Protection contre les menaces persistantes avancées Market Quadrant 2019 - Kaspersky
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
The Radicati Group, Inc.
www.radicati.com
THE RADICATI GROUP, INC.
Protection
contre les menaces
persistantes avancées
Market Quadrant 2019
Une analyse du marché des
solutions de protection
contre les APT qui
dévoile les leaders, les
pionniers, les spécialistes
et les acteurs matures.
Mars 2019
Le Market Quadrant Radicati SM est protégé par des droits d'auteur et publié en mars 2019 par The
Radicati Group, Inc. Toute reproduction totale ou partielle est interdite sans l'autorisation écrite
expresse de Radicati Group. Les éditeurs et les produits présentés dans les Market QuadrantsSM de
Radicati ne doivent pas être considérés comme une recommandation, mais plutôt comme une
mesure de l'opinion de The Radicati Group, basée sur des évaluations de produits, des études de
recherche primaire, des interviews d’éditeurs, des données historiques et d'autres indicateurs. Les
Market Quadrant de Radicati Group constituent l'une des nombreuses sources d'information que
les lecteurs utilisent pour se forger une opinion et prendre des décisions. Les Market QuadrantsSM
de Radicati sont valables pour la période qu'ils analysent et sont conçus pour représenter le
paysage d'un marché particulier à un moment donné. The Radicati Group décline toute garantie
quant à l'exactitude ou à l'exhaustivité de ces informations. The Radicati Group décline toute
responsabilité en cas d'erreurs, d'omissions ou d'insuffisances dans les informations contenues
dans le présent document ou dans leur interprétation.Protection contre les APT - Market Quadrant 2019
Quadrant 2019
TABLE DES MATIÈRES
QUE SONT LES MARKET QUADRANTS DE RADICATI ..................................................................... 2
SEGMENTATION DU MARCHÉ : PROTECTION CONTRE LES MENACES PERSISTANTES
AVANCÉES (APT) ..................................................................................................................................... 4
CRITÈRES D'ÉVALUATION .............................................................................................................. 6
MARKET QUADRANT : PROTECTION CONTRE LES APT .................................................................. 9
CE QU'IL FAUT RETENIR DU MARKET QUADRANT ..................................................................... 10
PROTECTION CONTRE LES APT : ANALYSE DES EDITEURS .................................................... 10
LEADERS ................................................................................................................................. 10
PIONNIERS ............................................................................................................................... 28
SPÉCIALISTES ........................................................................................................................... 33
===============================================================
Veuillez noter que ce rapport est accompagné d'une licence valable pour 1 à 5 utilisateurs. Si
vous souhaitez distribuer le rapport à plus de 5 personnes, vous devrez acheter une licence de
site interne moyennant des frais supplémentaires. Veuillez nous contacter à l'adresse
admin@radicati.com si vous souhaitez acheter une licence de site.
Les entreprises ne sont jamais autorisées à publier des rapports sur leurs sites Web externes ou à
les distribuer par d'autres moyens hors de leur organisation sans le consentement écrit préalable
et explicite de The Radicati Group, Inc. Si vous affichez ce rapport sur votre site Web externe ou
le divulguez à quiconque hors de votre entreprise sans autorisation, vous et votre entreprise serez
responsables des dommages occasionnés. N'hésitez pas à nous contacter si vous avez des
questions au sujet de nos politiques.
===============================================================
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 1Protection contre les APT - Market Quadrant 2019
Quadrant 2019
QUE SONT LES MARKET QUADRANTS DE RADICATI
Les Market Quadrants de Radicati sont conçus pour illustrer comment chaque éditeur s'intègre
dans des marchés technologiques spécifiques à un moment donné. Tous les Market Quadrants
de Radicati sont composés de quatre sections, comme indiqué dans l'exemple (Image 1).
1. Leaders : ce sont les leaders actuels du marché avec des produits qui offrent des
fonctionnalités à la fois étendues et détaillées, ainsi qu'une vision solide pour l'avenir.
Les leaders façonnent le marché avec leur technologie et leur vision stratégique. Les
éditeurs ne deviennent pas leaders du jour au lendemain. La plupart des entreprises de
ce quadrant ont d'abord été des spécialistes ou des pionniers (parfois les deux). Lorsque
les entreprises atteignent ce stade, elles ne doivent pas baisser la garde et ne jamais
cesser d'innover.
2. Pionniers : les pionniers proposent des technologies avancées et de référence pour
certaines de leurs solutions, mais n'offrent pas nécessairement toutes les caractéristiques
et les fonctionnalités qui distinguent les leaders. Ils sont cependant susceptibles de
« bouleverser » le marché avec des technologies ou modèles de livraison innovants.
Avec le temps, ces éditeurs ont de fortes chances de compter parmi les leaders.
3. Spécialistes : ce groupe se compose de deux types d'entreprises :
a. Des acteurs émergents qui sont nouveaux dans le secteur et qui doivent encore
développer certains aspects de leurs solutions. La stratégie et la technologie de
ces entreprises sont toujours en cours de développement.
b. Des éditeurs établis qui offrent de très bonnes solutions à leur base de clients et
qui ont une clientèle fidèle et totalement satisfaite des fonctionnalités qu'ils
déploient.
4. Acteurs matures : il s'agit de grands éditeurs établis qui peuvent offrir des
caractéristiques et des fonctionnalités solides, mais qui ont ralenti l'innovation et ne
sont plus considérés comme des acteurs influents sur ce marché.
a. Dans certains cas, il s'agit d'un choix délibéré. Si un éditeur a pris la décision
stratégique de prendre une nouvelle direction, il peut choisir de ralentir le
développement des produits existants.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 2Protection contre les APT - Market Quadrant 2019
Quadrant 2019
b. Dans d'autres cas, un éditeur peut simplement ralentir le rythme et être
dépassé par des pionniers ou des leaders plus actifs et plus innovants.
c. À ce stade, soit les entreprises prennent une nouvelle voie en relançant leurs
efforts en matière de recherche et de développement pour revenir sur le segment
des meilleurs acteurs, soit elles se retirent lentement pour devenir des
technologies obsolètes.
