Inscrivez-vous à notre webinaire IBM QRadar SIEM gratuit

/dans cyber-sécurité, Informations/par sixe

Faites connaissance avec nos experts sur la solution SIEM de référence et leader année après année sur le marché : IBM QRadar SIEM. Un outil permet de séparer le grain de la paille étant en mesure de corréler des millions d’événements de serveurs, ordinateurs, électronique réseau et d’immenses bases de connaissances externes telles que IBM X-Force nous permettant de hiérarchiser et d’optimiser le temps et les efforts de nos analystes de la cybersécurité.

Anticiper les attaques sophistiquées nécessite une solution SIEM mature, puissante et flexible pour mettre en œuvre les dernières méthodologies de prévention des attaques et de vol d’informations. Compte tenu de l’énorme intérêt pour cette technologie, nous offrons une fois par mois un cours intensif en format webinaire enseigné en françáis et totalement gratuit.

La prochaine édition aura lieu le lundi 18 janvier 2021 à 16:oo Paris et 10:00 au Canada.

Dans ce premier webinaire, nous parlerons des architectures existantes, des environnements tout-en-un à la possibilité de déployer une partie ou même la partie de l’infrastructure cloud, protégeant nos environnements sur AWS, Azure ou Google Cloud. Nous nous arrêterons pour discuter des nouveautés des dernières versions, des environnements multi-clients et des défis des migrations et mises à jour de l’environnement. Nous discuterons de la philosophie du produit et de la façon de tirer le meilleur parti de son puissant moteur de règles. Nous discuterons des coûts des solutions, des options de licence et discuterons des dernières réussites parmi nos clients. Cet atelier est basé sur nos cours populaires d’analyste de la cybersécurité, la gestion QRadar SIEM et l’utilisation avancée des produits. Le webminar sera fondamentalement pratique et pendant ce temps, nous effectuerons diverses démonstrations en direct.

Ordre du jour des séminaires en ligne

  • Introduction d’IBM QRadar SIEM
  • Architecture de solutions sur site et cloud
  • Nouveautés dans les dernières versions
  • Améliorations par rapport à ses concurrents : Splunk, LogRhythm, Exabeam, Rapid7, Fireye
  • Démonstration de produits
  • Réussites
  • Débat ouvert, plaidoyers et questions.

Bien qu’il s’agit d’un séminaire en ligne, les places sont limitées. Inscrivez-vous tout de suite. Nous vous enverrons un e-mail quelques jours plus tôt avec tous les détails et les informations nécessaires pour se connecter.

 

Mythes et vérités sur la sécurité dans Red Hat OpenShift

/dans cyber-sécurité/par sixe

Beaucoup de nos clients prévoient de commencer à utiliser Red Hat OpenShift, notre plate-formed’orchestration de conteneurs préférée. Ses avantages peuvent se résumer en ce qu’il permet une modernisation progressive des applications existantes et le déploiement de beaucoup d’autres qui, pour ce qu’il faut nier, avec une conception basée sur les micro-services sont imposées à de nombreuses nouvelles architectures informatiques. Il suffit de penser à ne plus jamais avoir à «préparer» une machine (installation d’un système d’exploitation, configuration du réseau, sécurité, installation de bibliothèques et de logiciels dépendants) chaque fois que nous voulons déployer un environnement justifie de donner à cette technologie un essai.

Kubernetes est aux conteneurs ce qu’OpenStack est allé aux environnements cloud. Une solution open source, qui nous permet de partager une partie de l’infrastructure disponible dans nos centres de données : serveurs, réseaux, stockage dans des pools de ressources sur lesquels déployer, automatiquement différentes charges de travail. Grâce à un portail d’auto-approvisionnement, nos développeurs seront en mesure non seulement de déployer les environnements dont ils ont besoin pour que leurs applications fonctionnent parfaitement, mais aussi de vérifier automatiquement et en permanence que ces applications fonctionnent correctement. Si le «commit» d’un développeur à la dernière minute de la journée provoque un bogue, vous pouvez revenir à la version de la veille sans que personne n’ait à intervenir.

