UTM : WatchGuard joue à son tour l’intégration avec les postes de travail

WatchGuard vient d’annoncer Threat Detection and Response (TDR), un service visant à disposer d’une approche intégrée de la protection contre les menaces, entre réseau et hôtes y étant connectées. TDR s’appuie en effet sur les événements observés par les appliances de gestion unifiée des menaces (UTM) FireBox et sur les postes de travail, par des agents locaux. L’ensemble est remonté à un service Cloud, ThreatSync, qui en assure l’analyse et la corrélation pour déclencher dans la foulée des tactiques de réponse automatique aux menaces. TDR ne vise pas à remplacer les antivirus déjà déployés sur les postes, mais à les compléter.

Cette approche rappelle en fait de Sophos qui, avec son projet Galileo, veut faire communiquer ensemble les équipements de sécurité dans le réseau et les solutions de protection du poste de travail pour accélérer la détection des menaces et leur blocage. Le projet a trouvé une première concrétisation fin 2015 avec la fonctionnalité Security Heartbeat. A l’été dernier, Gartner faisait état des premières avancées dans cette direction, mentionnant la fonctionnalité Synchronized Security, dans son quadrant magique de l’UTM. Si le cabinet estimait alors que la fonctionnalité n’était « pas pleinement mature », il la trouvait toutefois prometteuse.

Et cette idée d’intégrer réseau et points de terminaison dans la défense n’est pas isolée. Au printemps dernier, Christian Fredrikson, patron F-Secure, nous le confiait : « des années d’investissement sur le réseau nous en ont convaincu – il est impossible de comprendre pleinement ce qui se passe sur l’infrastructure en se contentant d’observer le réseau. Et à plus forte raison lorsque de plus en plus de flux sont chiffrés ».

Dès lors, sans surprise, on trouve également cette approche intégrée chez Fortinet qui, avec sa Security Fabric, vise à multiplier les intégrations de manière multilatérale et a, dans ce sens, noué l’an dernier un partenariat avec Carbon Black. Mais avec sa plateforme Kata, Kaspersky avance aussi dans cette direction, combinant informations remontées des agents locaux sur les postes de travail avec celles issues des proxy, passerelles Web, ou encore passerelles de protection du courrier électronique et les commutateurs dotés d’interfaces TAP/SPAN.