L'image 1 ci-dessous montre un exemple de Quadrant Radicati. Au fur et à mesure qu'un éditeur
continue de développer ses solutions de produits en y ajoutant des caractéristiques et des
fonctionnalités, il se déplacera verticalement le long de l'axe de fonctionnalité « y ».
L'axe horizontal « x » de la vision stratégique reflète la compréhension du marché et les plans
d'orientation stratégique de l’éditeur. Il est courant pour les éditeurs de se déplacer dans le
quadrant, à mesure que leurs produits évoluent et que les besoins du marché changent.
CRITÈRES D' INCLUSION
Nous incluons les éditeurs en fonction du nombre de demandes de renseignements que nous
recevons des clients tout au long de l'année. Nous essayons généralement de limiter le nombre
d’éditeurs que nous incluons à environ 10 ou 12. Toutefois, sur des marchés très encombrés,
nous avons parfois besoin d'inclure un plus grand nombre d’éditeurs.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 3Protection contre les APT - Market Quadrant 2019
Quadrant 2019
SEGMENTATION DU MARCHÉ : PROTECTION CONTRE LES MENACES PERSISTANTES
AVANCÉES (APT)
Cette édition de Market QuadrantsSM de Radicati couvre le segment « Protection contre les
menaces persistantes avancées (APT) » du marché de la sécurité, qui est défini comme suit :
Protection contre les menaces persistantes avancées : il s'agit d'un ensemble de
solutions intégrées pour la détection, la prévention et la correction potentielle des
menaces « zero-day » et des attaques malveillantes persistantes. Les solutions APT
peuvent inclure, sans s'y limiter : sandboxing, EDR, CASB, réseaux de réputation,
gestion et rapports de Threat Intelligence, cyberdiagnostic et plus encore. Parmi les
principaux acteurs de ce marché figurent Carbon Black, Cisco, FireEye, Forcepoint,
Fortinet, Kaspersky, McAfee, Microsoft, Palo Alto Networks, Sophos, Symantec et
Webroot.
Ce rapport ne s'intéresse qu'aux solutions de protection contre les APT des éditeurs visant à
répondre aux besoins des entreprises. Il ne comprend pas les solutions qui ciblent
principalement les éditeurs de services (comme les télécommunications, les FAI, etc.).
Les solutions de protection contre les APT peuvent être déployées sous de multiples
formes : logiciels, appliances (physiques ou virtuelles), Cloud privé ou public et modèles
hybrides. Les solutions de virtualisation et hybrides sont de plus en plus accessibles
auprès de la plupart des éditeurs de solutions de sécurité APT.
Les solutions APT sont de plus en plus rapidement adoptées par toutes les entreprises, quels
que soient leur taille et leur secteur d'activité, car toutes les entreprises sont de plus en plus
préoccupées par les menaces « zero-day » et les attaques malveillantes extrêmement ciblées.
Le chiffre d'affaires mondial des solutions de protection contre les APT devrait passer
de plus de 4,3 milliards de dollars en 2019 à plus de 9,4 milliards en 2023.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 4Protection contre les APT - Market Quadrant 2019 Quadrant 2019 Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 5
Protection contre les APT - Market Quadrant 2019
Quadrant 2019
CRITÈRES D' ÉVALUATION
Les éditeurs sont placés dans le quadrant selon deux critères : fonctionnalité et vision stratégique.
La fonctionnalité est évaluée en fonction de l'étendue et de la richesse des fonctionnalités de la
solution de chaque éditeur. Toutes les caractéristiques et fonctionnalités ne doivent pas
nécessairement provenir de la technologie propre de l’éditeur, mais elles doivent être intégrées et
disponibles au déploiement lorsque la solution est achetée.
La vision stratégique fait référence à l'orientation stratégique de l’éditeur, qui comprend : une
compréhension approfondie des besoins des clients, la capacité de mise en œuvre à des prix
attractifs et sur des modèles de canaux, une assistance clientèle performante et une innovation
continue et solide.
Les éditeurs de protection contre les APT sont évalués en fonction des caractéristiques et des
fonctionnalités clés suivantes :
Options de déploiement : disponibilité de la solution sous différentes formes, telles que les
solutions sur site, les services basés dans le Cloud, les solutions hybrides, les appliances et/ou
les appliances virtuelles.
Prise en charge des plateformes : prise en charge de la protection contre les menaces sur une
variété de plateformes, telles que Windows, macOS, Linux, iOS et Android.
Détection des programmes malveillants : généralement basée sur l'analyse du comportement,
le filtre de réputation, l'heuristique avancée, et plus encore.
Pare-feu et URL : filtrage pour l'analyse du comportement d'une attaque.
Sécurité du Web et de la messagerie : permet de bloquer les programmes malveillants qui
proviennent de la navigation sur le Web ou d'emails frauduleux.
Analyse SSL : le trafic sur une connexion SSL est également couramment surveillé pour
appliquer les politiques de l'entreprise.
Analyse du trafic chiffré : permet de surveiller le comportement du trafic chiffré afin de
détecter les attaques potentielles.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 6Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Cyberdiagnostic et analyse des menaces « zero-day » et avancées : fournit une analyse
heuristique et comportementale pour détecter les attaques avancées et « zero-day ».
Sandboxing et mise en quarantaine : permettent de détecter et d'isoler les menaces potentielles.
