Comment ACME a sauvé son entreprise avec le FS7300 et les safe-guarded copies

/dans Centre de données, cyber-sécurité, Informations/par sixe

Aujourd’hui, les attaques de ransomware sont devenues une menace constante pour les entreprises de toutes tailles. Une solution efficace à ce défi est l’utilisation de copies protégées sur des systèmes de stockage avancés tels que ceux proposés par les systèmes de stockage FS7300 d’IBM. Cet article explore un cas dans lequel un client, que nous appellerons ACME, a pu récupérer ses systèmes critiques en quelques minutes après une attaque de ransomware, grâce aux capacités du FS7300.

Une technologie clé : les copies sécurisées d’IBM

Les copies protégées sur les systèmes IBM FS7300 sont des répliques de données qui sont stockées en toute sécurité et isolées au sein du même système. Ces copies ne sont pas accessibles pour une modification ou une suppression normale, ce qui les rend immunisées contre les attaques de logiciels malveillants tels que les ransomwares.

Notre client

ACME est un prestataire de services financiers de premier plan dans un pays d’Afrique du Nord qui a récemment été confronté à une attaque de ransomware sophistiquée en novembre 2023. Cette attaque a chiffré une quantité importante de ses données critiques, ce qui a affecté les opérations essentielles. Heureusement, j’avais récemment mis en place l’armoire de stockage FS7300 d’IBM, qui comprenait la fonction de copie protégée et dont SIXE avait programmé l’exécution régulière. Une alerte d’IBM Storage Protect a signalé que plus de fichiers que la normale avaient été modifiés au cours des sauvegardes planifiées.

Réponse à l’attaque

Lorsque ACME a eu connaissance de l’attaque, son équipe informatique a agi rapidement. En utilisant les copies protégées stockées dans leur armoire FS7300, ils ont pu restaurer les données affectées en quelques minutes. Cette récupération rapide a été rendue possible par la gestion efficace des données et la capacité de récupération instantanée du système FS7300.

Principaux avantages

La capacité à se remettre rapidement d’une attaque de ransomware est cruciale pour maintenir la continuité de l’activité. Dans le cas d’ACME, la cabine FS7300 d’IBM a été fournie :

  1. Récupération rapide : la restauration des données a été presque instantanée, ce qui a minimisé les temps d’arrêt.
  2. Intégrité des données : Les copies protégées ont permis de s’assurer que les données restaurées étaient exemptes de corruption ou de manipulation.
  3. Opérations ininterrompues : la reprise rapide a permis aux opérations commerciales essentielles de se poursuivre sans interruption notable.

Ce cas montre comment une solution de stockage avancée telle que la baie FS7300 d’IBM, équipée d’une technologie de protection contre la copie, peut être salvatrice dans les situations de crise telles que les attaques de ransomware. Il fournit non seulement une couche supplémentaire de sécurité, mais aussi la certitude que les données professionnelles peuvent être récupérées rapidement et efficacement, ce qui garantit la continuité de l’activité en période d’incertitude et de menaces constantes.

Premiers pas avec l’API QRadar XDR en utilisant python et Alienvault OTX

/dans cyber-sécurité, Informations/par sixe

IBM QRadar XDR est une plateforme de gestion des informations et des événements de sécurité (SIEM) utilisée pour surveiller la sécurité du réseau d’une organisation et répondre aux incidents de sécurité aussi rapidement et complètement que possible. Bien que QRadar soit déjà incroyablement puissant et personnalisable, il y a plusieurs raisons pour lesquelles nous pourrions vouloir l’améliorer avec des scripts Python en utilisant son API complète.

Démarrer avec l’API QRadar

Voyons un exemple de la manière dont vous pouvez utiliser l’API QRadar pour obtenir différentes informations de sa base de données (ArielDB) à l’aide de Python. La première chose dont nous avons besoin est un jeton, qui est créé à partir de l’interface Admin – > Authorised Services.

Générer du code python pour l’API QRadar

Commençons par quelque chose de très simple, se connecter et récupérer les 100 derniers événements détectés par la plateforme.

import requests
import json

# Configura las credenciales y la URL del servidor QRadar
qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'

# Define la URL de la API para obtener los eventos
url = f'{qradar_host}/api/ariel/searches'

# Define los encabezados de la solicitud
headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

# Define la consulta AQL (Ariel Query Language) para obtener los últimos 100 eventos
query_data = {
'query_expression': 'SELECT * FROM events LAST 100'
}

# Realiza la solicitud a la API de QRadar
response = requests.post(url, headers=headers, data=json.dumps(query_data))

# Verifica que la solicitud fue exitosa
if response.status_code == 201:
print("Solicitud de búsqueda enviada correctamente.")
search_id = response.json()['search_id']
else:
print("Error al enviar la solicitud de búsqueda:", response.content)

Dans cet exemple, remplacez <your_qradar_host> par l’adresse de votre serveur QRadar et <your_api_token> par le jeton API que vous avez obtenu de votre instance QRadar.

Ce code invite QRadar à effectuer une recherche sur les 100 derniers événements. La réponse à cette demande de recherche comprendra un “search_id” que vous pourrez utiliser pour récupérer les résultats de la recherche une fois qu’ils seront disponibles. Vous pouvez remplacer cette requête par n’importe laquelle des requêtes disponibles dans le
guide fourni par IBM
 sur la manière de tirer le meilleur parti du langage de requête Ariel de QRadar.

Détection d’IP malveillantes dans QRadar à l’aide des sources ouvertes AlienVault OTX

Alors que dans QRadar nous avons X-Force comme module prédéfini pour effectuer des recherches d’IP malveillantes et les intégrer dans nos règles, pour une multitude de raisons (y compris la fin du support / paiement SWMA à IBM) nous pouvons vouloir utiliser des sources ouvertes pour effectuer ces types de fonctions. Un exemple assez courant que nous abordons dans nos cours et ateliers consiste à maintenir une série de structures de données mises à jour avec des adresses IP “malveillantes” obtenues par le biais de sources de données ouvertes sur la cybersécurité.

En utilisant l’API QRadar, nous pouvons créer un code python pour créer une règle qui met constamment à jour un ensemble de références que nous utiliserons plus tard dans d’autres règles.

