L’annonce d’améliorations pour les quatre produits de sécurité - Falcon Insight, CrowdStrike Cloud Security, Humio et Falcon Discover - de CrowdStrike a été faite cette semaine. Elles consistent en l’ajout du XDR, de l’approche zero trust, d’une gestion des logs revue et de capacités de sécurité IoT. Avec cette offre, tous les clients EDR (endpoint detection and response) du fournisseur texan pourront désormais activer les capacités XDR de Falcon Insight à l’aide de packs de connecteurs pour déclencher, à partir d'une console unifiée, des détections, des enquêtes et des actions de réponse inter-domaines dans tous les domaines de sécurité clés. Cependant, les clients devront payer un supplément pour bénéficier de ces fonctionnalités.
L’approche XDR de la détection et de la réponse aux menaces fournit une protection holistique contre les cyberattaques, les accès non autorisés et les mauvais usages. Falcon Insight XDR combine du XDR natif et hybride. Le XDR natif consiste à intégrer des données de première partie - données que Falcon collecte à partir des points d'extrémité, de l'infrastructure cloud et des capacités d'identité - et à les mettre en corrélation avec les détections et les incidents qui couvrent ces domaines. La solution XDR hybride utilise des données provenant de tiers, notamment des partenaires de l'alliance XDR pour le cloud et des fournisseurs tiers, afin de créer des détections qui couvrent la télémétrie entre ces domaines. « Notre stratégie XDR a été claire dès le début : apporter les bonnes informations à la plateforme Falcon au bon moment. Avec l'introduction de Falcon Insight XDR, CrowdStrike facilite plus que jamais l’implementation du XDR par ses clients et leur permet de bénéficier d'avantages similaires à ceux de l'EDR grâce aux intégrations natives d'autres modules Falcon de la plate-forme Falcon », a déclaré Michael Sentonas, directeur de la technologie chez de l’éditeur, dans un communiqué.
CrowdStrike intègre la télémétrie tierce provenant des partenaires de l'Alliance CrowdXDR, dont font désormais partie Cisco, ForgeRock et Fortinet, et des fournisseurs tiers, qui comprennent désormais Microsoft et Palo Alto Networks. « Ces intégrations supplémentaires seront disponibles au quatrième trimestre de l'exercice 2023 », a précisé le Texan. « Avec l'introduction d'intégrations tierces supplémentaires, nous permettons à nos clients d'enrichir efficacement et élégamment diverses sources de données », a déclaré M. Sentonas. « En combinant les intégrations de première partie et de tierce partie, les équipes de sécurité peuvent créer un scénario détaillé sur la façon dont une attaque se développe et progresse, de la détection à la remédiation », a-t-il ajouté.
Amélioration des capacités de confiance zéro
Crowdstrike ajoute également des capacités de gestion des droits d'accès Cloud Infrastructure Entitlement Manage (CIEM) à son offre de sécurité dans le cloud, Cloud Security. « Pour maintenir le zero trust, il est essentiel que les identités soient gérées avec le moins de privilèges possible du point de vue des droits et des accès. Pour être sûr que les équipes de sécurité seront en mesure de gérer efficacement la posture de sécurité », a déclaré, Amol Kulkarni, directeur des produits et de l'ingénierie chez CrowdStrike, lors de la conférence de presse de mardi. Pour y parvenir, le fournisseur prend deux mesures. Tout d'abord, il étend les capacités de sa plate-forme de protection des applications natives du cloud pour Cloud Security afin d'y ajouter des capacités CIEM. Ensuite, il intègre Cloud Security avec Asset Graph. Le graphique des actifs fournira des visualisations des actifs du cloud et une visibilité de la surface d'attaque dans le cloud à travers les hôtes, les configurations, les identités et les applications pour bloquer les brèches. « Les capacités CIEM permettent aux entreprises de prévenir les menaces basées sur l'identité résultant de droits d'accès au cloud mal configurés sur Amazon Web Services (AWS) et Microsoft Azure », a déclaré M. Kulkarni.
Améliorer la gestion traditionnelle des logs
Afin d'étendre ses capacités d'observabilité et aider les entreprises à exploiter leurs données pour des cas d’usage liés ou non à la sécurité, le fournisseur a annoncé deux produits basés sur la technologie Humio acquise en mars 2021. Appelé Falcon LogScale, le premier produit est disponible sous forme de module autonome. Il permet aux entreprises d'ingérer, de rechercher, de transformer et de conserver toutes leurs données de log et d'obtenir des réponses en temps réel. Le second produit est appelé Falcon Complete LogScale. Il s’agit d’une offre de service entièrement gérée combinant Falcon LogScale avec l'équipe dédiée de professionnels du service de CrowdStrike. « La gestion des logs a été un processus long et primordial pour les équipes IT et de sécurité, et il est essentiel de le simplifier. Il y a beaucoup d'inefficacités dans le processus et les modules, et grâce à sa connexion efficace, son stockage sans index et son Time to Value (TTV) immédiat, Falcon LogScale permet de remédier largement à cette complexité », a encore déclaré Amol Kulkarni. Grâce à ces deux systèmes modernes de gestion des logs, les équipes de sécurité peuvent rechercher des données avec une latence inférieure à la seconde pour trouver des modèles, appliquer des analyses et relever les défis de la cybersécurité. « Les équipes DevOps et ITOps peuvent utiliser les données pour bénéficier d'une visibilité en temps réel de la santé et des performances de leur infrastructure et de leurs applications », a précisé CrowdStrike.
Sécurisation des infrastructures clés
La quatrième annonce majeure de cette conférence concerne la mise à jour de Falcon Discover, la suite de produits de sécurité et d'opérations IT de CrowdStrike. Les améliorations comprennent un nouveau module (Falcon Discover for IoT) qui fournit aux entreprises une visibilité sur les systèmes IoT et les environnements technologiques opérationnels (OT), ainsi que de nouvelles capacités pour le module Falcon Discover (Security Hygiene) qui aident les responsables IT et de la sécurité à comprendre de manière holistique et à minimiser la surface d'attaque d'une entreprise afin de réduire le risque d'une violation potentielle. « Toute entreprise pourra, de manière universelle, utiliser Falcon Discover et Falcon Discover for IoT, qu'elle soit avancée dans son cycle de maturité ou au tout début de son parcours de gestion de la sécurité. Comme c'est la première étape, la visibilité passe avant tout, que ce soit dans la sécurité d'exécution ou la sécurité active ou proactive », a encore déclaré M. Kulkarni.