Endpoint Detection and Response (EDR) : capacité de surveiller en permanence les
événements sur les terminaux et le réseau, afin de détecter les attaques internes ou externes
et d'assurer une réponse rapide. Les systèmes EDR alimentent une base de données
centralisée dans laquelle l'information peut être analysée plus en détail et combinée à des
données de threat intelligence avancées pour une compréhension complète des menaces
émergentes. Certains systèmes EDR s'intègrent également aux technologies de sandboxing
pour l'émulation en temps réel des menaces. La plupart des systèmes EDR s'intègrent à des
solutions de cyberdiagnostic pour une analyse plus approfondie des attaques.
Intégration à Active Directory : intégration à Active Directory ou LDAP, pour faciliter
la gestion et l'application des politiques utilisateur.
Cloud Access Security Broker (CASB) : solutions sur site ou basées dans le Cloud qui se
situent entre les utilisateurs et les applications dans le Cloud pour surveiller toute
l'activité du Cloud et appliquer les politiques de sécurité. Les solutions CASB peuvent
surveiller l'activité des utilisateurs, appliquer des politiques de sécurité et détecter les
comportements dangereux, ce qui permet d'étendre les politiques de sécurité d'une
organisation aux services Cloud.
Prévention des pertes de données (DLP) : permet aux entreprises de définir des
politiques pour empêcher la perte de données sensibles.
Protection des appareils mobiles : inclusion de fonctionnalités de gestion des
appareils mobiles (MDM) ou de gestion de la mobilité de l'entreprise (EMM) pour
contribuer à la protection des terminaux mobiles.
Administration : vue flexible unique et facile à gérer sur tous les utilisateurs et toutes
les ressources réseau.
Mises à jour en temps réel : pour bloquer, mettre en quarantaine et lutter rapidement contre
les menaces ou attaques nouvellement identifiées sur toutes les ressources réseau.
Analyse des menaces environnementales : pour détecter l'exposition aux menaces existantes et les
lacunes potentielles en matière de sécurité.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 7Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Correction : fait référence à la capacité de restaurer automatiquement les terminaux,
serveurs et autres appareils pour qu'ils soient de nouveau bien protégés, dans le cas où
ils ont été compromis. La correction peut impliquer la création de nouvelles images
et/ou d'autres processus et techniques de nettoyage.
De plus, pour tous les éditeurs, nous prenons en compte les aspects suivants :
Tarif : quel est le modèle de tarification de leur solution, est-il facile à comprendre et
permet-il aux clients de créer un budget pour la solution, et est-il conforme au niveau de
fonctionnalité offert, et représente-t-il un bon rapport qualité-prix ?
Assistance clientèle : l'assistance clientèle est-elle adéquate et conforme aux besoins
des clients et aux exigences en matière de réponse aux incidents ?
Services professionnels : l’éditeur fournit-il le bon niveau de services professionnels pour
la planification, la conception et le déploiement, soit par l'intermédiaire de ses propres
équipes internes, soit par l'intermédiaire de partenaires ?
Remarque : nous pouvons quelquefois placer un éditeur dans la catégorie des leaders ou des
pionniers même s'il lui manque une ou plusieurs des fonctionnalités énumérées ci-dessus, si
nous pensons qu'un ou plusieurs autres aspects de sa solution sont particulièrement uniques et
innovants.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 8Protection contre les APT - Market Quadrant 2019
Quadrant 2019
MARKET QUADRANT : PROTECTION CONTRE LES APT
Le Market Quadrant Radicati SM est protégé par des droits d'auteur et publié en mars 2019 par The
Radicati Group, Inc. Toute reproduction totale ou partielle est interdite sans l'autorisation écrite expresse
de Radicati Group. Les éditeurs et les produits présentés dans les Market QuadrantsSM de Radicati ne
doivent pas être considérés comme une recommandation, mais plutôt comme une mesure de l'opinion de
The Radicati Group, basée sur des évaluations de produits, des études de recherche primaire, des
interviews d’éditerus, des données historiques et d'autres indicateurs. Les Market Quadrant de Radicati
Group constituent l'une des nombreuses sources d'information que les lecteurs utilisent pour se forger une
opinion et prendre des décisions. Les Market QuadrantsSM de Radicati sont valables pour la période qu'ils
analysent et sont conçus pour représenter le paysage d'un marché particulier à un moment donné. The
Radicati Group décline toute garantie quant à l'exactitude ou à l'exhaustivité de ces informations. The
Radicati Group décline toute responsabilité en cas d'erreurs, d'omissions ou d'insuffisances dans les
informations contenues dans le présent document ou dans leur interprétation.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 9Protection contre les APT - Market Quadrant 2019 Quadrant 2019 CE QU'IL FAUT RETENIR DU MARKET QUADRANT Les leaders sur le marché sont Symantec, Forcepoint, McAfee, Kaspersky et Sophos. Le quadrant des pionniers comprend Webroot et Carbon Black. Le quadrant des spécialistes comprend Fortinet, Microsoft, Cisco, Palo Alto Networks et FireEye. Il n'y a pas d'acteurs matures sur ce marché pour le moment. PROTECTION CONTRE LES APT : ANALYSE DES ÉDITEURS LEADERS SYMANTEC 350 Ellis Street Mountain View, CA 94043 www.symantec.com Fondée en 1982, Symantec s'est développée pour devenir l'un des plus grands éditeurs de technologie de sécurité pour les entreprises. Les solutions de sécurité de Symantec s'appuient sur son réseau de renseignements mondial, qui offre une threat intelligence en temps réel. Symantec est une société cotée en bourse. SOLUTIONS Symantec fournit des solutions sur site, hybrides et basées dans le Cloud pour une protection contre les menaces persistantes avancées et les attaques ciblées, détecter les programmes malveillants connus et inconnus, et automatiser le confinement et la résolution des incidents. La gamme de sécurité de Symantec comprend les composants suivants : Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 10
Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Symantec Endpoint Detection and Response (EDR) : met en évidence les attaques avancées
grâce au Machine Learning et à une Threat Intelligence mondiale. Il utilise des détections
d'attaque avancée au niveau des terminaux et des analyses basées dans le Cloud pour détecter les
attaques ciblées, telles que la détection des anomalies, le balisage des commandes et des
contrôles, les mouvements latéraux et les exécutions power shell suspectes. En cas d'incident, il
permet aux intervenants de rechercher, d'identifier et de contenir rapidement tous les terminaux
touchés tout en enquêtant sur les menaces à l'aide d'un choix de sandboxing sur site ou basé dans
le Cloud. En outre, l'enregistrement continu et à la demande de l'activité du système offre une
visibilité totale sur les terminaux. Symantec EDR fournit également des guides d'investigation
automatisés et des analyses du comportement des utilisateurs qui permettent à l'organisation
d'accéder aux bonnes pratiques à moindre coût. Symantec EDR 4.0 permet aux clients d'utiliser
l’EDR pour la réponse aux incidents et la recherche de menaces sur les terminaux Symantec
Endpoint Protection (SEP) et non-SEP. Symantec EDR Network Sensor assure la prévention et la
détection des menaces de trafic entrant et sortant au niveau de la couche réseau et envoie les
événements à Symantec EDR pour corrélation avec les événements des terminaux et de
messagerie.
