IBM dévoile une nouvelle version augmentée de sa suite de sécurité SaaS QRadar, conçue pour unifier et accélérer le travail des analystes de sécurité tout au long du déroulement des incidents, de la découverte à la résolution. La suite IBM Security QRadar est une évolution de la marque QRadar, annoncée en 2021 et couvrant toutes les technologies de détection des menaces, d’investigation et de réponse.
Elle est l’aboutissement d’investissements, d’acquisitions et d’innovations d’IBM dans le domaine de la détection et de la réponse aux menaces. Elle met en œuvre des capacités d’IA et d’automatisation qui ont été affinées au fil du temps avec des utilisateurs et des données issues de sa pratique en tant que fournisseur de services, y compris des différentes expériences des services de sécurité gérés d’IBM (IBM Managed Security Services) avec plus de 400 clients. Elle comprend également des innovations développées en collaboration avec IBM Research et la communauté open source de la sécurité.
Sécuriser des environnements de plus en plus dispersés
Les entreprises s’efforcent aujourd’hui de sécuriser des environnements informatiques de plus en plus disséminés, avec la prolifération d’appareils, d’utilisateurs et de technologies qui se répandent dans les clouds et les infrastructures sur site. En conséquence, il est de plus en plus difficile et coûteux de détecter et de contenir la multiplication des événements liés à la sécurité. La suite d’IBM a été conçue pour accélérer le processus d’investigation et de réponse en automatisant la collecte des données et leur analyse.
Pour ce faire, IBM a réorganisé son portefeuille de solutions de détection et de réponse aux menaces afin d’optimiser la détection et le temps de réponse, ainsi que l’efficacité, et de répondre aux besoins spécifiques des analystes de la sécurité. La nouvelle suite IBM Security QRadar combine les fonctions d’un EDR/XDR, d’un SIEM, et d’un SOAR et une nouvelle capacité de gestion des logs dans le cloud, tous conçus autour d’une interface utilisateur commune, d’informations partagées et de flux de travail connectés.
Briser les silos de la cybersécurité
IBM a consenti des investissements significatifs afin de développer sa suite, avec pour objectif de permettre aux analystes en sécurité de briser les silos entre les différentes solutions de sécurité, en fournissant une visibilité complète sur les outils de sécurité et les sources de données, que ce soit dans le cloud ou sur site, et en fournissant aux équipes de sécurité des informations et l’automatisation dont elles ont besoin pour des réponses rapides aux incidents. QRadar fournit ainsi une solution complète aux équipes de sécurité en intégrant des fonctions d’analyse du réseau, de gestion des logs, d’analyse comportementale des utilisateurs, d’intelligence sur les menaces et d’investigations alimentées par l’IA en une seule solution.
QRadar est disponible dans le cloud sur Amazon Web Services (AWS) et se caractérise par une base ouverte et plus de 900 intégrations prédéfinies qui garantissent l’interopérabilité entre IBM et les outils tiers. La suite, alimentée par l’IA, a fait ses preuves selon IBM, en permettant par exemple aux services de sécurité managés d’IBM d’automatiser plus de
70 % des clôtures d’alertes, et de réduire leurs délais de triage de 55 % en moyenne au cours de la première année de mise en œuvre.
La suite comprend les principaux produits suivants, initialement fournis en mode SaaS et mis à jour avec la nouvelle version unifiée pour les analystes :
- QRadar Log Insights est une nouvelle solution de gestion des logs et d’observabilité de la sécurité native du cloud, offrant une ingestion des données simplifiée, une recherche et une analyse rapides. Elle s’appuie sur un lac de données de sécurité optimisé pour collecter, stocker et effectuer des analyses sur des téraoctets de données.
- QRadar EDR et XDR aide à la protection des terminaux contre les menaces zero-day en utilisant l’automatisation et des centaines de modèles de machine learning et de comportements pour détecter les anomalies comportementales et répondre aux attaques en temps quasi réel. Il s’appuie sur une approche unique qui surveille les systèmes d’exploitation de l’extérieur, ce qui permet d’éviter les manipulations ou les interférences de la part d’adversaires. Pour les entreprises qui souhaitent étendre leurs capacités de détection et de réponse au-delà du terminal, IBM propose également XDR avec une corrélation des alertes, une investigation automatisée et des réponses recommandées sur l’ensemble du réseau, du cloud, de la messagerie électronique, ainsi que la détection et la réponse managées (MDR).
- QRadar SOAR est un récent lauréat d’un Red Dot Design Award pour l’interface et l’expérience utilisateur. Ce module aide les organisations à automatiser et à orchestrer les workflows de réponse aux incidents et à s’assurer que leurs processus spécifiques sont suivis d’une manière cohérente, optimisée et mesurable. Il comprend 300 intégrations prédéfinies et offre des playbooks prêts à l’emploi pour répondre à plus de 180 réglementations mondiales en matière de violation de données et de protection de la vie privée.
- QRadar SIEM a été amélioré avec la nouvelle interface unifiée et qui fournit des informations et des workflows partagés avec des outils d’opérations de sécurité plus larges. Il offre une détection en temps réel, en exploitant l’IA, l’analyse du comportement du réseau et de l’utilisateur, et des renseignements sur les menaces. Ceci afin de fournir aux analystes des alertes plus précises, contextualisées et hiérarchisées. IBM prévoit également de rendre le SIEM QRadar disponible en mode as a service sur AWS d’ici la fin du deuxième trimestre 2023.
La nouvelle suite de sécurité d’IBM est conçue pour répondre aux besoins évolutifs des analystes de sécurité sur un marché en mutation rapide. L’éditeur fédère ainsi un écosystème d’applications de cybersécurité unifiant les diverses technologies de sécurité et l’automatisation alimentée par l’IA, afin de rationaliser le flux de travail du centre d’opérations de sécurité (SOC), permettant aux analystes de sécurité d’identifier les incidents de sécurité et d’y répondre plus rapidement et plus efficacement.
L’architecture cloud-native de la suite permet aux équipes SOC de déployer et de gérer la suite plus facilement, libérant ainsi des ressources qui peuvent se concentrer sur des tâches de sécurité de plus haut niveau. En outre,
la base ouverte de la suite et les intégrations prédéfinies facilitent l’interopérabilité avec d’autres outils de sécurité, ce qui permet aux équipes SOC d’intégrer plus facilement la suite dans leur infrastructure de sécurité existante. De fait, IBM est bien positionnée sur un marché où l’intégration et l’unification de la gestion des outils de cybersécurité est une demande pressante des entreprises clientes face à l’évolution et la complexité des menaces. Son expérience unifiée, son architecture native du cloud et sa base ouverte en font une boîte à outils complète pour toute équipe SOC.