Si nous ajoutons à cela la possibilité de faire des déploiements graduels, où un petit pourcentage d’utilisateurs bénéficient d’une nouvelle version de notre application tandis que les autres continuent d’utiliser la dernière version stable; une grande disponibilité qui fonctionne sans configuration supplémentaire, allocation de ressources (développeurs, mémoire, Processeur, espace disque, affectation d’adresse IP) par projet, ou la possibilité de mesurer en temps réel quelle partie de notre infrastructure nous utilisons, à quel niveau d’efficacité et avec quels résultats, peu de gestionnaires de système diront non à une telle merveille. Sans oublier la possibilité d’mettre automatiquement à l’échelle les applications en ajoutant ou en enlevant des conteneurs au besoin.

Heureusement ou malheureusement, aucunou tout n’est entre les mains des gestionnaires de système. Qu’en est-il de la sécurité? Qu’en pensent les CISOs? Appuyez sur pour passer en charge certains «mythes».

OpenShift est extrêmement sûr par la conception. À notre avis, sa technologie de base (conteneurs) est aussi sûre que le noyau Linux l’est en tout temps. C’est-à-dire que les processus de conteneurs sont séparés par des « espaces nominaux » linux, les ressources qu’ils utilisent par les « cgroups » et leur sécurité, et leur contexte par SELinux. C’est puissant, oui, mais nous partageons toujours un noyau entre de nombreux conteneurs dans chacun d’eux. et le noyau doit être patché, aussi pour des raisons de sécurité. L’inclusion de RHCOS (Red Hat Core OS) nous a permis de faire de grands progrès ces derniers temps en termes de sécurité du système d’exploitation sur lequel fonctionne cette distribution Kubernetes. Toutefois, étant donné que les nœuds RHCOS sont destinés à fonctionner avec peu de changement, il est important que toute amélioration liée à la sécurité de ces nœuds se fasse avec un soin extrême. ce ne sera pas que nous obtenons l’effet inverse.

Les images que nous téléchargeons sont toujours vérifiées et votre code vérifié par Red Hat. Eh bien, en fait l’accès à des images de conteneurs (téléchargés ou propres) sont gérés d’une manière similaire aux MRR. Il y a des dépôts publics ou privés à qui nous nous connectons, avec leurs clés et leurs signatures. Les vulnérabilités continuent de sortir tous les jours, nous avons donc besoin d’une sorte de solution qui surveille le contenu des images de conteneurs disponibles dans nos référentiels, en particulier les images téléchargées et installées dans notre environnement.

OpenShift prend en charge JFrog Artifactory, Black Duck Hub et Docker Trusted Registry. Red Hat CloudForms SmartState peut également être utilisé pour marquer les images vulnérables de manière à ce qu’OpenShift empêche l’application de ces images. Ils sont également utiles pour les applications qui effectuent des tests statiques de sécurité des applications (SAST) et des tests dynamiques de sécurité des applications (DAST), tels que HP Fortify et IBM AppScan.

OpenShift dispose d’un système d’authentification robuste et sécurisé. Chaque cluster OpenShift utilise en fait des comptes d’utilisateur, de groupe et de rôle.

Pour gérer l’accès de chaque utilisateur aux composants OpenShift et être en mesure de vérifier l’identité de chaque utilisateur, le cluster se connectera à différents fournisseurs d’identification (OpenID, LDAP, Active Directory, Github, etc.). Chacun d’eux aura sa propre configuration, avantages et inconvénients.

L’isolement des réseaux et des communications entre les projets OpenShift est suffisant. Il est robuste, car il est basé sur les composants réseau de Kubernetes, mais il ya des opérateurs et des plug-ins qui peuvent nous aider à isoler les différents réseaux ou donner des accès dédiés à certaines cartes réseau en utilisant des technologies comme SR-IOV. Plugins tels que Multus-CNI qui permettent cette fonction et d’autres, complétant les fonctionnalités de l’opérateur de réseau cluster (CNO), le CNI «Container Network Interfaces» et CoreDNS .

Vous êtes intéressé à en savoir plus sur OpenShift? Vous pouvez être intéressé par notre cours intensif de trois jours Red Hat OpenShift 4.X. Nous offrons également une formation officielle IBM si vous souhaitez déployer des serveurs IBM Power Systems.