Pour réaliser ce que vous demandez, vous devez le diviser en deux étapes.

  1. Tout d’abord, vous devez disposer d’une source ouverte de renseignements sur la sécurité qui fournit une liste d’adresses IP malveillantes. Un exemple couramment utilisé est la liste d’adresses IP malveillantes AlienVault Open Threat Exchange (OTX) que nous venons de mentionner.
  2. Ensuite, nous utiliserons l’API QRadar pour mettre à jour un ensemble de référence avec cette liste d’adresses IP.

La programmation en Python est très simple :

Tout d’abord, téléchargez les adresses IP malveillantes à partir de la source ouverte de renseignements sur la sécurité (dans ce cas, AlienVault OTX) :

import requests
import json

otx_api_key = '<your_otx_api_key>'
otx_url = 'https://otx.alienvault.com:443/api/v1/indicators/export'

headers = {
'X-OTX-API-KEY': otx_api_key,
}

response = requests.get(otx_url, headers=headers)

if response.status_code == 200:
malicious_ips = response.json()
else:
print("Error al obtener las IPs maliciosas:", response.content)

Nous utilisons ensuite l’API QRadar pour mettre à jour un ensemble de références avec ces IP :

qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'
reference_set_name = '<your_reference_set_name>'

url = f'{qradar_host}/api/reference_data/sets/{reference_set_name}'

headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

for ip in malicious_ips:
data = {'value': ip}
response = requests.post(url, headers=headers, data=json.dumps(data))

if response.status_code != 201:
print(f"Error al agregar la IP {ip} al conjunto de referencia:", response.content)

La prochaine et dernière étape consiste à utiliser ce jeu de référence dans les règles dont nous avons besoin – facile !

Vous souhaitez en savoir plus sur IBM QRadar XDR ?

Consultez nos services de vente, déploiement, conseilet formation officielle.

Mise à jour des cours IBM QRadar SIEM/XDR vers la version 7.5.2. Incluant les fonctionnalités SOAR, NDR et EDR de QRadar Suite

/dans cyber-sécurité, Informations/par sixe

Nous avons le plaisir d’annoncer que tous nos cours IBM QRadar SIEM / XDR ont été mis à jour à la version 7.5.2. Dans cette nouvelle version, de puissantes fonctionnalités SOAR, NDR et EDR ont été intégrées à la suite QRadar, offrant à nos étudiants une expérience d’apprentissage encore plus complète et actualisée avec une vision à moyen terme de la technologie grâce à CloudPak for Security et aux nouveaux produits de cybersécurité perturbateurs d’IBM qui sont en cours d’élaboration.

IBM QRadar XDR est la solution de sécurité de l’information leader sur le marché qui permet la gestion et l’analyse en temps réel des événements de sécurité. Grâce à sa capacité à collecter, corréler et analyser des données provenant de sources multiples, QRadar SIEM offre aux organisations une vision holistique de leur posture de sécurité et les aide à détecter et à répondre efficacement aux menaces.

Dans la version 7.5.2 de QRadar SIEM / XDR, trois fonctionnalités clés ont été introduites qui étendent encore les capacités de la plateforme :

  1. SOAR (Security Orchestration, Automation and Response) : Cette fonction permet l’automatisation des tâches de sécurité et l’orchestration des réponses, ce qui rationalise et optimise les processus de détection et de réponse aux incidents. Avec SOAR, les organisations peuvent automatiser les flux de travail, enquêter plus efficacement sur les incidents et prendre des mesures rapides et précises pour contenir et atténuer les menaces.
  2. NDR (Network Detection and Response) : Avec la fonction NDR, QRadar SIEM / XDR étend sa capacité à détecter les menaces sur le réseau. Cette fonction utilise des algorithmes avancés d’analyse du trafic réseau pour identifier les comportements suspects et les activités malveillantes. En combinant la détection des menaces réseau avec la corrélation des événements et les journaux de sécurité, QRadar SIEM / XDR offre une visibilité complète de l’activité des menaces dans l’ensemble de l’infrastructure.
  3. EDR (Endpoint Detection and Response) : La fonction EDR permet de détecter les menaces et d’y répondre sur les terminaux tels que les ordinateurs de bureau, les ordinateurs portables et les serveurs. Avec l’EDR, QRadar SIEM / XDR surveille en permanence les terminaux pour détecter les indicateurs de compromission, les activités malveillantes et les comportements anormaux. Cela permet d’identifier et de contenir rapidement les menaces qui pourraient ne pas être détectées par les solutions de sécurité traditionnelles.

Chez Sixe, nous nous engageons à fournir à nos étudiants les connaissances les plus récentes et les plus pertinentes dans le domaine de la cybersécurité. La mise à jour de nos cours IBM QRadar SIEM / XDR à la version 7.5.2, ainsi que l’ajout des fonctionnalités SOAR, NDR et EDR de la suite QRadar, nous permettent de fournir une expérience d’apprentissage complète qui reflète les dernières tendances et développements dans le domaine de la sécurité de l’information.

Si vous souhaitez en savoir plus sur QRadar SIEM / XDR et profiter de toutes ces nouvelles fonctionnalités, nous vous invitons à découvrir nos cours mis à jour :

Vous pouvez également nous demander des formations ou des conseils sur mesure, ainsi qu’une assistance technique et un soutien pour vos projets QRadar.

Sealpath IRM : nous discutons des intégrations natives et de ses options sur site et SaaS (dans le nuage).

/dans cyber-sécurité, Informations/par sixe

Au cours des dernières années, Sealpath s’est efforcé de proposer des intégrations natives avec un certain nombre d’outils populaires et largement utilisés dans les environnements d’entreprise afin de faciliter l’adoption et d’améliorer l’efficacité de la protection des données et de la propriété intellectuelle. Certains de ces outils sont mentionnés ci-dessous. Vous trouverez ci-dessous une liste actualisée des produits 100 % compatibles avec Sealpath IRM que Sixe a testés et qui sont déjà utilisés par de nombreux clients dans le monde entier.

Principales intégrations de Sealpath grâce à des modules optionnels

Tous ces modules sont disponibles à la fois sur site (installation locale) et en nuage (SaaS).

