EDR : Palo Alto Networks concrétise le rachat de Secdo

Cela aura pris près d’un an. Palo Alto Networks vient d’annoncer Cortex XDR, une solution construite sur la technologie de Secdo acquise au printemps 2018. De quoi s’inviter sur le terrain de la détection et de la remédiation sur les hôtes du système d’information (EDR), et même au-delà.

Fin 2017, Gil Barak, directeur technique et co-fondateur de Secdo, se positionnait clairement comme un concurrent de Carbon Black, CrowdStrike, Tanium ou encore Cybereason, en voulant proposer une solution de réponse à incident de bout en bout, centrée sur le point de terminaison – Windows, macOS et Linux. Secdo revendiquait alors apporter des réponses pour les processus clé du centre opérationnel de sécurité (SOC) : triage des événements, avec un moteur de corrélation, enquête, puis remédiation.

Cela commence par un suivi en continu de ce qui se passe sur les points de terminaison, pour automatiser l’investigation : environ 5 Mo de données de télémétrie quotidiennes, par hôte surveillé, « les événements comportementaux de base nécessaires pour l’enquête » - stockés avec 100 jours d’historique.

Pour l’investigation, Secdo avait développé un moteur analytique chargé de reconstruire la chaîne de causalité. A cela s’ajoutait un centre de réponse, doté de plus d’une centaine de fonctionnalités intégrées de réaction/remédiation/confinement, sans utiliser de tiers. Sur le papier, la boucle apparaît ainsi bouclée.

La plateforme de Secdo pouvait aussi tirer profit de sources externes d’informations sur les événements de sécurité comme les SIEM, mais également les pare-feu, via des interfaces bi-directionnelles pour la remédiation, après consolidation et corrélation des alertes par son propre moteur d’analyse. En tenant compte, en plus d’indicateurs de compromission classiques comme des signatures, d’indicateurs liés à des comportements susceptibles de trahir des activités malveillantes. Et l’on pense là aux apports que pourraient lui fournir la technologie de LightCyber, centrée sur l’analyse comportementale à base d’apprentissage automatique, rachetée l’an dernière et depuis proposée comme une application activable à la demande.

En fait, l’ambition de Palo Alto Networks est aujourd’hui clairement affirmée : il n’est pas question de se limiter aux hôtes du SI, mais bien d’aller au-delà. D’où le nom de « Cortex XDR » dont la seconde partie se veut recouvrir plus que les hôtes du SI, les endpoints de l’EDR. Mais bien sûr, ceux-ci ne sont pas oubliés.

Et parallèlement à Cortex XDR, l’équipementier annonce la version 6.0 de Traps, son agent de protection des hôtes – aujourd’hui doté de capacités étendues aux conteneurs Linux et à la collecte de télémétrie pour alimenter Cortex XDR.

Mais qu’il soit capable d’offrir d’un côté la visibilité sur les hôtes, via Traps, ou sur le réseau, avec la technologie de LightCyber, Palo Alto Networks laisse entrevoir, dans un billet de blog, la possibilité d’alimenter Cortex XDR avec un vaste éventail de sources, notamment concurrentes à celles qu’il propose lui-même.