 

Comment installer la version 7.3.3 QRadar Community Edition en dix minutes

/dans cyber-sécurité/par sixe

Après une longue attente, la version gratuite d’IBM QRadar SIEM est enfin disponible. Cette édition, appelée “Community” contient toutes les caractéristiques de QRadar SIEM et nécessite peu de mémoire (fonctionne avec seulement 8 ou 10 Go) par rapport à l’au moins 24G requis pour un environnement de version commerciale minimum. Il comprend également une licence qui n’expire pas et vous permet d’installer toutes sortes de plugins et d’applications. L’objectif est son utilisation privée pour l’apprentissage, les démos, les tests et fondamentalement, le développement d’applications compatibles avec QRadar. C’est pourquoi ses capacités sont limitées à la gestion de 50 événements (journaux) par seconde et de 5 000 paquets réseau par minute, ce qui n’est pas mauvais :)

Gardez à l’esprit que l’un des principaux inconvénients qui n’apporte pas de prise en charge pour tous les appareils et environnements de la version commerciale. Si nous voulons surveiller une base de données, ou un pare-feu, nous devrons installer chacun des modules manuellement

Quelles sont les exigences matérielles disponibles?

  • Mémoire : 8 Go de RAM ou 10 Go si des applications sont installées, c’est-à-dire qu’un ordinateur portable moderne peut fonctionner.
  • Disque: 250 Go bien que notre expérience nous dit qu’avec environ 30G est suffisant pour les environnements éphémères. L’espace est utilisé comme SIEM est maintenu en usage. Si des machines virtuelles sont créées et détruites pour de courts tests, cela ne prend pas si longtemps.
  • CPU: 2 cœurs, mais 4 ou 6 serait encore mieux.
  • Réseau : accès Internet, réseau privé et nom d’hôte FQDN.

Comment puis-je l’installer?

IBM fournit pour cette version une image en format OVA téléchargeable à partir de ce lien. Nous n’avons plus à lancer l’installateur sur un système CentOS créé par nous et avec les petits bugs habituels à corriger, ce qui est apprécié. Il suffit de créer un compte IBM, quelque chose qui peut être fait sur place et gratuitement. L’image OVA peut être déployée sur VMWare, KVM ou VirtualBox.

Le processus d’installation est rapide et simple comme le montre la vidéo suivante :

New Free QRadar CE version 733New Free QRadar CE version 733

Après quoi, vous pouvez commencer à explorer et à travailler en suivant les indices disponibles dans le guide “Getting started”

Une fois que l’environnement est opérationnel, vous pouvez installer des applications

QRadar CE 733 Add an App from the App ExchangeQRadar CE 733 Add an App from the App Exchange

Et même surveiller le réseau de notre maison: téléphones, ordinateurs portables, systèmes domotiques, etc.

Use The Free QRadar CE to Monitor your Home's Network (flows)Use The Free QRadar CE to Monitor your Home's Network (flows)

Vous voulez en savoir plus sur IBM QRadar SIEM?

Nous offrons des services professionnels (consultation, déploiement et soutien), de la  formation officielle et privée y compris la preparation des certificacions officielles. Contactez-nous sans obligation.

 

IB

Quelle certification IBM QRadar SIEM dois-je choisir ?

/dans cyber-sécurité/par sixe

QRadar SIEM est une plate-forme complète de gestion de la sécurité réseau qui fournit un soutien et un contexte de conformité des politiques en combinant la connaissance des flux de réseau, la corrélation des événements de sécurité et l’évaluation des vulnérabilités dans les systèmes connectés. Dans QRadar il ya trois certifications orientées vers différents rôles au sein du produit et qui ont été mis à jour en Juillet 2019.

IBM Certified Associate Administrator IBM QRadar SIEM V7.3.2

Examen “IBM Security QRadar SIEM V7.3.2 Fundamental Administration”. Test C1000-026

Il s’agit d’une certification initiale pour les administrateurs système responsables de la maintenance des plates-formes QRadar. La capacité de fournir un support de base ainsi que les connaissances techniques ibm Security QRadar SIEM V7.3.2 sont évaluées. Cela comprend la mise en œuvre et la gestion de l’ensemble de solutions. Les administrateurs doivent également connaître les capacités du produit. La capacité de planifier, d’installer, de configurer, de déployer, de migrer, de mettre à jour, de surveiller et de résoudre des problèmes simples est mesurée.