  1. Sealpath for RDS: ce module vous permet de travailler dans des environnements de bureau à distance ou Citrix qui nécessitent un seul programme d’installation par serveur de terminal.
  2. Sealpath pour les serveurs de fichiers et SharePoint: permet la protection automatique des dossiers sur les serveurs de fichiers, SharePoint, OneDrive, Alfresco et autres référentiels documentaires.
  3. Protection automatique pour Exchange: assure la protection automatique des corps de messages et des pièces jointes dans Microsoft Exchange selon des règles spécifiques.
  4. Connecteur AD/LDAP: permet l’intégration d’Active Directory ou de LDAP dans un système SaaS.
  5. SealPath pour les appareils mobiles: permet d’accéder à la documentation protégée via l’application SealPath Document Viewer ou Microsoft Office Mobile sur les appareils mobiles iOS, Android ou Mac OSX.
  6. Personnalisation de la plateforme: comprend la possibilité de personnaliser l’apparence des invitations par courrier électronique et des portails des utilisateurs et des administrateurs.
  7. Multi-organisation: offre la possibilité d’avoir plus d’un “hôte” ou d’une sous-organisation liée à la même entreprise. Idéal pour les grands groupes ou les administrations publiques ayant différents types de hiérarchies ou des organigrammes très complexes.
  8. DLP Connectors: Permet la protection automatique des informations sur la base des règles configurées dans Symantec, McAfee et ForcePoint DLP, qui sont les solutions que nous apprécions le plus dans ce secteur.
  9. SealPath Sync Connector: facilite l’accès hors ligne à un grand nombre de fichiers stockés dans certains dossiers sur un appareil utilisateur.
  10. Connecteur de classification basée sur la protection: permet la protection automatique des documents classés par une solution de classification de l’information qui inclut des balises dans les métadonnées du fichier.
  11. Navigateur sécurisé SealPath: Permet de visualiser et de modifier des documents protégés dans le navigateur web.
  12. SealPath SDK (.Net, REST, ligne de commande): permet d’utiliser SealPath SDK en format REST, .Net ou ligne de commande pour l’intégration de la protection dans certaines applications d’entreprise.

Comme vous pouvez le constater, les modules et add-ons ne manquent pas pour étendre les capacités de la solution principale Sealpath IRM, permettant aux organisations d’adapter la protection et le contrôle d’accès à leurs besoins spécifiques… et surtout, sans avoir à changer leur façon de travailler ou les produits qu’elles utilisent déjà.

Doit-on le déployer ou utiliser le mode SaaS) ?

C’est la deuxième grande question des clients. Sealpath IRM propose deux modes de déploiement : Software as a Service (SaaS) et On-Premises. Les deux options offrent les mêmes fonctionnalités et la même protection des données, mais diffèrent dans la manière dont elles sont hébergées et gérées. Les principales différences entre les deux modalités sont présentées ci-dessous :

  1. Hébergement et gestion de l’infrastructure :

  • Sealpath SaaS : En mode SaaS, l’infrastructure et les serveurs sont hébergés et gérés par Sealpath dans le nuage. Cela signifie que les clients n’ont pas à se préoccuper de la maintenance du serveur, des mises à jour et de la sécurité, car ces aspects relèvent de la responsabilité de Sealpath.
  • Sealpath On-Premises : Dans l’option On-Premises, l’infrastructure et les serveurs sont déployés et gérés dans les locaux du client ou dans son propre environnement de cloud privé. Cela permet aux clients de mieux contrôler l’emplacement et l’accès à leurs données, mais cela signifie aussi qu’ils doivent gérer et entretenir eux-mêmes les serveurs.

  1. Intégration avec Active Directory et LDAP :

  • Sealpath SaaS : Dans la version SaaS, les clients peuvent intégrer Sealpath à leurs systèmes Active Directory ou LDAP à l’aide du connecteur AD/LDAP. Ce connecteur permet de synchroniser les utilisateurs et les groupes avec le système Sealpath et facilite l’administration des autorisations et des politiques d’accès.
  • Sealpath On-Premises : Dans la version On-Premises, l’intégration avec Active Directory ou LDAP est intégrée par défaut et il n’est pas nécessaire d’acheter un connecteur supplémentaire.

  1. Octroi de licences pour des modules supplémentaires :

  • Sealpath SaaS : certains modules, tels que SealPath for Mobile Devices, sont inclus dans la version SaaS sans coût supplémentaire.
  • Sealpath On-Premises : Dans l’option On-Premises, ces modules doivent être achetés séparément en fonction des besoins de l’organisation.

  1. Personnalisation de la plate-forme :

  • Sealpath SaaS : la personnalisation de l’aspect et de la convivialité de la plateforme (couleurs, logos, etc.) peut être limitée par rapport à l’option sur site, car elle est basée sur un environnement partagé dans le nuage.
  • Sealpath On-Premises : L’option On-Premises permet une plus grande personnalisation de la plateforme, car elle est hébergée dans un environnement dédié contrôlé par le client.

Le choix entre Sealpath SaaS et Sealpath On-Premises dépend des besoins et des préférences de l’organisation en termes de contrôle de l’infrastructure, de coûts et de facilité d’administration. Les deux options offrent une protection solide et les mêmes fonctionnalités pour contrôler l’accès aux informations confidentielles et à la propriété intellectuelle. Contrairement à Microsoft et à d’autres concurrents, les clients ne sont pas contraints d’utiliser un modèle ou un autre, car ils sont les seuls à savoir ce qui leur convient le mieux.

Intéressé par Sealpath IRM ?

Demander une démonstration sans engagement

Sealpath IRM dans le secteur du design industriel : renforcer la gestion de projet et protéger la propriété intellectuelle

/dans cyber-sécurité, Informations/par sixe

Le design industriel est un secteur hautement compétitif dans lequel la propriété intellectuelle joue un rôle crucial. Les chefs de projet des entreprises de design industriel sont confrontés à des défis en matière de gestion des informations sensibles et de protection de la propriété intellectuelle. La solution de gestion des droits de l’information (IRM) de Sealpath peut être d’une grande aide dans ces cas et garantir la protection des informations critiques ainsi qu’une gestion de projet réussie.