Symantec Email Threat Detection and Response (TDR) : protège contre les attaques ciblées
par email et les menaces avancées, telles que le phishing ciblé. Il tire parti d'une sandbox basée
dans le Cloud, d'une capacité de détonation et de Symantec Email Security.cloud pour révéler
les données de menaces provenant d'emails malveillants. Email TDR envoie les événements à
Symantec EDR pour corrélation avec les événements des terminaux et du réseau.
Symantec Managed Endpoint Detection and Response Service (MEDR) : service fourni par
les experts Symantec SOC qui utilisent Symantec EDR, l'analyse des Big Data avec
Symantec SOC Technology Platform et la corrélation avec Symantec Global Intelligence
Network pour détecter, étudier et répondre aux menaces avancées. Les analystes Symantec
SOC sont affectés aux clients en fonction du secteur et de leur région, et peuvent effectuer :
une recherche gérée des menaces, des enquêtes à distance et des corrections préautorisées.
Symantec ProxySG Appliance, Secure Web Gateway Virtual Appliance ou Cloud Service :
solutions permettant de bloquer les menaces connues, les sources malveillantes, les sites à risque,
les catégories inconnues et les réseaux diffusant des programmes malveillants en temps réel au
niveau de la passerelle. Symantec Content Analysis s'intègre à l'appliance ProxySG pour
organiser la recherche de programmes malveillants et la mise sur liste noire des applications,
tandis que Symantec SSL Visibility offre une visibilité supplémentaire sur les menaces cachées
dans le trafic chiffré de tous les composants Symantec, ainsi que des outils tiers. Symantec Web
Isolation s'intègre également aux appliances ProxySG et à Cloud Service pour protéger les
utilisateurs finaux contre les sites « zero-day », inconnus et risqués en exécutant du code et les
programmes malveillants potentiels provenant de sites Web à distance.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 11Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Symantec Content Analysis : analyse et atténue le contenu inconnu en inspectant
automatiquement les fichiers provenant de ProxySG, Symantec Messaging Gateway, Symantec
Endpoint Protection ou d'autres sources à l'aide de plusieurs couches de technologie d'inspection
(réputation, doubles moteurs de protection contre les programmes malveillants, analyse de code
statique, Machine Learning avancé et plus encore). Il transmet ensuite le contenu suspect à la
sandbox Symantec ou à d'autres sandbox. L'analyse de contenu est disponible sous forme de
solutions sur site, hybrides ou hébergées dans le Cloud. Les renseignements sont partagés par
l'intermédiaire du Symantec Global Intelligence Network, qui offre une protection améliorée à
l'ensemble de l'infrastructure de sécurité.
Symantec Web Isolation : exécute des sessions Web en dehors des terminaux pour envoyer
uniquement des informations sécurisées aux navigateurs des utilisateurs, empêchant ainsi tout
programme « zero day » malveillant provenant de site Web d'atteindre les appareils.
Lorsqu'elles sont associées à des passerelles Web sécurisées, les politiques permettent d'isoler
le trafic de sites ou d'URL non catégorisés présentant des profils de risque suspects ou peu sûrs.
Web Isolation isole également les liens dans les emails pour prévenir les menaces de phishing
et les attaques liées aux identifiants.
Symantec Security Analytics : utilise la capture haute vitesse des paquets, l'indexation,
l'inspection approfondie des paquets (DPI) et la détection d'anomalies pour permettre de répondre
aux incidents et d'éliminer les menaces qui ont pu pénétrer le réseau, même dans les
environnements de contrôle industriel ou SCADA. Il peut être déployé sous forme d'appliance,
d'appliance virtuelle ou dans le Cloud, pour une visibilité totale et un cyberdiagnostic des charges
de travail dans le Cloud. Il peut également analyser le trafic chiffré lorsqu'il est couplé à la
solution Symantec SSL Visibility. Les informations sont utilisées pour enquêter et corriger
l'étendue complète de l'attaque. Les intégrations aux solutions EDR, y compris Symantec EDR,
fournissent une visibilité et une réponse allant du réseau au terminal. Les informations sont
partagées à travers Symantec Global Intelligence Network pour automatiser la détection et la
protection contre les menaces nouvellement identifiées pour tous les clients Symantec.
