Les services managés basés sur l'IA déployés par IBM pourront aider les équipes réseau et sécurité à répondre plus rapidement et plus efficacement aux cybermenaces. Gérée par la branche Consulting de big blue, l'offre Threat Detection and Response (TDR) Services promet une surveillance 24/7, une investigation et une remédiation automatisée des alertes de sécurité provenant d'outils de sécurité existants ainsi que des systèmes cloud, sur site et opérationnels, utilisant le réseau de l'entreprise. Les services peuvent intégrer des informations provenant de plus de 15 outils de SIEM, et de plusieurs logiciels tiers de type EDR par exemple. L'idée est d'aider les entreprises à maîtriser la myriade de vulnérabilités, d'alertes et d'outils de sécurité qu'elles doivent gérer au quotidien. « En utilisant l'IA et d'autres capacités d'analyse, ces services managés peuvent gérer automatiquement le bruit et laisser les équipes IT se concentrer sur les menaces critiques pour l'entreprise », a déclaré IBM.

Disponibles dès maintenant, les services TDR d'IBM n’ont généralement pas besoin d'agents pour recueillir des informations sur l'environnement des clients, comme les serveurs, les endpoints et d'autres dispositifs. « Combinés aux informations du réseau mondial de capteurs d'IBM X-Force et à l'analyse des renseignements, les services utilisent des modèles et des outils d'IA pour filtrer les problèmes non critiques définis par le client et les faux positifs afin de générer automatiquement des alertes à haut risque nécessitant une action immédiate de la part des équipes de sécurité, tout en offrant un contexte d'enquête », a expliqué IBM. « Le service managé de détection des menaces et de réponse d’IBM est capable de débusquer les menaces sur l'ensemble du parc informatique, de faire des détections basées sur le réseau, y compris la capture et l'inspection complète des paquets, mais aussi de détecter un tas d'activités malveillantes, comprenant les ransomwares et les malwares utilisant des techniques d'évasion. Le service comprend également une analyse du comportement des attaquants », selon un récent rapport de KuppingerCole, une entreprise européenne spécialisée dans la gestion des identités et des accès. « IBM MDR est capable d'exécuter automatiquement des actions de confinement prédéfinies, y compris d’arrêter des processus et des sessions réseau, d’isoler des hôtes, de bloquer des communications par port et IP, de mettre en quarantaine des fichiers, de mener des actions de sinkholing, une technique de manipulation des flux de données sur les réseaux, et de prévenir les modifications du registre », a déclaré KuppingerCole.

Une concurrence exacerbée sur le marché des services MDR

Selon KuppingerCole, les services TDR d'IBM sont en concurrence sur le marché du MDR avec de nombreuses autres offres similaires proposées par Arctic Wolf, eSentire, Fortinet, Proficio, ReliaQuest et Sophos. Selon une étude récente réalisée par Canalys et commandée par Cisco, la demande de services managés de sécurité est en hausse sur le marché global des services IT managés. Selon cette étude, alors que les dépenses IT totales devraient augmenter de 3,5 % au niveau mondial en 2023, les revenus des services managés devraient croître de 12,7 %. Les services de cybersécurité et de cyber-résilience, en particulier, contribuent à cette augmentation. « L'évolution des menaces va entraîner l’utilisation croissante d’outils de gestion des réseaux et des terminaux, et une augmentation de la détection et de la réponse à incidents. La demande en matière de conformité augmentera également en raison des nouvelles réglementations », a écrit Canalys. « On assiste à une spécialisation accrue dans des domaines comme l'analyse des données et l'IA pour optimiser les processus et les systèmes, avec, pour objectif, de rendre les services plus prédictifs et proactifs ».

Selon les analystes de KuppingerCole, l'adoption du MDR se fait généralement en réponse à une attaque subie, à des exigences réglementaires, à des fusions et acquisitions et à une demande accrue d’informations de la part du conseil d'administration des entreprises sur l'état de la cybersécurité. « Mais il y a d’autres facteurs, notamment l'adoption croissante des services cloud et la nécessité de sécuriser les données critiques dans le cloud, la reconnaissance des ransomwares comme menace majeure pour la cybersécurité, l'expansion des environnements IT à la mobilité, au edge et au cloud, au travail hybride post-pandémique, et l'augmentation rapide de la quantité de données produites par les entreprises », a constaté le groupe d'analystes. « Pour de nombreuses entreprises, le MDR est le seul moyen de consolider toutes les menaces, outils et systèmes de sécurité en un seul point de contrôle pour traiter et résoudre toutes les alertes, surveiller et répondre à tous les indicateurs de compromission potentielle en analysant toutes les données de sécurité, et évaluer l'efficacité des contrôles existants afin d'identifier où et comment ils peuvent être améliorés », a déclaré KuppingerCole.