Voici quelques-uns des moyens par lesquels Sealpath IRM peut aider les entreprises actives dans le domaine des dessins et modèles industriels dont la valeur dépend de la protection adéquate de leur propriété intellectuelle.

Protection de la propriété intellectuelle dans les fichiers CAO et autres documents

Les fichiers de conception assistée par ordinateur (CAO) et autres documents techniques contiennent des informations précieuses sur les produits et les conceptions d’une entreprise. Sealpath IRM vous permet de protéger ces données sensibles par le biais du cryptage et du contrôle d’accès, en veillant à ce que seuls les utilisateurs autorisés puissent accéder aux fichiers, les modifier et les partager.

Collaboration sécurisée avec les fournisseurs et les clients

Dans le secteur du design industriel, la collaboration entre les fournisseurs, les clients et les autres parties prenantes est essentielle à la réussite des projets. Sealpath IRM permet un partage sécurisé des fichiers et un contrôle de l’accès à l’information, même après que les documents ont été partagés en dehors de l’organisation. La propriété intellectuelle est ainsi protégée tout au long du processus de collaboration.

Contrôle et audit de l’utilisation des fichiers

Sealpath IRM fournit un journal détaillé de l’utilisation des fichiers, indiquant qui a accédé aux fichiers, quand et d’où. Les gestionnaires de projet peuvent ainsi contrôler l’utilisation des informations confidentielles et détecter d’éventuelles failles de sécurité ou une utilisation abusive de la propriété intellectuelle.

Faciliter la conformité réglementaire

Le secteur du design industriel peut être soumis à diverses réglementations et normes relatives à la protection de la propriété intellectuelle et à la confidentialité des données. Sealpath IRM facilite le respect de ces réglementations en veillant à ce que les informations confidentielles soient protégées et accessibles uniquement aux utilisateurs autorisés.

Intégration avec les outils de gestion de projet et les logiciels de CAO

Sealpath IRM peut être facilement intégré aux outils de gestion de projet et aux logiciels de CAO existants, ce qui permet aux chefs de projet de protéger la propriété intellectuelle sans perturber les flux de travail existants. Cela facilite l’adoption de la solution et améliore l’efficacité de la gestion du projet.

Intégration avec d’autres outils commerciaux

En conclusion, Sealpath IRM est un outil précieux pour les entreprises impliquées dans la conception industrielle. En protégeant la propriété intellectuelle et en facilitant une collaboration sécurisée, la solution peut améliorer l’efficacité de la gestion de projet et garantir le succès dans un secteur hautement compétitif. Il s’agit notamment de

  1. Microsoft Office : Sealpath offre une intégration native avec les applications Microsoft Office telles que Word, Excel, PowerPoint et Outlook. Les utilisateurs peuvent ainsi protéger facilement leurs documents, feuilles de calcul et présentations, en contrôler l’accès et les partager en toute sécurité par courrier électronique.
  2. Microsoft SharePoint et OneDrive : l’intégration avec Microsoft SharePoint et OneDrive facilite la protection et le contrôle de l’accès aux fichiers stockés sur ces plateformes de collaboration et de stockage en nuage.
  3. Microsoft Teams : Sealpath s’intègre à Microsoft Teams pour assurer la protection des informations partagées dans les chats et les canaux de collaboration. Cette intégration permet aux utilisateurs d’appliquer des politiques de protection directement à partir de Teams et de contrôler l’accès aux documents partagés.
  4. Google Workspace (anciennement G Suite) : Sealpath s’intègre à Google Workspace pour protéger les documents, les feuilles de calcul et les présentations créés et stockés dans Google Drive. Les utilisateurs peuvent appliquer des règles de protection et contrôler l’accès à leurs fichiers directement à partir des applications Google Workspace.
  5. Alfresco : Sealpath offre une intégration native avec le système de gestion de contenu d’entreprise Alfresco. Cela permet aux utilisateurs de sécuriser et de contrôler l’accès aux documents et aux fichiers stockés dans le référentiel Alfresco.
  6. Box : l’intégration de Sealpath avec Box permet aux utilisateurs de protéger et de contrôler l’accès aux fichiers stockés sur cette plateforme de stockage en nuage. Les utilisateurs peuvent appliquer des politiques de protection et de surveillance directement à partir de l’interface Box.
  7. Salesforce : Sealpath s’intègre à Salesforce pour protéger les informations confidentielles stockées dans la plate-forme CRM. Les utilisateurs peuvent appliquer des politiques de protection et contrôler l’accès aux données directement à partir de Salesforce, ce qui garantit la sécurité des informations sur les clients et la propriété intellectuelle.

La solution vous intéresse ?

Contactez nous et
demander une démonstration

“Le vendeur m’a trompé” ou pourquoi vous avez besoin d’un service Radar technologique

/dans cyber-sécurité, Informations/par sixe

Le titre de cet article, “le vendeur m’a trompé”, est l’un des débuts les plus courants de nos conversations avec les nouveaux clients. De grands projets peu rentables, voire l’omission d’informations clés qui, si elles avaient été connues, auraient changé le cours des décisions technologiques stratégiques. Des spécifications incroyables où quelqu’un oublie les services professionnels nécessaires pour mettre la solution en place et la faire fonctionner, ou la formation adéquate du personnel qui l’exploitera pendant les années à venir. Lire la suite

Nouvelle certification d’analyste en cybersécurité avec QRadar SIEM 7.4.3

/dans cyber-sécurité, Informations/par sixe

Il vient de passer la première des nouvelles certifications IBM QRadar SIEM. Comme toujours, ils ont commencé par le plus simple, celui d’un analyste. Elle est destinée aux professionnels qui souhaitent valider leurs connaissances de QRadar SIEM en version 7.4.3. L’examen est le C1000-139, intitulé “IBM Security QRadar SIEM V7.4.3 – Analysis” et la certification délivrée est“IBM Certified Analyst – Security QRadar SIEM V7.4.3“.

