Combiner la GIES et l’IA pour renforcer votre sécurité informatique

La GIES fournit une solution de sécurité pour la détection et la réponse aux menaces, en utilisant de multiples fonctionnalités, telles que la corrélation des événements, les règles de détection personnalisées et l’analyse comportementale, appliquées à la détection des anomalies. Ces fonctions identifient les activités anormales ou suspectes, comme plusieurs connexions simultanées ou une escalade privilégiée se produisant sur un seul système. Les équipes SOC utilisent également des outils NDR pour identifier les comportements réseau anormaux/suspects, comme le balayage de ports, les mouvements latéraux, l’exfiltration de données ou les connexions à des adresses IP malveillantes. Puisque la plupart des cyberattaques comprennent les communications réseau, la NDR est généralement utilisée comme première ligne de défense pour la détection des menaces.

Les GIES utilisent également une corrélation avancée pour comprendre les activités de menace connexes. Lorsqu’une combinaison d’analyses avancées et de corrélation en temps réel est intégrée à un système GIES, elles peuvent être appliquées dès leur sortie de l’emballage aux activités réseau, d’actif, d’utilisateur et d’application pour aller bien au-delà des menaces connues et identifier les activités anormales pouvant indiquer des menaces inconnues.

Une solution GIES idéale vous permet de commencer avec des cas d’utilisation standard, tels que la détection des menaces, la surveillance infonuagique et les rapports de conformité, dès la sortie de la boîte. Au fur et à mesure que vous gagnez en expérience et que votre entreprise se développe, votre GIES devrait évoluer pour prendre en charge plus d’environnements, de multiples zones géographiques et de cas d’utilisation avancés, tels que l’inspection approfondie des paquets, l’analyse du système de noms de domaine (DNS) et l’orchestration, l’automatisation et la réponse de sécurité (SOAR) étroitement intégrées.

En combinant la GIES à la NDR, les organisations disposent des bases analytiques leur permettant d’effectuer une détection et une réponse étendues (XDR). Lorsque ces deux technologies de sécurité sont étroitement intégrées, les organisations peuvent bénéficier des avantages suivants :

• Détection améliorée des menaces. Lorsque l’analyse GIES, la corrélation d’événements et les ensembles de règles déclenchent une alerte, les analystes ont tendance à passer aux outils NDR pour examiner les connexions associées ou à creuser dans les paquets réseau eux-mêmes pour rechercher des fichiers anormaux. Lorsque la GIES et la NDR sont intégrées, ces données peuvent être combinées en alertes haute fidélité avec toutes les données de journal et de réseau présentées simultanément aux analystes. Les systèmes de pointe comprendront également des analyses avancées qui recherchent des comportements malveillants dans une chaîne de destruction qui comprend des données de journalisation et de réseau.
  
• Opérations de sécurité accélérées et rationalisées. Lorsque les systèmes GIES ou NDR déclenchent une alerte, les analystes de la sécurité entreprennent une série de processus chronophages, notamment le triage des alertes, l’interrogation de différents systèmes pour soutenir les données, puis la priorisation des tâches de correction avec les opérations informatiques. En combinant toutes les données suspectes au niveau du réseau et du système, la combinaison de la GIES et de la NDR aide les organisations à rationaliser et à accélérer les opérations de sécurité en présentant les données suspectes sur les événements, le réseau et les connexions en alertes de sécurité compactes et complètes.

L’intelligence artificielle (IA) utilisée dans les solutions et les systèmes de sécurité gère des tâches reproductibles et aide à prendre des décisions meilleures et plus éclairées. L’IA prend de façon proactive les données externes, provenant de partout, et les combine à un environnement natif afin d’aider les organisations à comprendre ce que devrait être leur prochaine décision. Dans tous les cas, les spécialistes en sécurité peuvent décider de la quantité de travail devant être accomplie par l’IA, qu’il s’agisse de tâches chronophages leur permettant de prendre des décisions de routine.  

L’IA au sein d’un SOC donne accès à un référentiel de mémoire institutionnelle pouvant offrir des recommandations conçues pour une organisation spécifique. L’IA permet à une organisation d’équilibrer ses opérations et ses solutions de sécurité.

Rassembler automatiquement différents incidents potentiels. L’IA excelle dans l’automatisation et l’intégration de l’analyse des causes fondamentales. L’IA saisit les connexions pour obtenir des renseignements sur les menaces et les risques, et elle ne se fatigue jamais. L’IA montre des corrélations que votre personnel pourrait manquer en raison du roulement, de l’inexpérience ou du passage du temps. Sans l’IA, les analystes inexpérimentés pourraient fermer une alerte, pensant qu’il s’agit d’une seule instance d’attaque. L’IA trouve des points communs entre les incidents en utilisant le raisonnement cognitif et offre une rétroaction exploitable avec le contexte, que les points communs proviennent d’un billet fermé hier ou des mois précédents. L’IA recueille des renseignements sur les menaces externes afin d’ajouter plus de contexte à votre analyse et cerne ce que les autres peuvent manquer.

