SIEM : RSA retire les fruits du rachat de Fortscale

RSA vient de profiter de RSA Conference, qui se déroulait la semaine dernière à San Francisco, pour présenter la version 11.3 de NetWitness, sa plateforme de gestion des informations et des événements de sécurité (SIEM). Et celle-ci marque l’intégration de la technologie d’analyse comportementale des hôtes et des utilisateurs (UEBA) de Fortscale.

C’est en avril 2018 que RSA annoncé le rachat de cette jeune pouce qui figurait parmi les finalistes de l’édition 2015 de l’Innovation Sandbox de RSA Conference. Avant cela, pour accéder à des capacités d’UEBA robustes, il fallait jouer la carte de l’intégration entre NetWitness et des solutions tierces. Mais voilà, le marché s’est considérablement rétréci à coup de rachats – dont récemment celui d’Interset par Micro Focus. Et certains indépendants du domaine se positionnent de plus en plus ouvertement en alternatives au SIEM traditionnel, à l’instar d’Exabeam, de Gurucul ou encore de Securonix. Ce dernier figure d’ailleurs désormais dans le carré des leaders du quadrant magique de Gartner pour les SIEM, avec Exabeam et RSA, notamment.

La solution de Fortscale s’appuie sur les journaux d’activité pour détecter les anomalies comportementales, notamment d’utilisateurs, et cela même pour les applications métiers propriétaires. L’an dernier, à l’occasion de l’annonce du rachat de Fortscale, RSA indiquait clairement viser les équipes des centres opérationnels de sécurité (SOC) et celles responsables de la gestion des identités et des accès (IAM).

Avec la version 11.3 de NetWitness, RSA met pleinement à profit la technologie de Fortscale. L’éditeur avait déjà commencé à intégrer à la version 11.2, l’été dernier, mais en ne supportant nativement qu’un éventail limité de traces d’activité : celles d’Active Directory, d’ouverture de session et d’authentification de Windows, ou encore des serveurs de fichiers Windows.

La version 11.3 de la plateforme NetWitness doit apporter l’intégration native du module de détection et de remédiation sur les hôtes (EDR) de RSA avec le module d’UEBA. Au passage, ce module d’EDR, dit NetWitness Endpoint (anciennement connu comme Ecat), doit profiter d’un impressionnant saut de numérotation, passant de la version 4.4 à la… 11.3.

Enfin, la plateforme NetWitness pourra venir alimenter le service SecurID Access pour ajouter une dimension continue, et implicite, à l’authentification afin d’aider à bloquer des menaces internes ou des détournements de comptes de manière plus fluide et automatique pour les équipes SOC.

La documentation relative à NetWitness 11.3 et à ses composants n’est pas encore publiée sur le site Web de RSA et sa partie communautaire. Mais la nouvelle version de la plateforme ne sera effectivement disponible que dans le courant du second trimestre.