Comme vous le savez (et si vous ne le savez pas, nous vous en parlerons), la principale nouveauté de la version 7.4 est le changement de l’interface utilisateur. Ils ont inclus des tableaux de bord de contrôle et de surveillance pour améliorer la visibilité des incidents de sécurité, avec des correspondances concrètes avec des méthodologies telles que MITRE ATT&CK. C’est un moyen de normaliser les incidents, de donner un peu d’abstraction au produit, de nous donner une vue de plus haut niveau de ce qui se passe, au-delà des règles spécifiques qui ont été appliquées et des chaînes d’événements qui ont été générées.

En tant que conditions préalables (ne faisant pas partie de l’examen), il est nécessaire d’être compétent :

  • Concepts du SIEM (ce qu’il est, ce qu’il n’est pas et à quoi il sert)
  • Maîtriser la théorie des réseaux TCP/IP
  • Avoir une bonne connaissance de la terminologie de la sécurité informatique.
  • Apprenez à connaître les différents modules et plugins de QRadar, tels que Network Insights ou Incident Forensics.

Pourquoi nous pose-t-on la question à l’examen ?

  • Analyse des infractions à la sécurité et des événements (logs, flux réseau, etc.)
  • Compréhension des listes de données de référence (sets, maps, tables, etc.)
  • Maîtriser les règles et les éléments constitutifs
  • Savoir chercher dans les rapports, les créer de toutes pièces, les programmer, les modifier, etc.
  • Avoir une connaissance de base de l’architecture QRadar, principalement de ses composants, des licences et de la configuration au niveau du réseau.
  • Enfin, les configurations multi-domaines et multi-clients, qui semblent devenir de plus en plus à la mode, ont une section dédiée dans cette revue.

Dois-je renouveler ma certification ?

À notre avis, si vous êtes certifié sur les versions 7.2.X ou 7.3.X, il n’est pas nécessaire de se recertifier. Une autre chose est que votre entreprise exige qu’il maintienne un certain niveau de partenariat avec IBM ou qu’il s’agisse d’une exigence pour un appel d’offres public. Toutefois, si vous devez obtenir une certification, profitez-en au maximum et faites-le lorsque les nouvelles versions sont publiées.

Quand le reste des certifications 7.4.2 sera-t-il publié ?

Administrateur” et “professionnel du déploiement” seront publiés entre ce trimestre et le trimestre prochain. Les différences entre tous ces produits ont été abordées il y a quelque temps dans cet article. Bien que les versions changent, les types d’examens et leurs objectifs sont les mêmes.

Pouvez-vous nous aider avec QRadar ?

Bien entendu, nous proposons des formations, des services professionnels, une assistance et nous vendons et renouvelons également vos licences. Contactez-nous et parlons-en.

Nouveaux cours IBM QRadar mis à jour à la version 7.4.2

/dans cyber-sécurité, Informations/par sixe

De tous les cours IBM, les cours QRadar SIEM sont peut-être les plus demandés et les plus appréciés par les clients et les partenaires d’IBM. Par conséquent, à partir de juin 2021, les nouveaux cours officiels seront disponibles : QRadar SIEM Fundamentals (BQ104G) et QRadar SIEM advanced functionalities (BQ204G) . Nous avons également mis à jour notre atelier d’avant-vente, d’architecture, de déploiement et de configuration initiale à la version 7.4. Depuis 2014, nous avons formé plus de 35 clients et 400 étudiants de 20 pays différents à cette technologie étonnante. Nous avons transmis toute notre expérience pratique dans des projets réels et avons aidé à passer avec succès les certifications officielles.

Qu’est-ce que QRadar ?

La solution leader du marché pour la prévention, la détection et la correction des incidents de sécurité. Des centaines de SOC (Security Operations Centers) dans le monde entier s’appuient sur la technologie développée par Q1 Labs et acquise par IBM en 2011 pour compléter leurs capacités de cybersécurité. QRadar nous permet de relier des événements allant de la sécurité physique (contrôles d’accès), des lecteurs de cartes d’identité, des dispositifs OT à l’infrastructure de services déployée dans le cloud ou même aux journaux d’activité quotidienne des utilisateurs. Ses capacités nous permettent d’analyser des milliers d’événements par seconde afin de garantir que notre organisation est non seulement sécurisée, mais aussi conforme aux réglementations et à la législation en vigueur dans le secteur. QRadar a également conclu des partenariats stratégiques avec Juniper Networks, Enterasys, Nortel, McAfee, Foundry Networks et 3Com, entre autres entreprises. Le produit est si puissant que nombre de ces entreprises vendent leurs propres SIEM basés sur la technologie QRadar.

Quoi de neuf ?

Au cours de la dernière année et demie, beaucoup de choses ont changé. De l’interface utilisateur, qui a été entièrement remaniée, aux nouvelles applications qui vous permettent d’analyser les incidents de manière entièrement automatisée. Par exemple, l’application QRadar Advisor avec Watson (IBM AI) fait automatiquement correspondre les tactiques et techniques disponibles dans la base de données MITRE ATT&CK aux règles internes de QRadar. Grâce à un tableau de bord de surveillance innovant, vous pouvez voir les techniques utilisées par les attaquants et leur relation avec les incidents de sécurité ouverts.

Les nouvelles versions vous permettent d’utiliser les conseils et les astuces fournis par IBM QRadar Use Case Manager (anciennement QRadar Tuning app) pour vous aider à optimiser la configuration et le réglage des règles QRadar, en les maintenant toujours à jour et prêtes pour le moment où elles sont nécessaires.

 

Qu’en est-il des certifications ?

Nous aidons depuis longtemps à préparer les examens officiels d’IBM dans les technologies que nous enseignons. C’est pourquoi nous avons décidé qu’à partir de juin 2021, nous inclurons sans coût supplémentaire une journée de préparation aux certifications dans tous les cours privés qui nous sont confiés avec au moins 4 étudiants inscrits.

Je veux m’inscrire à un cours

Contactez-nous et vous recevrez une offre en moins de 24 heures. Tous les cours sont dispensés à la fois en face-à-face et par apprentissage à distance. Nos instructeurs parlent anglais, français et espagnol.

Vous avez besoin d’aide ?

