EDR : Sophos s’apprête à renforcer son offre avec Darkbytes

Sophos vient d’annoncer le rachat de Darkbytes, une jeune poussée fondée début 2017. Celle-ci a développé une plateforme de détection et de remédiation pour hôtes de l’infrastructure. Basée sur un agent léger, elle offre des capacités de détection des menaces à partir de modèles établis par apprentissage profond – ou deep learning – et de réponse à incident, automatisée et à distance. L’agent est disponible pour Windows, à partir de sa version 7, Windows Server 2008 et ultérieur, MacOS 10.10 et plus, ou encore les distributions Linux de Red Hat, CentOS, et Ubuntu, notamment.

Mais la plateforme ne se limite pas aux menaces : elle vise aussi à offrir une visibilité sur les vulnérabilités détectées sur les hôtes, et sur l’analyse de risque. Le volet réponse de la plateforme intègre des playbooks à l’instar de ceux proposés sur les systèmes d’orchestration et d’automatisation (SOAR), ainsi qu’un accès distant aux hôtes concernés, en ligne de commande.

La plateforme de Darkbytes apparaît donc comme un complément d’Intercept X, la solution de Sophos combinant protection des postes de travail (EPP) et EDR, avec des fonctionnalités encore étendues à l’automne dernier.

Mais ce complément doit surtout permettre à Sophos d’aller au-delà de son métier actuel d’éditeur – seul ou avec des partenaires – en s’invitant sur le marché des services de sécurité managés. Car c’est bien l’une des ambitions de Darkbyte : « ouvrir la voie à des services managés de réponse à incident en temps réel ».

Dans un communiqué de presse, Joe Levy, directeur technique de l’éditeur, le reconnaît d’ailleurs bien volontiers : « tous les produits de sécurité IT vont évoluer, un jour ou l’autre, en services managés adaptatifs », en réponse à des entreprises en nombre toujours croissant qui « réalisent qu’elles sont incapables de faire grandir leurs ressources assez rapidement pour répondre aux menaces actuelles ».

Et il n’est pas le seul à faire un contact comparable. F-Secure a ainsi annoncé le rachat de MWR Infosecurity en juin dernier pour renforcer son offre de services managés de détection et de réponse à incident. Une opération qui s’inscrivait dans la droite ligne d’une stratégie engagée dès 2015 et concrétisée dès 2016 par le lancement d’un service de détection rapide.

Dans le courant de l’été dernier, c’était Trend Micro qui se lançait à son tour sur la voie des services de détection d’incidents. En fait, certains comme FireEye avec Mandiant, l’avaient fait bien plus tôt. Mais avec F-Secure ou Sophos, c’est une nouvelle cible qui est visée, celle d’entreprises de taille plus modeste.