des hôtes du SI ; il est également capable de collecter, via des API, les journaux produits par des services cloud.

Mais InsightConnect ne s’arrête pas aux seuls outils de Rapid7. L’éditeur propose une bibliothèque riche de plus de 200 connecteurs pour toute une variété d’outils et de services. Les amateurs d’outils libres y retrouveront d’ailleurs des connecteurs pour TheHive, MISP et Cortex, notamment. Mais la plateforme permet également de développer ses propres scripts Python.

Parallèlement, Rapid7 vient d’annoncer le rachat de tCell, un spécialiste de la gestion des menaces visant les applications Web dont l’approche peut rappeler celle du Français Sqreen, ou encore de Prevoty, racheté en juillet par Imperva. Tout naturellement, Rapid7 entend intégrer la technologie de tCell à sa plateforme Insight pour continuer d’en étendre le périmètre fonctionnel.