Chez Sixe Ingeniería, nous sommes BP Sécurité IBM. Nous vendons, installons et supportons IBM QRadar SIEM. Nous menons également des formations sur mesure, des séminaires et des conférences techniques. Nous vous conseillons également sur les licences et la définition de l’architecture dont vous avez besoin, sans frais supplémentaires. Demandez une démonstration du produit sans engagement.

L’importance de la cybersécurité dans le secteur de la santé

/dans cyber-sécurité, Informations/par sixe

Les hôpitaux, les centres de santé et tous les éléments qui composent le secteur de la santé dépendent dans une large mesure du bon fonctionnement des systèmes informatisés. En fait, ceux-ci sont indispensables pour effectuer des tâches cliniques et administratives à tout moment pendant tous les jours de l’année. Par conséquent, et compte tenu de la sensibilité élevée des données cliniques des patients, la prévention de la cybersécurité est essentielle. Le vol ou l’utilisation abusive d’eux peuvent avoir des conséquences dévastatrices.

Les cyberattaques contre les hôpitaux et les centres de santé, une pratique inédite

Il est curieux, mais traditionnellement les complexes qui composent le secteur de la santé ont pris peu ou pas soin de leurs processus de cybersécurité. En fait, il a été considéré comme un secteur peu intéressant pour les cybercriminels, alors que l’on pourrait vraiment dire le contraire.

Il est vrai qu’avec l’avènement de la pandémie covid-19, les cyberattaques se sont multipliées et sont devenuesplus pertinentes au niveau des médias. Cependant, ils ne sont pas les premiers. Par exemple, les différentes organisations qui composent le secteur de la santé aux États-Unis ont chiffré les pertes de cette activité criminelle en 2019 à plus de 4 milliards de dollars.

Les risques de ne pas s’occuper de la cybersécurité dans le secteur de la santé

Mais quelles sont les principales raisons pour lesquelles les cybercriminels se concentrent sur l’attaque des hôpitaux et des centres de santé? Fondamentalement, nous pouvons citer ce qui suit:

  • Vol d’informations cliniques sur les patients.
  • Vol de l’identité des médecins spécialistes.
  • Accès aux données sensibles des patients.
  • Achat et vente d’informations cliniques sur le marché noir.

Cela soulage l’importance d’embaucher un professionnel expérimenté avec une carrière en cybersécurité. Mais il y en a d’autres. Par exemple, ces dernières années, le nombre de dispositifs médicaux connectés à Internet a augmenté de façon exponentielle. Et, avec eux, le risque de cyberattaque. En fait, on s’attend à ce que cette tendance se poursuive à la hausse pendant un certain temps.

Ces appareils utilisent la technologiede ce qu’on appelle l’Internet des objets (IoT) et, malgré leur utilité incontestable dans le secteur de la santé, la plupart des cyberattaques sont dirigées vers eux. Le manque de protection et de vulnérabilité qu’ils présentent aux pirates signifie que, dans trop de cas, la sécurité de l’utilisateur final est compromise par eux.

La formule préférée des cybercriminels pour attaquer les appareils IoT de soins de santé

Il ne fait aucun doute que les fichiers ransomware et les logiciels malveillants sont les plus couramment utilisés par les cybercriminels lors de l’attaque des centres de santé, des hôpitaux et d’autres endroits particulièrement vulnérables dans le secteur de la santé.

Un ransomware est un programme qui télécharge, installe et fonctionne sur votre ordinateur grâce à Internet. Ce faisant, il «détourne» tout l’appareil ou une partie des informations qu’il stocke et, en échange de sa libération, demande un renflouement économique (d’où son nom).

La suppression de ces fichiers et logiciels malveillants n’est pas excessivement complexe pour les spécialistes de la sécurité informatique, mais les conséquences qu’ils peuvent avoir sur les hôpitaux et les centres médicaux sont d’une grande considération. Par exemple, ils impliquent :

  • Perturbation des processus opérationnels du centre, au moins, sur les ordinateurs IoT affectés.

  • Incapacité d’accéder à l’information des patients et aux tests diagnostiques.
  • Besoin de restaurer les systèmes et les sauvegardes.
  • Dommages à la réputation de l’entreprise du centre ou de l’entreprise après avoir subi l’attaque.

Tout cela a un coût économique très important du point de vue commercial. En fait, il peut être si élevé que l’investissement de la mise en œuvre des meilleures solutions de cybersécurité semble ridicule. Il suffit de restaurer les systèmes est une tâche qui peut arrêter l’activité du centre médical pendant près d’une journée.

Comment prévenir les cyberattaques dans le secteur de la santé?

Fait intéressant, la meilleure façon de
prévenir les cyberattaques contre l’équipement IoT
 est d’investir stratégiquement dans ces appareils. C’est-à-dire en les faisant un usage de plus en plus grand et meilleur. De plus en plus de technologies sont en place pour contrôler l’accès, bloquer les attaques par des fichiers malveillants et, en fin de compte, protéger les informations et les processus critiques avec le moins d’intervention humaine possible.

La réalité est d’acquérir une infrastructure d’équipement, de programmes et de personnel spécialisé au sein d’un hôpital ou d’un centre médical peut être un investissement inéumable. Cependant, il existe des alternatives. Le plus intéressant d’entre eux est celui qui passe par la mise en œuvre de solutions cloud. La réduction des coûts est très sensible et les solutions proposées sont très efficaces.

Les solutions SaaS(Software as a Service)sont actuellement les plus utilisées dans les centres médicaux qui utilisent des plates-formes cloud pour leurs systèmes. Mais pour qu’ils fonctionnent, il est nécessaire d’envisager une stratégie de cybersécurité des données avant le dumping des données sur les serveurs. Les mécanismes de cryptage et de cryptage sont basiques à ce stade. Une tâche assez simple et entièrement automatisée qui peut se traduire par un retour sur investissement très élevé.

Bref, le secteur de la santé, tant en termes d’hôpitaux que de centres de santé, est particulièrement sensible à la cybersécurité. D’autant plus que la plupart de ses processus dépendent d’appareils IoT qui sont très sensibles à l’action des pirates. Cependant, les avantages qu’ils procurent en termes d’efficacité et de productivité rendent leur utilisation indispensable. Cela étant clair, il est évident que l’investissement dans la protection de ces systèmes, qui doit toujours être fait d’un point de vue stratégique, est essentiel.

