Secdo affiche son ambition de simplifier le travail des SOC

Secdo vient de présenter la version 5.0 de sa solution d’automatisation de la sécurité des points de terminaison et de réponse aux incidents avec une principale nouveauté : l’intégration d’indicateurs de compromission comportementaux (BIOC). L’occasion de faire le point avec Gil Barak, directeur technique et co-fondateur de cette jeune pousse créée en 2014 qui se positionne elle-même en concurrent de Carbon Black, CrowdStrike, Tanium ou encore Cybereason.

Secdo vise à aider entreprise et fournisseurs de services de sécurité managés à gérer leurs processus de sécurité opérationnelle, au-delà de l’EDR. Gil Barak rappelle ainsi le problème classique des alertes trop nombreuses pour être gérées : « face à cela, la plupart des entreprises ajoutent de nouveaux contrôles de sécurité, mais ces solutions génèrent des alertes additionnelles. Le message marketing est toujours le même - ‘nous détectons mieux’ -, mais dans la perspective du client, ce sont que plus d’alertes sur lesquelles enquêter ». Pour lui, ce problème reste le premier et « empire jour après jour ». D’où l’ambition d’automatiser de bout en bout le cycle de réponse à incident : « depuis la collecte des indicateurs à la réponse en passant par toutes les phases d’enquête ».

Mais cet objectif n’est pas porté exclusivement par Secdo. Et l’on peut penser par exemple à Siemplify, Phantom ou encore Hexadite, récemment racheté par Microsoft. Mais Gil Barak revendique une approche différente : « dans le cadre de la réponse à incident, 99 % du travail d’investigation se fait au niveau du point de terminaison. C’est là que visent les attaques. Les solutions d’orchestration sont quasiment sans pertinence si on les achète sans solution d’EDR déjà en place pour fournir la visibilité nécessaire ». Et c’est justement l’approche de Secdo : proposer une solution de réponse à incident de bout en bout.

Parce que pour lui, « l’EDR est marché très complexe. Tanium est fantastique pour le déploiement de correctifs et pour les déploiements et l’administration à grande échelle ; Carbon Black se concentrait initialement sur l’enquête puis s’est déporté sur le terrain de la protection (EPP) de nouvelle génération ; etc. » Au final, l’EDR pourrait surtout devenir, d’ici à quelques années, une catégorie de l’EPP, plus qu’autre chose. Quant à l’orchestration, Gil Barak s’interroge sur le fait qu’il pourrait se faire absorber par des acteurs du monde de la gestion des informations et des événements de sécurité (SIEM). Un peu comme l’UEBA est en train de disparaître comme marché indépendant.

Pour étayer son propos, Gil Barak revient sur les processus du SOC : triage des événements, avec un moteur de corrélation, enquête, puis remédiation. Et d’articuler alors une approche en trois axes. Et cela commence par le suivi en continu de ce qui se passe sur les points de terminaison, pour automatiser l’investigation : « peu de fournisseurs sont capables de collecter à distance les événements sur le point de terminaison, ne serait-ce qu’à cause de leur nombre, mais je pense que c’est une nécessité ». Dans le cas de Secdo, il s’agit d’environ 5 Mo de données de télémétrie quotidiennes, par hôte surveillée, « les événements comportementaux de base nécessaires pour l’enquête » - stockés avec 100 jours d’historique.

Et c’est l’étape suivante : l’investigation, qui cherche à établir une chaîne de causalité. Là, Secdo propose un moteur analytique dédié. Et l’ensemble est complété par un centre de réponse, le troisième axe : « avec la version 5.0 de notre solution, nous embarquons plus d’une centaine de fonctionnalités intégrées de réaction/remédiation/confinement, sans utiliser de tiers ». Sur le papier, la boucle apparaît ainsi bouclée : « lorsque vous achetez Secdo, vous disposez immédiatement d’une solution de détection/réponse à incident de bout en bout ».

Mais Secdo n’oublie pas pour autant les sources externes d’informations sur les événements de sécurité comme les SIEM, mais également les pare-feu ou les anti-virus : « nous avons des connecteurs pour différents éditeurs, avec une communication bi-directionnelle ; nous collectons les alertes, nous les corrélons avec les événements sur les hôtes, et lançons automatiquement l’enquête pour établir la chaîne de causalité ».

Une fois l’analyse réalisée, Secdo peut être utilisé pour réagir. « Mais alors qu’un Phantom s’appuie sur des fonctionnalités de réponse de tiers, nous avons décidé de les intégrer à la plateforme ». Et là, « tout est personnalisable ; ça n’a rien d’une boîte noire ». Les BIOC entrent là en jeu : des plans de réaction peuvent être définis pour chacun d’entre eux. De quoi bloquer des menaces sur la base de comportements suspect, avant même que des marqueurs plus spécifiques, comme des signatures, ne soient connus ou établis.