Résoudre le problème de votre personnel. L’IA effectue l’analyse des causes profondes et orchestre les prochaines étapes en fonction des connaissances qu’elle a acquises sur les menaces et sur votre organisation. Elle ne prend jamais de vacances ni ne quitte votre entreprise pour un autre emploi. En outre, vous n’avez pas à vous soucier de ne pas reconnaître un indicateur de compromission (IOC) important.

Mener des enquêtes cohérentes et plus approfondies, à chaque fois. L’IA lit les données non structurées et structurées et apprend. L’IA fournit les renseignements dont vous avez besoin pour réduire le temps moyen de détection et le temps moyen de réponse (MTTD et MTTR), grâce à un processus d’escalade plus rapide et plus décisif. L’IA offre des analyses avancées permettant de détecter les menaces connues et inconnues. L’IA mène des enquêtes cohérentes et plus approfondies, à chaque fois, et permet à vos analystes de prendre des décisions basées sur les données au lieu de se fier à leur instinct.

Mener des enquêtes plus approfondies et cohérentes en une fraction du temps. L’utilisation de l’IA pour effectuer une exploration automatique des données de recherche/renseignements sur les menaces permet aux analystes de la sécurité de mener des investigations plus approfondies et cohérentes en une fraction du temps, et permet à ces mêmes analystes de se concentrer sur les enquêtes stratégiques sur les menaces ainsi que la chasse aux menaces. L’IA met en corrélation les renseignements sur les menaces et les investigations, procurant aux analystes une vue plus complète.

Se concentrer d’abord sur les alertes les plus importantes. La priorisation des alertes aide les analystes à trier efficacement les alertes en se concentrant d’abord sur les alertes les plus critiques, en découvrant les faux négatifs et les faux positifs, et en réduisant considérablement les risques de passer à côté des incidents critiques.

Tirer parti de MITRE ATT&CK pour des enquêtes plus efficaces sur les menaces. Le mappage des actions de l’attaquant dressé sur la cadre MITRE ATT&CK illustre visuellement un calendrier des événements montrant la progression d’une menace, ce qui entraîne des enquêtes plus rapides et plus précises sur les menaces, ce qui réduit à son tour la durée de temporisation.

Obtenir une vue d’ensemble complète de l’enquête. L’analyse par investigation croisée reflète une vision plus complète de l’enquête au-delà de l’infraction actuelle en identifiant et en reliant les alertes liées à la même attaque qui, en surface, peut sembler non liée, réduisant ainsi le nombre d’alertes et de duplications des tâches.

Disposer d’un flux de travail d’intervention en cas d’incident (incident response IR) robuste et automatisé qui couvre les personnes, les processus et la technologie. L’IA guide les analystes de la sécurité à travers une réponse rapide et complète, laquelle est motivée par des données et des preuves. Elle automatise le flux de travail et les mesures correctives. Elle permet aux SOC d’évaluer et d’affiner continuellement leurs processus IR.

L’IA permet à votre SOC d’être mieux préparé et de récupérer plus rapidement; avant, pendant et après une violation de données. La plateforme QRadar Security Intelligence Platform d’IBM utilise cette technologie et l’intègre à votre SOC afin de fournir une solution d’analyse globale, le tout sur une seule plateforme.

La GIES QRadar permet de détecter rapidement les menaces et de réagir avec précision avant que les attaquants ne puissent causer des dommages financiers ou des dommages à la réputation de votre marque. Comptant plus de 700 intégrations, 1 500 cas d’utilisation prêts à l’emploi et une visibilité réseau intégrée, la GIES QRadar analyse tous les aspects de votre environnement, trouve des activités suspectes et facilite les réponses rapides. Lorsque les auteurs de menaces déclenchent plusieurs analyses de détection, se déplacent sur le réseau ou changent leurs comportements, la GIES QRadar le remarque. Elle suit chaque tactique et technique utilisée dans une chaîne de destruction, note l’infraction et priorise automatiquement les alertes de haute fidélité en temps réel. Les autres caractéristiques sont les suivantes :

• Application X-Force Threat Intelligence : Tirez parti de tout flux de renseignements sur les menaces en utilisant les formats STIX et TAXII standard ouverts et déployez des données afin de créer des règles personnalisées pour la corrélation, la recherche et la production de rapports.
• Analyse des comportements des utilisateurs (User Behaviour Analytics, UBA) : Détectez les menaces internes au sein d’une organisation en utilisant les données existantes dans un déploiement de GIES QRadar afin de générer de nouvelles perspectives sur les utilisateurs et les risques. L’UBA dresse un profilage des risques et des identités d’utilisateurs unifiées, et assure l’apprentissage automatique afin d’établir des comportements normaux et des groupes de pairs appris afin que la GIES QRadar puisse lancer des alertes sur les anomalies liées aux utilisateurs.
• Modèle de déploiement Saas infonuagique : QRadar on Cloud (QRoC) d’IBM Security réduit les coûts d’infrastructure et de maintenance grâce à un déploiement dans un environnement logiciel-service, aussi appelé logiciel à demande (SaaS), hébergé par IBM. IBM gère la maintenance, les mises à niveau et la surveillance de la santé du système.

CDW Canada est un fournisseur de solutions complètes pour la gamme de solutions IBM et offre l'expertise nécessaire pour répondre aux besoins changeants de votre entreprise.