Top OT cybsersecurity solutions pour l’industrie et la santé

/dans cyber-sécurité/par sixe

Introduction

Les réseaux de contrôle industriel d’aujourd’hui sont une ruche d’appareils interconnectés conçus pour travailler ensemble dans leur ensemble. Si le mécanisme échoue à tout moment, il peut déclencher un effet domino grave. Par exemple, des systèmes de communication sont nécessaires pour conseiller les centrales électriques sur la quantité d’électricité disponible dans le réseau et pour réguler sa production. Un hôpital dépend de ses propres réseaux pour envoyer des diagnostics aux clients et une usine automobile a des robots complexes qui sont également interconnectés. Bien que tout ne soit pas accessible sur Internet, il existe de nombreuses façons d’accéder à ces environnements et le risque augmente de façon exponentielle.

En général, chacune des 16 ressources d’infrastructure critique (CIKR) est fortement interconnectée et est généralement affectée par des vulnérabilités et des vecteurs d’attaque similaires. La sécurisation du CIKR est difficile en raison de nombreux facteurs. Ces environnements étaient initialement prévus pour être indépendants, de sorte qu’aucune défense en ligne n’était nécessaire ou mise en œuvre. Ils fabriquent également des biens et fonctionnent sans escale pendant des milliers d’heures, de sorte que les temps d’arrêt, à l’exception des réparations et des correctifs, auraient un impact important sur l’entreprise. Peu d’hôpitaux modernisent une machine à rayons X si elle fonctionne et fait son travail, pas plus qu’un convoyeur de grav ou une centrifugeuse d’uranium. C’est un problème parce que le vieux matériel et les applications sont enclins à créer des problèmes lorsqu’ils sont exposés à des attaques modernes.

Les CIKR ont été réticents à adopter de nouvelles technologies parce que leur conception a été en mesure d’obtenir de façon fiable un résultat qui est nécessaire pour notre société moderne au fil des ans en utilisant leurs propres protocoles, processus et systèmes de sécurité (aussi vieux qu’ils puissent être). La grande majorité des systèmes wo fonctionnent au quotidien sans erreur significative. Toutefois, le risque de soutenir les applications et les systèmes existants même depuis la fin des années 1980 est de plus en plus élevé.

Medigate ( Medigate )

Medigate estnotre solution préférée pour rendre les hôpitaux et les centres médicaux sûrs et exempts de cybermenaces. Il identifie la nature de l’attaque de sorte que l’utilisateur aura la capacité d’empêcher une action cutanée ou d’être ciblé. Le contexte clinique aidera à identifier le développement d’un comportement humain chaotique. Les profils d’appareils vous aideront à gérer les cycles de vie des périphériques et offriront ainsi une sécurité réseau supplémentaire. Medigate et Check Point ont mis au point une solution de sécurité avancée pour la mise en œuvre des réseaux Internet des objets (IoT) et IoMT. La solution combinée de Check Point avec Medigate établit une surveillance de sécurité rapide et efficace pour les hôpitaux. Les principales caractéristiques incluent :

  • Enregistrement réaliste et holistique des dispositifs médicaux.
  • Détection d’anomalies cartographiées automatisées.
  • Les stratégies sont générées à partir des attributs de l’appareil.
  • «Single pane of glass» pour tous les contenus produits par Medigate sur Check Point Smart Console.
  • Activation automatique de la signalétation IPS des exploits connus d’Internet des objets.

Les experts en sécurité se demandent si le mécanisme de sécurité des hôpitaux en ligne n’a pas été développé différemment. Cela devrait être considéré comme un autre indice que beaucoup de réseaux existants n’ont jamais été faites avec la sécurité des données à l’esprit, mettant des ressources vitales et des vies en danger. Bien sûr, des couches de cyberdéfense peuvent être ajoutées aujourd’hui. La seule difficulté réelle est de concevoir et d’appliquer les couches appropriées de sécurité Internet. Une autre façon de le faire est d’apporter des programmes de sécurité dans les applications. Ce serait la décision la plus sûre à long terme. Bref, la transition prendra beaucoup de temps. La mise à jour de l’équipement de ces installations viendrait avec une ampleur égale de risques que l’installation de systèmes de sécurité.

La plate-forme passive de Medigate peut être installée très facilement par les hôpitaux et les intégrateurs de systèmes de sécurité et est intégrée au système de gestion R80 de Check Point et aux passerelles de sécurité. Une fois connectée, la plateforme de sécurité des dispositifs médicaux a partagé les informations d’identification de l’appareil et des informations d’application avec la smart console de Check Point. Cela permet une vue complète de l’écran pour un screencast des deux appareils. En raison de la visibilité granulaire dans les dispositifs chirurgicaux, l’efficacité du médicament est assurée. Medigate tire parti de l’inspection approfondie des paquets pour surveiller les périphériques par des identificateurs spécifiques, y compris la configuration, l’utilisation, les performances et l’emplacement. Cela permet aux deux systèmes d’être affichés simultanément sur la console Check Point Smart, supprimant la nécessité de faire des allers-retours entre les tableaux de bord.

La possibilité d’étiqueter les dispositifs médicaux par type de connectivité, nom de modèle et fournisseur permet une gestion plus granulaire des stratégies. Medigate vérifie ce qui change dans le réseau toutes les heures pour s’assurer que les balises restent à jour.

Tenable.ot (en)

Le cœur d’une entreprise est un réseau informatisé de contrôleurs qui transmettent et reçoivent des commandes. Les contrôleurs logiques programmables (CPL) et les unités terminales distantes (VTC) sont des équipements industriels qui agissent comme le fondement des processus industriels. L’infrastructure d’exploitation dispose désormais d’une surface d’attaque à grande échelle et de vecteurs d’attaque multiples. Si nous ne sommes pas en mesure de surveiller l’accès à l’information, il existe un fort risque d’être ciblés.

Tenable.ot (bien connu sous le nom d’Indegy ICS)est conçu pour protéger les réseaux d’entreprise contre les cybermenaces, les initiés malveillants et les erreurs humaines. Notre solution offre également l’identification et l’évitement des vulnérabilités, le suivi des actifs, les rapports et la gestion de la configuration d’un réseau Wi-Fi. La protection et la protection du système de contrôle industriel (SIC) sont considérablement améliorées. L’approche fournit une compréhension claire de la situation dans tous les endroits ministériels.