Symantec Managed Network Forensics (MNF) : service fourni par Symantec Managed Security
Services (MSS) aux clients MSS Advanced Security Monitoring. En ce qui concerne les
indicateurs clés, les analystes Symantec MSS se connectent à distance au Symantec Security
Analytics du client pour enquêter sur les activités suspectes et fournir plus de détails sur les
incidents et le contexte pour une réponse rapide aux incidents.
Symantec Global Intelligence Network (GIN) : fournit un référentiel d'indicateur de menace
et une plateforme d'analyse centralisés et basés dans le Cloud. Il permet la découverte,
l'analyse, la classification granulaire et l'évaluation du niveau de risque des menaces provenant
de plusieurs vecteurs (par ex. : terminal, réseau, Web, email, application, IoT et autres) et
protège de manière proactive les autres vecteurs d'intrusion sans avoir à réévaluer la menace.
GIN distribue des indicateurs de menaces critiques dérivés d'une combinaison de processus de
recherche humaine et d'IA (intelligence artificielle), y compris les hachages de fichiers, les
URL, les adresses IP et les empreintes digitales des applications.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 12Protection contre les APT - Market Quadrant 2019
Quadrant 2019
POINTS FORTS
Symantec propose des solutions avec des options sur site, dans le Cloud et hybrides, ce qui
lui permet d'offrir une gamme de produits intégrés qui protège contre les menaces sur tous
les vecteurs, y compris les terminaux, le réseau, le Web, les emails, les appareils mobiles,
les applications Cloud et bien plus.
Symantec utilise un large éventail de technologies pour fournir une protection multi-
niveaux, notamment l'analyse heuristique, la réputation et l'analyse comportementale des
fichiers et des URL, l'analyse dynamique du code, les listes noires, le Machine Learning,
prévention de l’exploitation des failles, l'isolation Web, la protection mobile, le CASB et le
contrôle des applications. Symantec utilise également l'analyse de code statique, le
sandboxing personnalisé et les technologies de détonation de charge utile pour repérer les
menaces « zero-day ».
Symantec propose sa propre solution DLP qui s'intègre aux terminaux, aux passerelles et
aux applications dans le Cloud pour prévenir les fuites de données et contribuer à
atteindre les objectifs de conformité réglementaire et industrielle.
Symantec Web Isolation (obtenu grâce à l'acquisition de Fireglass) offre une expérience de
navigation sûre en isolant le code malveillant et en empêchant son exécution dans le
navigateur de l'utilisateur final.
Symantec Security Analytics, associé à la solution Symantec SSLV Visibility, offre une
capture de paquets enrichie pour la visibilité sur la sécurité du réseau, des cyberdiagnostics
de réseau avancés, la détection des anomalies et l'inspection du contenu en temps réel, même
dans le trafic chiffré.
Symantec offre une protection dédiée aux appareils mobiles et analyse le trafic de ces
derniers pour détecter les APT basées sur les appareils mobiles, même lorsque les
utilisateurs ne se trouvent pas sur le réseau d'entreprise. La sandbox Symantec prend
également en charge les fichiers Android.
Le Global Intelligence Network (GIN) de Symantec fournit une threat intelligence complète
en temps réel provenant de sources multiples, notamment l'ensemble de la clientèle de
Symantec, qui fournit aux produits Symantec des URL et des dispositions de fichiers en
temps réel à la demande.
Symantec EDR fournit une vue flexible sur tous ses modules, pour une visibilité en
temps réel sur les attaques et la possibilité de corriger les menaces sur tous les terminaux.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 13Protection contre les APT - Market Quadrant 2019
Quadrant 2019
POINTS FAIBLES
Les solutions Symantec conviennent généralement aux grandes entreprises ayant des
besoins complexes et une équipe de sécurité expérimentée. Toutefois, certaines des
solutions Symantec basées dans le Cloud offrent une protection simplifiée pour les petits
clients et les services Managed EDR et Managed Network Forensics de Symantec aident
les entreprises aux ressources et compétences internes limitées.
Les clients de Symantec EDR que nous avons interrogés ont indiqué que, bien que riche en
fonctionnalités, le produit peut s'avérer complexe à mettre en place.
Symantec continue de progresser et de travailler sur toutes les nuances de l'intégration de sa
gamme combinée Symantec et Blue Coat. Les clients doivent se renseigner attentivement sur
les fonctionnalités qu'ils attendent de chaque composant de la solution.
FORCEPOINT
10900 Stonelake Blvd
3rd Floor
Austin, TX 78759
www.forcepoint.com
Forcepoint est une coentreprise entre Raytheon et Vista Equity Partners, créée en 2015 par la fusion
de Websense et Raytheon Cyber Products. Forcepoint offre une approche orientée système pour la
détection et l'analyse des menaces internes, la protection des utilisateurs et des applications dans le
Cloud, la protection des réseaux de nouvelle génération, la sécurité des données et la visibilité sur
les systèmes.
SOLUTIONS
La solution APT de Forcepoint, Forcepoint Advanced Malware Detection (AMD), est une
sandbox comportementale évolutive et facile à déployer qui identifie les attaques ciblées et
s'intègre aux produits Forcepoint Web Security, Forcepoint Email Security, Forcepoint CASB et
Forcepoint Next Generation Firewall. Forcepoint s'associe à Lastline, un éditeur de technologie
de sandbox, pour fournir ses capacités Forcepoint AMD. Forcepoint AMD est disponible en tant
que solution basée dans le Cloud ou sous forme d'appliance. Il fournit une sandbox pour les URL
contenues dans les fichiers et les emails, des informations détaillées sur les cyberdiagnostics et
une formation sur le phishing. Tous les produits Forcepoint fonctionnent ensemble pour mettre
l'accent sur le croisement de l'analyse du comportement humain et des données.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 14Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Il existe actuellement deux types d'offres AMD :
AMD Cloud (anciennement connu sous le nom de Threat Protection Cloud) est une
solution SaaS qui s'intègre immédiatement aux produits Forcepoint Web Security, Email
Security, CASB et NGFW.
