Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

IBM QRadar Advisor with Watson étend ses connaissances sur les techniques cybercriminelles

novembre 2018 par Marc Jacob

IBM Security annonce le lancement de QRadar Advisor with Watson, avec de nouvelles fonctionnalités pour les plateformes sécurisées par IA : elles bénéficient désormais d’une meilleure compréhension des comportements cybercriminels et peuvent tirer des leçons des mesures de sécurité mises en place au sein d’une entreprise. IBM Security a également adopté le modèle Open Source MITRE ATT&CK, une base de données qui s’appuie sur les constats concrets de la communauté de sécurité pour soutenir les analystes dans leur compréhension de l’évolution des attaques et de leurs possibles conséquences.

Dans le contexte d’estimations qui prédisent jusqu’à 3,5 millions de postes vacants en matière de cybersécurité d’ici 20211, Source : Cyber Security Ventures les équipes de sécurité souffrent déjà aujourd’hui d’un manque d’effectifs et de compétences, pourtant essentiels pour analyser efficacement et répondre à une colossale quantité d’incidents et alertes de cybersécurité. L’utilisation de l’intelligence artificielle et de l’apprentissage automatique peut mettre à disposition des analystes les connaissances et l’automatisation dont ils ont besoin pour un traitement plus efficace et plus rapide des menaces critiques – par exemple avec QRadar Advisor with Watson, qui fonde son apprentissage sur les dernières recherches en vigueur dans la communauté de sécurité externe, ainsi que sur les activités en cours au sein de l’entreprise.

Dans le cadre de sa dernière édition, IBM a développé de nouveaux modèles d’analyse et d’apprentissage pour permettre à QRadar Advisor d’identifier les schémas d’attaque lents qui s’inscrivent dans la durée et de s’adapter à l’environnement client local. En s’appuyant sur les interactions complémentaires et les interventions des analystes, cette boucle d’apprentissage gagne en intelligence sur la durée : l’outil est ainsi en mesure de fournir des recommandations solides sur la méthode de réponse, ainsi que des indicateurs de fiabilité fondés sur la cohérence entre les incidents et les données d’historique.

Relier les points pour un durcissement du traitement des menaces

MITRE ATT&CK est une base de données Open Source sur le comportement en matière de cybercriminalité, élaborée sur la base d’exemples et de connaissances de la vie réelle fournis par des experts en cybersécurité dans n’importe quel type de secteur d’activité. Elle permet de définir des modèles de comportement d’une menace étape par étape. Avec l’utilisation du modèle ATT&CK, QRadar Advisor with Watson évolue au-delà de la simple identification de la menace ou mise à disposition d’informations externes : il apporte désormais un éclairage nouveau sur la progression des attaques externes et menaces internes au sein de la structure client. Il détermine, par exemple, si un programme malveillant s’est contenté de s’installer dans une structure, ou s’il a collecté des données, comme des informations d’identifiants ou de cartes de crédits. Cette mise en contexte supplémentaire assure donc un certain degré de fiabilité et de pertinence pour chaque étape d’une attaque. Cette fonctionnalité renforce la visualisation de l’évolution d’une attaque et permet de repérer instantanément à quel stade de son cycle de vie se trouve un incident. Les analystes peuvent ainsi prévoir le comportement futur de l’incident et donc optimiser considérablement le délai et l’efficacité de leur réponse.

Ces informations supplémentaires, mises à disposition par QRadar Advisor, renforcent les compétences des analystes et les aident à établir des liens logiques pour mieux comprendre la portée globale d’une attaque – ce qui relève, en temps normal, de l’analyste de haut niveau ou d’un chasseur de menaces. Avec ATT&CK, Advisor est également en mesure de soumettre aux analystes un modèle de traitement de l’incident plus fiable, à partir duquel ils peuvent ensuite élaborer les prochaines étapes de réponse en fonction du niveau d’avancement de l’incident. QRadar Advisor exploite donc le modèle ATT&CK pour établir un contexte élargi et normalisé avec le plan de réponse aux incidents au sein de la société.

Mettre en œuvre de nouveaux modèles d’apprentissage des menaces au sein d’une organisation

Par ailleurs, IBM Security étend l’intelligence de QRadar Advisor with Watson en lui permettant d’apprendre et de contextualiser à la fois le comportement des menaces et les actions de sécurité entreprises au sein d’une organisation.

La version initiale de QRadar Advisor with Watson permet à Watson de collecter, lire et comprendre les données de sécurité de sources externes, qu’elles soient structurées ou non. Elle met également à portée des analystes les informations particulièrement pertinentes qui renforceront leur bonne compréhension des informations déjà connues et publiées sur une menace donnée. Désormais, QRadar Advisor est capable d’apprendre des actions entreprises au sein des environnements clients – aussi bien en temps réel qu’en fonction des actions passées en lien avec certains types d’événements. IBM dote actuellement QRadar Advisor de deux nouvelles fonctionnalités :

• Modèles d’élimination des menaces :
Pour construire un modèle des nouveaux types de menaces, QRadar Advisor utilise de nouveaux algorithmes, basés sur les actions et conséquences d’événements passés et comparables au sein d’une organisation donnée. Lors du déclenchement d’une nouvelle analyse, l’utilisation de ce modèle peut permettre d’exclure les faux positifs, ou aider l’analyste dans sa prise de décision sur le traitement de la menace (programme malveillant, vol de données ou autre type de menaces spécifiques). Cette fonctionnalité gagne considérablement en intelligence au fil de son utilisation, apprenant et s’adaptant en fonction des interactions avec les analystes.

• Analyses d’enquêtes croisées :
Au sein d’un même centre opérationnel de sécurité (SOC), plusieurs analystes sont susceptibles de travailler sur des attaques différentes mais corrélées, ou même des attaques réparties sur plusieurs mois faisant partie d’une même campagne d’attaque sur le long terme. Cette fonctionnalité utilise un raisonnement cognitif pour grouper automatiquement les enquêtes corrélées, ce qui permet à QRadar Advisor de repérer les points communs entre les enquêtes, de contextualiser les informations et donc d’éviter la redondance du travail.

En associant ces nouveaux modèles d’apprentissage, qui contextualisent les activités au sein du réseau, avec les capacités d’enquête et de traitement de la recherche publiée au sein de la communauté de Watson for Cyber Security, les analystes peuvent désormais utiliser QRadar Advisor pour accompagner la mise en place d’enquêtes approfondies et plus cohérentes, garantissant par là-même une réaction plus rapide et efficace.


Voir les articles précédents

    

Voir les articles suivants