Lorsque vous prendrez des décisions d’investissement dans les systèmes d’OT, le coût est toujours préoccupant. Pour financer l’initiative, nous devons transférer les coûts aux utilisateurs des services. Ces innovations ne sont pas abordables puisque les utilisateurs des biens produits par cette technologie ont des coûts d’immobilisations fixes inclus dans le coût des biens vendus. L’augmentation des investissements dans la technologie ainsi que sa courte durée de vie seraient coûteuses. Bon nombre des coûts du recyclage ne seraient pas répercutés sur les consommateurs en raison de la législation fédérale. Le secteur n’est pas réussi à parvenir à un consensus sur les conséquences de la protection de ses processus d’OT et sur la façon de financer ces améliorations au fil des décennies.

Tout récemment, aucune preuve n’avait besoin d’élaborer des stratégies spéciales pour se défendre contre les cyberattaques. À la hausse sont des scénarios de cyberguerre et, par conséquent, les utilisateurs et les entreprises devraient être en sécurité ainsi. Il est urgent de mettre en place des mécanismes d’authentification pour protéger l’UTM/OTM afin que les administrateurs système puissent protéger et protéger leurs systèmes de bout en bout.

Intégration de QRadar SIEM

QRadar est une solution d’information de sécurité qui offre une surveillance en temps réel des réseaux informatiques. Nous offrons une grande variété de solutions QRadar, y compris les pièces SIEM de base et le matériel supplémentaire associé.

La fonctionnalité clé de la plate-forme QRadar SI permet l’acquisition d’informations de sécurité en temps réel. La solution recueillera des données à partir de journaux joints pour analyser les anomalies et produire des avertissements inquiétants jusqu’à ce qu’une menace pour la sécurité soit identifiée. Cet appareil unique reconnaît, évalue et suit les menaces à la sécurité, à l’application de la loi et aux politiques dans les réseaux. Il permet aux administrateurs réseau et à d’autres personnes de décider des initiatives proactives de sécurité réseau.

Ce module scanne votre réseau informatique à la recherche de bogues, ainsi que les données obtenues auprès d’autres pirates (tels que Nessus et Rapid7). Utilisation de notre système pour résoudre les problèmes de sécurité réseau. En outre, cela répertorie l’index des vulnérabilités qui peuvent être utilisées dans les règles de connexion et les rapports par IBM QRadar Vulnerability Manager. Ce module vous aiderait à inspecter vos appareils informatiques en quelques heures, voire quelques minutes.

Assurer la sécurité à l’aide de Next-Gen SIEM

  • Les fournisseurs de sécurité utiliseront des approches d’apprentissage automatique et d’intelligence artificielle pour contourner les anciens outils de sécurité qui utilisent des lois statiques. Vous pouvez dissuader les attaques inconnues en utilisant un service SIEM de nouvelle génération basé sur l’analyse de big data. Les systèmes d’apprentissage automatique évoluent facilement et sont capables d’identifier les menaces avancées que les systèmes de détection fondés sur la loi ou la signature ne peuvent identifier.
  • L’analyse comportementale peut être utilisée pour suivre les dangers internes et les pratiques d’espionnage. Comprendre l’ensemble de l’ensemble de l’anomalie comportementale est une clé pour identifier un danger d’initié au niveau individuel et communautaire. Les attaques d’initiés découlent de l’introduction par effraction dans les droits d’accès qui leur ont été accordés. Ces actions malveillantes peuvent être identifiées à l’aide d’un SIEM de nouvelle génération qui a introduit de puissantes analyses comportementales.
  • De bons systèmes d’intervention d’urgence sont importants pour la gestion des catastrophes. Les cybermenaces qui ne sont pas arrêtées ont également des conséquences néfastes. En fournissant et en soutenant l’instruction de l’entreprise sur les procédures à mener en cas d’agression, votre organisation minimise le préjudice causé par une attaque.
  • Les médecins doivent s’assurer que leurs données médicales restent privées et limitées aux personnes approuvées. Les documents emr contiennent des informations sur la santé, il est donc important de garder les détails médicaux privés. Habituellement, les SIEM legacy permettent aux organisations de mélanger des données confidentielles sur les patients avec d’autres données informatique ainsi que des détails d’application d’une solution SIEM de nouvelle génération offre tous les privilèges nécessaires pour préserver la sécurité des données, tels que l’anonymisation des données, la gestion de l’accès basée sur les rôle, le filtrage ou l’effacement des données, et une piste d’audit complète.
  • Les entreprises de soins de santé sont soumises à plus de législation dans la culture d’aujourd’hui. Les technologies SIEM de nouvelle génération fournissent des rapports ponctuels et ponctuels pour satisfaire à des réglementations comme HIPAA, HITRUST, GDPR et d’autres.

Conclusion

Les professionnels de la santé sont conscients de la nécessité de préserver les dossiers des patients. La sécurité des soins de santé est attaquée par des menaces externes et internes, ce qui rend impératif la protection des renseignements personnels sur la santé (ISP) des personnes. Il y a eu une augmentation substantielle du coût des soins de santé, et les entreprises sont ciblées pour leurs informations et leurs résultats. L’organisation fait souvent face à de fortes pressions réglementaires qui punissent la mauvaise manipulation négligente ou espiègle des données.

Nous devons garder à l’esprit d’assurer une protection suffisante dans notre climat d’entreprise. Cette forme de réseautage peut nous aider à en apprendre davantage sur ce qui se passe dans notre machine ainsi que sur Internet. L’une des techniques de suivi et d’analyse les plus courantes est l’information de sécurité et la gestion d’événements, qui recueillent des informations telles que les événements des périphériques informatiques et les archivent et les traiter. Une attention particulière devrait être accordée à l’installation de SIEM dans les réseaux OT et les particularités de ces réseaux doivent être pris en compte. Nous pouvons vous aider à déployer et à intégrer IPS, SIEM et IDS. Contactez-nous!

SIXE
×