AMD On Premises (anciennement connu sous le nom de Threat Protection
Appliance) est une solution d'appliance sur site qui s'intègre immédiatement aux
produits Forcepoint Web Security, Email Security et Next Generation Firewall.
La gamme de produits Forcepoint comprend :
Forcepoint Web Security : une solution de passerelle Web sécurisée conçue pour offrir une
protection aux entreprises qui adoptent le Cloud, puisque leurs utilisateurs accèdent au Web
de n'importe où et sur n'importe quel appareil.
Forcepoint Email Security : une solution de passerelle de messagerie sécurisée conçue
pour stopper le spam et les emails de phishing qui peuvent servir de point d'entrée aux
ransomwares et à d'autres menaces avancées.
Forcepoint CASB : permet aux entreprises d'assurer la visibilité et le contrôle des applications
dans le Cloud comme Office 365, Google G Suite, Salesforce et autres.
Forcepoint NGFW : pare-feux nouvelle génération qui connectent et protègent les
personnes et les données qu'elles utilisent dans les bureaux, les agences et le Cloud.
Forcepoint DLP : une solution complète de prévention des pertes de données qui inclut la
reconnaissance optique de caractères, le Drip-DLP, la détection de chiffrement
personnalisée, le Machine Learning et la prise d'empreintes digitales des données en
mouvement, des données au repos ou des données en cours d'utilisation.
Forcepoint ThreatSeeker Intelligence : sert à recueillir quotidiennement des indicateurs
potentiels de l'activité des menaces émergentes à l'échelle mondiale et fournit des mises à
jour rapides à l'échelle du réseau.
Forcepoint Behavioral Analytics (BA) : permet aux équipes de sécurité de surveiller de
manière proactive les comportements à haut risque en s'appuyant sur des données
structurées et non structurées pour fournir une visibilité sur les activités humaines, les
modèles et les tendances à long terme qui peuvent impliquer un risque humain.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 15Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Forcepoint Insider Threat : une solution de surveillance des activités des utilisateurs utilisée
pour protéger les organisations contre le vol de données, la fraude et le sabotage de la part des
salariés et autres initiés. Elle offre des capacités de collecte approfondies, notamment les frappes
et la vidéo d'activités à haut risque, ce qui fournit aux équipes de sécurité un contexte et une
visibilité sur les intentions de l'utilisateur.
Forcepoint Security Manager Console : permet la gestion intégrée des règles, la création de
rapports et l'enregistrement pour plusieurs passerelles sur site et/ou dans le Cloud pour les clients
hybrides. Les fonctions unifiées de gestion et de création de rapports simplifient le travail des
équipes de sécurité en leur donnant le contexte et les informations dont elles ont besoin pour
prendre de meilleures décisions, réduire la durée des attaques et empêcher l'exfiltration des
données sensibles.
POINTS FORTS
Forcepoint offre un large éventail de solutions de sécurité intégrées couvrant le Web, la
messagerie, la prévention des pertes de données (DLP), les menaces internes, les
applications Cloud et les pare-feux, avec une threat intelligence partagée et appliquée sur
tous les canaux.
Les offres flexibles de Forcepoint permettent aux clients d'acheter le produit et les
fonctionnalités dont ils ont besoin et d'ajouter des fonctionnalités plus avancées au fil du
temps en fonction de l'évolution des menaces et des besoins.
Forcepoint Behavior Analytics (BA) permet aux équipes de sécurité de surveiller de manière
proactive les comportements à haut risque au sein de l'entreprise.
Le produit CASB de Forcepoint offre une visibilité approfondie sur l'utilisation des
applications Cloud comme Office 365, Google G Suite, Salesforce et bien d'autres.
Forcepoint propose son propre DLP contextuel qui offre une protection professionnelle contre
le vol de données sur les terminaux, les passerelles Web et de messagerie, ainsi que sur le
stockage réseau et dans le Cloud. Des techniques de détection avancées, telles que l'OCR
(reconnaissance optique de caractères), le « Drip-DLP » et les charges utiles chiffrées assurent
son efficacité.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 16Protection contre les APT - Market Quadrant 2019
Quadrant 2019
POINTS FAIBLES
Forcepoint doit intégrer les produits Forcepoint Insider Threat et Forcepoint NGFW à ses produits
Web Security et Email Security, ainsi qu'à des solutions tierces, au fur et à mesure qu'elle élabore sa
vision en tant que plateforme nouvelle génération.
Pour la correction, les solutions Forcepoint fournissent actuellement l'identification, le
blocage et les alertes de compromission, mais ne fournissent pas la suppression des
programmes malveillants ou la création de nouvelles images pour les appareils.
Forcepoint ne fournit pas de solution EDR. Cependant, Forcepoint AMD peut s'intégrer à
des solutions EDR tierces grâce à des intégrations personnalisées.
MCAFEE
2821 Mission College Boulevard
Santa Clara, CA 95054
www.mcafee.com
McAfee offre des solutions et des services de sécurité aux entreprises et aux consommateurs.
L'entreprise fournit des solutions de sécurité, une threat intelligence et des services qui
protègent le Cloud, les terminaux, les réseaux, les serveurs et plus encore. En 2017, McAfee a
fait l'acquisition de Skyhigh Networks, un important éditeur de services CASB.
SOLUTIONS
McAfee Advanced Threat Defense permet aux entreprises de détecter les attaques ciblées
avancées et d'utiliser les informations sur les menaces pour agir et se protéger immédiatement.
McAfee propose des appliances physiques, des appliances virtuelles et des options dans le Cloud.
