Avec IBM QRadar, les pirates informatiques ne pourront plus se cacher dans le réseau. Cette solution est un élément phare du service SOC proposé par Excellium.

Selon IBM Security, les cybercriminels passent en moyenne 191 jours à l’intérieur du réseau avant d’être découverts. Des solutions avancées d’analyse de sécurité peuvent aider à réduire le bruit pour identifier les menaces, même les plus discrètes, ce qui permet de réduire considérablement le temps de détection et de neutraliser les pirates avant qu’ils n’arrêtent votre activité. IBM QRadar permet d’analyser quasi en temps réel les données réseau et fournit un niveau avancé de détection des menaces et d’analyse. 

Au niveau du SOC (Security Operations Center) d’Excellium, IBM QRadar joue un rôle de tout premier plan. Cette solution -disponible dans le cloud- permet de protéger le réseau et de respecter les exigences de surveillance et de production de rapports à un coût total de possession réduit. A part un dispositif passerelle, qui sert à se connecter à QRadar, il n’est pas nécessaire d’installer de matériel supplémentaire sur site. 

Extraire les indicateurs

«Les équipes de sécurité sont submergées de journaux de sécurité chaque jour, mais les examiner ne génère pas toujours le niveau d’informations nécessaire pour détecter les menaces actuelles. Elles cherchent continuellement des méthodes alternatives pour garantir une détection plus précise des menaces, explique Johan Dieltjens, Senior Sales Engineer for QRadar SIEM, IBM Security. QRadar Network Insights analyse les données réseau en temps réel afin d’identifier les mouvements d’un attaquant et d’exposer les menaces cachées vis à vis de la sécurité avant qu’elles n’affectent votre organisation : e-mails de hameçonnage, logiciels malveillants, exfiltration de données, flux latéraux, accès non autorisé au serveur DNS ou aux applications, problèmes de conformité, etc.»

Les menaces de cybersécurité avancées sont de plus en plus difficiles à détecter et à prévenir. «L’activité malveillante se fait souvent passer pour une utilisation normale, ce qui permet aux menaces de se déplacer et de communiquer via les réseaux pour mener à bien leurs objectifs, poursuit Yanis Briki, Cyber Security Consultant, Excellium Services. Ainsi, les mutations de logiciel malveillant qui évitent la détection basée sur les signatures et les techniques d’ingénierie sociale, comme le hameçonnage, permettent d’ouvrir la porte à ces attaques.» 

La capacité d’investigation de QRadar est importante. Elle permet d’extraire des indicateurs importants des données de paquet -par exemple les informations de flux, les métadonnées, le contenu extrait et le contenu suspect. Ce qui veut dire, encore, qu’il est possible d’utiliser le contenu extrait pour une analyse rétrospective sur le long terme. 

Une architecture unique

Toutes les activités des applications sont enregistrées, les artefacts capturés, les actifs identifiés, ainsi que les applications et les utilisateurs qui participent aux communications réseau. Les différents modules de QRadar travaillent ensemble. Ainjsi, QRadar Network Insights est étroitement lié à IBM Security QRadar Incident Forensics pour les examens post incident et les activités de traque des menaces. QRadar Incident Forensics et IBM QRadar Network Packet Capture capturent, reconstruisent et rejouent la totalité des conversations, mais QRadar Network Insights permet de détecter les incidents et informe lorsque des éléments suspects apparaissent lors d’une conversation.

«Globalement, avec QRadar, IBM propose une architecture unique pour l’analyse des données des journaux, des flux, des vulnérabilités, des utilisateurs et des actifs. La corrélation de même que la détection des anomalies comportementales pour l’identification des menaces à haut risque se font quasi en temps réel, argumente Johan Dieltjens. Il va sans dire que la visibilité est complète sur l’activité du réseau, des applications et des utilisateurs. Quant à la conformité réglementaire, elle est automatisée avec des capacités de collecte, de corrélation et de reporting.»