IBM Certified Associate Analyst IBM QRadar SIEM V7.3.2

Examen IBM QRadar SIEM V7.3.2 Fundamental Analysis. Test C1000-018

Cette certification initiale est destinée aux analystes de sécurité qui souhaitent valider leurs connaissances dans IBM Security QRadar SIEM V7.3.2. Les analystes devront maîtriser les bases du réseautage, de la sécurité et du SIEM et qRadar. La capacité d’utiliser correctement le produit (déjà installé et configuré) est évaluée, y compris l’utilisation de l’environnement graphique pour la gestion des règles, les incidents de sécurité, les rapports et les corrélations des événements et des flux de réseau.

IBM Certified Deployment Professional – IBM QRadar SIEM V7.3.2

Examen IBM QRadar SIEM V7.3.2 Deployment. Test C1000-018

Il s’agit sans aucun doute de la certification la plus complexe. Principalement destiné aux architectes de sécurité, aux préventes techniques et au personnel qui effectuent des services professionnels QRadar pour les différents partenaires d’affaires IBM. Ces personnes seront responsables de la planification, de l’installation, de la configuration, de l’optimisation des performances, de l’adéquation, du dépannage et de la gestion d’IBM QRadar SIEM dans la version 7.3.2. La capacité d’accomplir n’importe quelle tâche avec peu ou pas d’aide avec la documentation, les collègues ou le soutien du fabricant est évaluée.

Quelle certification choisir ?

Notre recommandation est de commencer par l’examen de l’administrateur ou de l’analyste, selon votre rôle. Nous avons plusieurs cours, séminaires et ateliers intensifs qui vous aideront à les préparer. Si vous ne savez rien sur le produit, nous vous recommandons d’effectuer la formation officielle d’analyste et l’administrateur que nous enseignons également.

IMPORTANT Jusqu’en septembre, si vous utilisez le code HUCSECURE, vous bénéficierez d’un rabais de 50 lorsque vous vous inscrivez à l’examen.

 

Vulnérabilité critique dans le portail TIA Siemens STEP 7

/dans cyber-sécurité/par sixe

Que s’est-il passé?

Une vulnérabilité critique a été constatée dans Siemens STEP 7 TIAPortal, l’un des programmes de conception et d’automatisation les plus utilisés pour les systèmes de contrôle industriel (ICS) dans le monde entier. Les utilisateurs sont invités à confirmer que leurs systèmes ont été mis à niveau vers la dernière version.

La vulnérabilité critique a été découverte par Tenable Research et permettrait à un attaquant de prendre des mesures administratives.

Quel est le vecteur d’attaque ?

Sauter le mécanisme d’authentification sur le serveur TIA Manager à travers les prises Web du serveur node.js

Quel est l’impact sur l’entreprise?

Un attaquant pourrait compromettre un système de portail TIA et utiliser son accès pour ajouter du code malveillant aux systèmes de contrôle industriel adjacents. Les attaquants pourraient également utiliser l’accès obtenu en exploitant cette vulnérabilité pour voler des données sensibles dans les configurations OT existantes pour continuer à progresser et planifier des attaques ciblant l’infrastructure essentielle.

Dans le pire des cas, un système de portail TIA vulnérable peut être utilisé comme tremplin dans une attaque qui cause des dommages catastrophiques à l’équipe ot, perturbe les opérations critiques ou mène des campagnes de cyberespionnage.

Quelle est la solution ?

Siemens a publié une mise à jour et un avis de sécurité pour cette vulnérabilité.

Dois-je m’inquiéter ?

Les opérations industrielles modernes englobent souvent des infrastructures informatiques et OT complexes, avec de nouveaux défis de sécurité pour les environnements critiques, tout en rendant les menaces de cybersécurité encore plus difficiles à détecter, à enquêter et à remédier.

Solutions?

Les services de surveillance et de gestion OT/ICS/SCADA sont devenus plus faciles grâce à notre solution basée sur un QRadar SIEM et un ICS Indegy.

SIXE
×