Contrairement au sandboxing traditionnel, Advanced Threat Defense inclut l'analyse statique du
code et le Machine Learning, qui fournissent une inspection supplémentaire pour élargir la
détection et révéler les menaces difficilement détectables. L'intégration étroite entre les solutions
de sécurité, du réseau et terminal aux enquêtes et à la prise en charge des normes ouvertes, permet
un partage instantané des informations sur les menaces au sein d'une organisation, y compris dans
les environnements aux éditeurs multiples. La protection est renforcée lorsque les tentatives
d'infiltration dans l'organisation sont bloquées. Des indicateurs de données compromises servent à
détecter et corriger les infiltrations de menaces, ce qui aide les organisations à se remettre d'une
attaque.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 17Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Advanced Threat Defense comprend les caractéristiques suivantes :
Analyse avancée : garantit que l'analyse dynamique par le sandboxing, l'analyse de code
statique et le Machine Learning fournissent ensemble des capacités d'inspection et de
détection. L'activité malveillante est observée dans l'environnement de sandbox et examinée
simultanément avec une analyse statique approfondie du code et du Machine Learning pour
élargir la détection et identifier les manœuvres d'évitement.
Déploiement centralisé : permet aux clients d'exploiter les ressources partagées entre les
protocoles et les produits pris en charge pour l'analyse des programmes malveillants grâce à
une architecture évolutive basée sur des appliances. Les options de déploiement flexibles
comprennent les appliances physiques, les appliances virtuelles et les options dans le Cloud,
comme Azure.
Cadre de sécurité intégré : initiative à l'échelle de McAfee qui permet à des solutions
intégrées de faire passer les organisations du stade de l'analyse et de la conviction à la
protection et à la résolution. Au niveau des données, Advanced Threat Defense s'intègre à
d'autres solutions pour prendre des décisions immédiates sur les étapes suivantes : blocage
du trafic, exécution d'un service de terminal, enquête et/ou détection d'une attaque organisée
contre des individus ciblés.
Advanced Threat Defense s'installe et s'intègre directement aux autres solutions McAfee,
notamment :
McAfee Network Security Platform (IPS)
McAfee Enterprise Security Manager (SIEM)
McAfee ePolicy Orchestrator (ePO)
McAfee Endpoint Solutions
McAfee Active Response (EDR)
McAfee Web Gateway
McAfee Threat Intelligence Exchange
Ces intégrations fonctionnent directement ou par l'intermédiaire de Data Exchange Layer (DXL)
qui sert de courtier d'informations et de couche de messagerie middleware pour les produits de
sécurité McAfee. Les API REST et McAfee Data Exchange Layer (DXL) facilitent l'intégration
aux produits tiers. McAfee prend en charge les normes de partage des menaces, telles que
Structured Threat Information eXpression (STIX) et Trusted Automated eXchange of Indicator
Information (TAXII) pour permettre une intégration plus poussée à des solutions tierces.
Advanced Threat Defense prend également en charge les passerelles de messagerie tierces et
l'intégration à BRO-IDS, un dispositif de contrôle de sécurité réseau open source.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 18Protection contre les APT - Market Quadrant 2019
Quadrant 2019
POINTS FORTS
McAfee offre une flexibilité de déploiement et d'achat par le biais d'appliances,
d'appliances virtuelles et de formes de Cloud avec des options d'achat en fonction du
budget d'investissement et d'exploitation. McAfee Advanced Threat Defense est
également disponible sur Azure Marketplace.
L'association d'un code statique approfondi, du Machine Learning et de l'analyse
dynamique par sandboxing offre des capacités d'analyse et de détection solides.
L'intégration étroite entre Advanced Threat Defense et les solutions de sécurité, que ce soit
directement ou par le biais d'API, de normes ouvertes ou du Data Exchange Layer (DXL) de
McAfee, permet de partager les informations et d'agir immédiatement sur le réseau lorsque
des fichiers malveillants sont détectés. Les partenaires de McAfee Security Innovation
Alliance s'intègrent également pour publier et s'abonner à la threat intelligence de DXL.
Les rapports et les résultats comprennent le partage des données sur les indicateurs de
compromission (IOC) au moyen de normes de partage des menaces (STIX/TAXII) pour
mieux cibler les enquêtes ou prendre des mesures.
McAfee offre une protection complète des terminaux, des postes de travail et des serveurs.
Des moteurs de détection supplémentaires, notamment les signatures, la réputation et
l'émulation en temps réel améliorent la vitesse d'analyse.
L'appareil d'analyse centralisé agit comme une ressource partagée entre plusieurs dispositifs
de sécurité McAfee, ainsi que d'autres éditeurs.
Advanced Threat Defense gère l'analyse du trafic chiffré et utilise en outre une technique
propriétaire qui permet d'extraire, de pénétrer et de déchiffrer les échantillons pour les
analyser.
McAfee prend en charge les déploiements centralisés et vectoriels, où les clients peuvent
acheter en fonction du volume de fichiers analysés, quel que soit le vecteur d'origine
(Web, terminal ou réseau).
McAfee offre sa propre technologie DLP, qui est appliquée en ligne au trafic par une
passerelle Web intégrée.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 19Protection contre les APT - Market Quadrant 2019
Quadrant 2019
POINTS FAIBLES
McAfee n'offre pas sa propre solution de passerelle de messagerie. Cependant, McAfee
Advanced Threat Defense s'intègre aux solutions de messagerie de tiers pour fournir une
analyse des pièces jointes.
Le déploiement dans le Cloud n'est pour le moment pas disponible avec AWS.
McAfee Advanced Threat Defense ne prend pas en charge Apple macOS, ni les plateformes Linux.
