Le nouveau SIEM QRadar, conçu pour le cloud, vise à optimiser les capacités des équipes de sécurité actuelles. Il ambitionne d'augmenter et d'améliorer le travail quotidien des analystes de sécurité en utilisant l'IA pour prendre en charge les tâches chronophages et répétitives, permettant ainsi aux analystes de se concentrer sur les menaces les plus prioritaires et d'y répondre plus efficacement.
Réduire le « bruit » et simplifier l'expérience utilisateur
Kevin Skapinetz, Vice-Président de la Stratégie et de la Gestion des Produits chez IBM Security, souligne que « L'objectif est de concevoir une technologie qui simplifie et élimine la complexité, plutôt que de contraindre les analystes à s'adapter à elle, permettant ainsi de réduire le "bruit", de simplifier l'expérience utilisateur et d'habiliter les analystes à s'attaquer aux menaces urgentes avec plus de rapidité et de confiance ».La transition d'IBM vers le cloud natif pour QRadar SIEM est le résultat d'un alignement entre l'évolution technologique, les exigences du marché, la complexité de la migration, et une stratégie commerciale qui vise un marché aux perspectives de croissance, et de maturation, prometteuses. Dans le contexte actuel, où les environnements cloud hybrides se développent rapidement, devenant ainsi plus complexes à sécuriser, cette évolution est un pas significatif pour IBM.
Le QRadar SIEM est construit sur un socle Red Hat OpenShift, le rendant structurellement ouvert et permettant une interopérabilité plus approfondie avec divers outils et clouds. Il utilise l'open source et les standards ouverts pour les fonctions principales, telles que les règles de détection et le langage de recherche, ce qui permet une compatibilité avec les piles technologiques de toutes les entreprises.
Les capacités uniques de recherche fédérée et de traque des menaces basées sur des technologies open-source permettent aux analystes de rechercher et d'enquêter sur les menaces à travers diverses sources de données dans le cloud et sur site de manière unifiée, sans nécessiter de déplacer les données de leur source originale. De plus, le SIEM s'appuie sur l'écosystème QRadar, l'un des plus grands réseaux de partenaires du secteur, avec plus de 700 intégrations prédéfinies.
Une réponse plus proactive à travers divers outils
Dans le cadre de la QRadar Suite, le nouveau SIEM propose une gamme étendue de fonctionnalités qui facilitent une détection, une investigation et une réponse plus proactives à travers divers outils. Avec la QRadar Suite, les entreprises peuvent rechercher des menaces à travers différents outils, protéger les terminaux avec un EDR (Endpoint Detection and Response), et se connecter à des playbooks automatisés pour accélérer la réponse (SOAR Security Orchestration, Automation and Response). QRadar SIEM permet le partage d'informations et d'actions automatisées entre les principaux ensembles d'outils, accessibles directement depuis l'interface utilisateur principale.L'IA d'IBM, conçue pour les entreprises, applique l'inférence et l'automatisation pour améliorer la qualité des alertes et l'efficacité des analystes de sécurité. Ces capacités d'IA ont été pré-entraînées sur des millions d'alertes du réseau de clients d'IBM et sont affinées après le déploiement pour s'adapter à l'environnement de chaque client. Par exemple, les capacités de hiérarchisation des alertes utilisent l'IA pour réduire le bruit et améliorer les alertes, regroupant et escaladant automatiquement les alertes de haute priorité en tenant compte du contexte de risque et des modèles de réponse des analystes. Ces fonctionnalités ont permis à IBM Consulting Cybersecurity Services d'automatiser 85 % de la gestion des alertes pour les clients et d'accélérer le tri des menaces de 55 % au cours de la première année d'utilisation.
Des recommandations en cas d’attaque
L'IA exécute automatiquement des recherches fédérées dans les systèmes connectés, générant une chronologie visuelle de l'attaque, des correspondances MITRE ATT&CK, et des actions recommandées, donnant ainsi aux analystes une longueur d'avance sur les tâches d'investigation. De plus, les analyses de QRadar SIEM sont constamment mises à jour avec de nouvelles règles de détection et des renseignements sur les menaces pour suivre l'évolution des menaces.Enfin, IBM prévoit de lancer des fonctionnalités de sécurité d'IA générative pour QRadar Suite début 2024, basées sur Watsonx. Ces fonctionnalités visent à optimiser le temps et les talents des équipes de sécurité en gérant certaines tâches pour les analystes et en facilitant des travaux plus complexes et à plus forte valeur ajoutée. Par exemple, l'automatisation de la création de résumés d'incidents, l'accélération de la traque des menaces par des recherches générées automatiquement, et l'interprétation des données générées par les machines pour aider les analystes à comprendre rapidement les événements sur un système.
IBM développe également des capacités d'IA générative prédictives, qui seront entraînées pour créer des réponses actives qui s'optimisent avec le temps, comme aider l'équipe de sécurité à trouver des incidents similaires, mettre à jour les systèmes affectés, et corriger le code vulnérable. Au-delà de ces applications, IBM envisage d'intégrer l'IA générative dans l'ensemble de son portefeuille de logiciels et de services de cybersécurité. Ces capacités s'appuieront sur l'infrastructure Watsonx ainsi que sur les modèles d'IA de Watsonx, entraînés sur des ensembles de données spécifiques pour offrir plus de confiance, de transparence et de précision.