Toilettage d'hiver pour QRadar, l'offre SIEM en mode cloud d'IBM qui intègre plusieurs éléments dans la surveillance des cloud hybrides, des solutions open source et des wokload d'IA. L’offre combine la structure SIEM existante de la suite QRadar avec des capacités d'IA générative et de détection des menaces pour améliorer l’ingestion des données et la mise à l'échelle de la recherche et de l'analyse.

« Nous avons reconstruit notre SIEM à partir de zéro, en utilisant Red Hat Open Shift comme architecture de données sous-jacente et en tirant parti d'une technologie d'entreposage de données haute performance pour la gestion des logs », a déclaré Chris Meenan, vice-président de la gestion des produits chez IBM Security. « Les clients actuels de QRadar pourront désormais moderniser leurs opérations de sécurité avec une base de données construite spécifiquement pour les besoins des environnements hybrides multicloud », a-t-il ajouté. IBM QRadar Cloud-Native SIEM sera disponible d'ici la fin de l'année, d’abord en mode SaaS, en attendant la livraison des logiciels pour les environnements sur site et multicloud prévue pour 2024.

Du SIEM natif pour l'interopérabilité

Construit sur Red Hat OpenShift pour un déploiement agnostique, le SIEM d'IBM sera ouvert à un « niveau fondamental », de façon à assurer l’interopérabilité avec de multiples fournisseurs de cloud et leurs outils. QRadar s'appuiera sur des logiciels libres et des normes ouvertes pour les fonctions principales, notamment les règles de détection des menaces et les langages de recherche. « L'approche ouverte d'IBM est absolument essentielle pour permettre aux clients de profiter des avantages du cloud dans les environnements hybrides multicloud », a déclaré Chris Meenan. « D'autres fournisseurs proposent une architecture basée davantage sur une approche de cloud unique, ce qui fait que les analyses de sécurité, les intégrations et les options de recherche fonctionnent bien dans leur cloud natif, mais sont difficiles à mettre en œuvre dans un environnement de cloud hybride distribué ».

Dans le cadre de cette orientation « ouverte », le SIEM d’IBM prend en charge les règles unifiées communes et partagées du langage de détection Sigma, si bien que les clients peuvent importer d'autres indicateurs provenant directement de la communauté responsable de la sécurité à mesure de l'évolution des menaces. L'utilisation de technologies open source promet une « recherche fédérée et des capacités de chasse aux menaces », avec la possibilité de rechercher et d’enquêter sur les menaces à travers toutes les sources de données du cloud et sur site d'une « manière unique et unifiée, sans déplacer les données de leur source d'origine », a déclaré IBM. Cependant, l'approche « cloud-natif » en elle-même pourrait ne pas suffire à IBM pour concurrencer les acteurs existants. « Cette seule architecture cloud-native n’offre pas d’avantage à IBM par rapport à des fournisseurs comme Devo, Google, Microsoft et Splunk qui ont adopté une stratégie similaire », a déclaré Jon Oltsik, analyste chez ESG. « IBM doit rivaliser sur les caractéristiques/fonctionnalités, mais le fournisseur a de bons arguments à faire valoir en matière d’ouverture, de fédération des données, de soutien des normes, d’écosystème de partenaires, etc. » 

IA et automatisation

Pour automatiser la détection des menaces et les processus d'investigation, le SIEM restructuré introduit et emprunte plusieurs capacités d'IA. Parmi les fonctionnalités à base de cette technologie, on peut citer la priorisation des alertes, l'enquête sur les menaces et la détection adaptative. Les algorithmes d'IA développés par IBM servent à réduire le bruit et à automatiser le regroupement, la contextualisation et l'escalade des alertes prioritaires. L'enquête sur les menaces utilise également des moteurs d'IA pour effectuer des recherches automatisées dans les systèmes connectés, générant une chronologie visuelle de l'attaque, des correspondances MITRE ATT&CK et des actions recommandées. La détection adaptative fait référence à la mise à jour automatique des règles de détection à mesure de l'arrivée des informations. « Les technologies d'IA de QRadar ont été développées au sein d'IBM et affinées pendant plusieurs années, entraînées sur des millions d'alertes provenant de milliers de clients, ainsi que sur le contexte externe des menaces et les modèles historiques de réponse des analystes », a encore déclaré Chris Meenan. « Certaines de ces capacités d'IA ont aussi été développées en collaboration avec l'équipe des services de cybersécurité d'IBM, qui gère les opérations de sécurité pour des milliers de clients dans le monde ».

Simultanément à cette annonce, IBM a fait part de son intention de lancer des capacités de sécurité génératives basées sur l'IA via QRadar Suite au début de 2024. Celles-ci seront principalement construites sur watsonx, la plateforme d'IA et de données de l'entreprise. « Compte tenu de son expérience avec Watson et de l'engagement global d'IBM en faveur de l'IA à l'échelle de l'entreprise, je pense que ses capacités d'IA générative seront solides, mais c'est un domaine qui reste assez déroutant pour les clients », a déclaré Jon Oltsik d’ESG. « IBM doit aider le marché à s’orienter avec un leadership éclairé et faire en sorte que les clients puissent mettre en œuvre l'IA générative en toute transparence. Le fournisseur continuera à soutenir son offre SIEM QRadar actuelle, tout en offrant aux clients une option de transition vers la solution SIEM cloud native ».