Grâce à l'acquisition de RiskIQ l'année dernière, Microsoft a pu renforcer ses solutions de cybersécurité. Ainsi, en janvier la firme annonçait la compatibilité de sa gamme Defender avec les écosystèmes Android et Mac. Désormais, elle s'étoffe de deux applications de veille sur les menaces : External Attack Surface Management et Threat Intelligence. Parallèlement, la société consolide également son produit Sentinel SIEM (security information and event management) avec des capacités de détection et de réponse pour les systèmes ERP SAP.
En combinant les renseignements de l'équipe de recherche en sécurité de RiskIQ avec les résultats de sa propre cellule de recherche, Microsoft a développé Defender Threat Intelligence, une bibliothèque autonome de données brutes sur les pirates. Selon Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, de la conformité, de l'identité et de la gestion, cette bibliothèque est accessible gratuitement par tous les utilisateurs ou depuis Defender. Dans le même temps, la firme a lancé External Attack Surface Management, conçu pour analyser les environnements IT et les connexions des utilisateurs afin de fournir aux équipes de sécurité la même vision qu'un attaquant a d'une entreprise lorsqu'il choisit une cible.
Renseignements sur les adversaires en temps réel
Selon Vasu Jakkal, Microsoft combinera ses données de sécurité internes - recueillies à partir d'un réseau de surveillance de 35 familles de ransomware, de plus de 250 sources (États-nations, de cybercriminels et d'acteurs de la menace) - avec les renseignements acquis par RiskIQ, pour une mise à jour en temps réel de la bibliothèque Threat Intelligence (DFI). Cette dernière sera ainsi en mesure de fournir des renseignements bruts sur les menaces, en indiquant le nom des attaquants et en mettant en relation leurs outils, tactiques et processus (TTP). Elle actualisera les risques avec les remontées d'autres sources comme celles de l'équipe en charge de suivre les menaces d'origine étatique, le Threat Intelligence Center (MSTIC) et les équipes de recherche en sécurité de Defender.
« DFI vise à aider les centres d'opérations de sécurité (SOC) à appréhender les menaces spécifiques auxquelles leurs entreprises sont confrontées et à renforcer leur dispositif de sécurité en conséquence », a ajouté Vasu Jakkal. La solution devrait également améliorer les capacités de détection de Sentinel et de toute la famille des produits Defender. « D'autres sources d'information pour DFI devraient être ajoutées dans le courant de l'année », a précisé le vice-président de la société.
Defender EASM offre une vision globale de tous les équipements
Defender External Attack Surface Management (EASM) va essentiellement scanner Internet et les équipements connectés pour cataloguer l'environnement d'un client et ses ressources orientées vers Internet. Il comprendra notamment des ressources authentifiées, y compris des endpoints (PC et serveurs) non managés et non contrôles. Elles seront intégrées au sein d'un XDR et la gestion des logs sera traitée par le SIEM. « En ayant la même visibilité qu'un pirate, Defender External Attack Surface Management aide les clients à découvrir les ressources non gérées qui pourraient être des points d'entrée potentiels », a déclaré Vasu Jakkal. La société n'a pas immédiatement précisé le prix du produit.
Sentinel obtient les fonctions de surveillance SAP
Parallèlement, Microsoft Sentinel, l'application SIEM et SOAR (orchestration, automatisation et réponse en matière de sécurité) nativement cloud de l'éditeur, offrira une prise en charge des alertes des environnements SAP. Les ERP de la firme allemande, exécutés à partir d'une infrastructure sur site ou cloud, sont complexes et présentent des risques tels que l'élévation des privilèges et les téléchargements suspects qui peuvent être surveillés, détectés et traités par les fonctionnalités ajoutées à Sentinel. Ces capacités de surveillance seront disponibles via une offre promotionnelle incluant 6 mois de gratuité à compter d'août 2022. La facturation commencera donc le 1er février 2023, et s'ajoutera aux frais du modèle de facturation à l'usage de Sentinel.