L'inspection des attaques contre les appareils mobiles de McAfee Advanced Threat Defense
est disponible uniquement pour les applications Android (.apk). Cependant, la gestion et la
protection des appareils iOS et Android sont assurées par McAfee MVISION Mobile.
Concernant la correction, McAfee Active Response lance plusieurs actions (par exemple,
le blocage, le nettoyage des programmes malveillants et la mise en quarantaine des
terminaux), mais ne permet pas la restauration à un état antérieur. Cependant, la correction
par annulation est assurée par l'intermédiaire de McAfee MVISION Endpoint.
KASPERSKY
39A/3 Leningradskoe Shosse
Moscou 125212
Fédération de Russie
www.kaspersky.com
Kaspersky est un groupe international qui fournit une large gamme de produits et de solutions de
sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les
consommateurs du monde entier. Les solutions professionnelles de cette entreprise s'adressent à
un large éventail de clients, que ce soit les grandes entreprises ou les PME. Kaspersky est une
entreprise privée.
SOLUTIONS
La gamme de solutions Threat Management and Defense de Kaspersky comprend les
solutions suivantes :
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 20Protection contre les APT - Market Quadrant 2019
Quadrant 2019
Kaspersky Anti-Targeted Attack Platform (KATA) : solution réseau qui permet de
repérer rapidement les traces de menaces et de corréler les attaques multi-vecteurs de
façon unifiée.
Kaspersky Endpoint Detection and Response (KEDR) : solution basée sur agent qui
fournit des capacités avancées de détection, d'enquête et de réaction.
Threat Intelligence Portal : portail basé dans le Cloud donnant accès à la base de
connaissances de Kaspersky sur les menaces, les objets légitimes et les différentes
relations entre eux.
Kaspersky Endpoint Security (KES) : plate-forme de protection des terminaux multi-niveaux.
Kaspersky Secure Mail Gateway (KSMG) : améliore les scénarios de détection avancée
grâce à une prévention rapide des menaces par email. Sa sortie est prévue au troisième
trimestre 2019.
Kaspersky Web Traffic Security (KWTS)/Secure Web Gateway (KSWB) : améliore la
détection avancée des menaces Web grâce à une prévention automatisée. Sa sortie est
prévue au troisième trimestre 2019.
Kaspersky Private Security Network (KPSN) : base de données de threat intelligence pour
les organisations ayant des réseaux isolés, des politiques strictes de partage de données et de
conformité réglementaire.
Cybersecurity Services : donne accès à une base de connaissances mondiale sur les
menaces, à la formation de spécialistes, ainsi qu'à une analyse 24 heures sur 24 des
événements de sécurité des informations et l'intervention rapide en cas d'incident, qui
permettent aux entreprises de détecter rapidement les actes malveillants et de prévenir les
attaques futures.
Les produits Kaspersky Anti-Targeted Attack Platform (KATA) et Kaspersky Endpoint
Detection and Response (KEDR) sont conçus pour offrir les fonctionnalités suivantes :
o Analyse de réseau : plusieurs sondes servent à détecter les activités dans plusieurs zones de
l'environnement informatique du client. Cela permet la détection « en temps quasi réel » des
menaces complexes et des menaces persistantes avancées (APT).
La sonde réseau est capable d'extraire les informations sur la source, la destination,
le volume des données et la périodicité du trafic réseau (même s'il est chiffré). Ces
informations sont généralement suffisantes pour prendre une décision sur le niveau
de suspicion du trafic et pour détecter les attaques potentielles. Elle prend en charge
les protocoles SMTP, POP3S, HTTP, ICAP, FTP et DNS.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 21Protection contre les APT - Market Quadrant 2019
Quadrant 2019
La sonde ICAP se connecte au serveur proxy pour intercepter le trafic Web via le
protocole ICAP. La sonde ICAP peut aussi transmettre des objets par HTTPS.
La sonde de messagerie prend en charge l'intégration aux serveurs de messagerie, via
une connexion POP3S et SMTP vers la boîte de réception spécifiée. La sonde peut être
configurée pour surveiller n'importe quel ensemble de boîtes de réception.
o Moteur de Machine Learning (analyseur d'attaques ciblées) : reçoit les métadonnées de
trafic réseau fournies par les sondes réseau et les sondes de terminaux, et joue un rôle central
dans l'obtention d'une détection haute performance. Il utilise des traitements avancés et
intelligents, des techniques de Machine Learning et l'accès à Global Threat Intelligence pour
assurer une détection rapide des comportements anormaux et suspects.
o Analyse de la réputation des URL : grâce aux données de réputation du réseau mondial de
sécurité Kaspersky Security Network basé dans le Cloud, elle permet de détecter les URL
suspectes ou indésirables. Elle comprend également des informations sur les URL et les
domaines liés à des attaques ciblées.
o Détection d'intrusion : comprend la technologie IDS (système de détection des
intrusions) standard, combinant à la fois la détection traditionnelle et avancée des
menaces, pour se protéger contre les menaces avancées. Les ensembles de règles IDS
sont automatiquement mis à jour.
o Sécurité Web : l'intégration à Kaspersky Web Traffic Security permet d'effectuer une
prévention Web basée sur des scénarios de détection avancés.
o Protection des terminaux : gestion unifiée des menaces découvertes et évitées par Kaspersky
Endpoint Security et Kaspersky Endpoint Detection and Response, qui donne aux agents de
sécurité la possibilité d'exécuter un processus complet de réponse aux incidents depuis la
même console, de la découverte des incidents aux actions correctives.
o Sécurité de messagerie : Kaspersky Anti Target Attack est entièrement intégré au produit
Kaspersky Security Mail Gateway, ce qui lui permet de bloquer les menaces par email.
Copyright © Mars 2019, The Radicati Group, Inc. Reproduction interdite 22Vous pouvez aussi lire
