Combiner la technologie IBM pour mieux gérer la cybersécurité

Après une évaluation approfondie du marché en 2020, Data Action (DA), un fournisseur de technologie pour les banques alternatives, a choisi Vectra, un spécialiste local du conseil et des services en matière de sécurité, pour son projet de renouveler la plateforme de gestion des informations et des événements de sécurité (SIEM).

La solution SIEM choisie, IBM® Security QRadar, a été déployée sous forme d’appliances virtualisées utilisant VMware et le stockage IBM FlashSystem. Si le déploiement de QRadar sur des appliances virtualisées est courant, l’utilisation de contrôleurs de stockage Flashsystem haute performance pour ce type de workload ne l’est pas.

L’utilisation de la technologie propriétaire IBM® FlashCore Module (FCM) pour stocker les données QRadar a eu un impact significatif sur la capacité du centre opérationnel de sécurité (SOC) à analyser les menaces. L’effet global sur les temps de réponse a été remarquable, contribuant dans certains cas à réduire le temps d’analyse de plusieurs heures (enregistré par la solution SIEM précédente) à quelques minutes.

Cependant, pour obtenir des informations intelligentes et des temps de réponse courts, il faut fournir les ressources de calcul et de stockage adéquates. Pour être efficaces, les solutions SIEM doivent ingérer de grandes quantités de données provenant souvent d’environnements d’exploitation complexes, couvrant des ressources sur site et dans le cloud. L’analytique complexe nécessaire pour obtenir de meilleures informations requiert l’accès à de vastes quantités de données. Dans ces environnements, les temps de réponse rapides sont conditionnés par la présence d’un système de stockage à haute performance et à faible latence.

C’est pour ces raisons qu’en 2020, après une évaluation approfondie du marché, DA a déployé QRadar comme solution SIEM de l’entreprise. La solution comportait des appliances virtuelles au sein d’un cluster VMware dédié et utilisait un stockage FlashSystem pour la conservation des données.

QRadar est une plateforme de gestion de la sécurité réseau qui allie intelligence situationnelle et soutien à la conformité. QRadar combine connaissances réseau basées sur les flux, mise en corrélation des événements de sécurité et évaluation des vulnérabilités des actifs.

Dans son rapport Magic Quadrant sur la gestion des informations et des événements de sécurité (SIEM), Gartner classe IBM parmi les leaders pour la 12^e année consécutive.

Le portefeuille FlashSystem est la gamme de contrôleurs de stockage par blocs d’IBM, avec des modèles adaptés aux workloads d’entrée, de milieu et haut de gamme. Tous les modèles utilisent le logiciel IBM® Spectrum Virtualize ’dIBM SAN Volume Controller pour le logiciel du système intégré. Grâce à l’utilisation du même logiciel, de nombreuses fonctions normalement réservées aux solutions haut de gamme sont également disponibles dans les modèles d’entrée et de milieu de gamme.

La technologie IBM FlashCore est au cœur des modèles IBM FlashSystem 5200, 7200, 7300, 9200 et 9500.

Le stockage IBM FlashCore est unique, et contrairement aux solid state drives utilisés par d’autres fabricants de systèmes de stockage sur disque, la conception du contrôleur utilise diverses techniques pour offrir une performance exceptionnelle et une résilience accrue.

• Expérience E/S avec une latence de seulement 70 microsecondes, ce qui permet d’éliminer les goulots d’étranglement qui affectent la performance.
  
  
• Les FCM utilisent du matériel intégré pour la réduction des données. La réduction des données est aussi rapide que l’écriture des données dans les modules ; il n’y a pas d’impact sur la performance.

Les FCM sont conçus pour offrir une endurance flash jusqu’à sept fois supérieure à celle des SSD classiques du secteur, ce qui se traduit par moins de problèmes pour les clients. Cela signifie aussi qu’il n’est plus nécessaire de passer du temps à gérer les SSD défaillants ni à reconstruire les disques.

DA a évolué pour devenir un fournisseur de logiciels et de services spécialisés destinés à certaines des principales banques concurrentes détenues par les clients, à des agrégateurs et au secteur confessionnel australien. L’architecture flexible de plateforme DA laisse le choix grâce à des intégrations « plug and play ». La suite de produits DA est passée des plateformes bancaires de base à un écosystème bancaire complet qui soutient la mission de l’entreprise : « alimenter les services centraux et numériques des néobanques australiennes ».

DA opère à l’échelle nationale avec plus de 200 employés à Adélaïde, Sydney, Melbourne et Brisbane, et améliore l’expérience bancaire de plus de 1,6 million d’Australiens via ses plateformes bancaires centrales et numériques, soit 300 millions de transactions clients sur 2,6 millions de comptes chaque jour.

L’offre de DA est unique ; elle configure, fait migrer, héberge, prend en charge, intègre et gère localement les services technologiques dans un environnement cloud privé et public. Ce modèle repose intrinsèquement sur un modèle de bout en bout éprouvé, avec un responsable unique pour la prestation de services, la gouvernance et la communication. Cela élimine les défauts d’intégration et de gestion des problèmes liés à la complexité et à l’interopérabilité croissantes d’un environnement informatique reposant sur plusieurs fournisseurs.

L’approche solide du partenariat de DA garantit que ses clients conservent la capacité d’améliorer continuellement leurs services auprès de leurs membres. À l’heure actuelle, DA compte plus de 200 partenaires sur sa plateforme, ce qui lui permet de proposer les meilleures solutions à ses membres.

L'approche de DA en matière de marketplace permet d’être flexible et de choisir ses partenaires afin de maintenir la tension concurrentielle et la rapidité de livraison, et propose à ses clients des partenariats adaptés à leurs objectifs. L’équipe Partenariats de DA travaille en étroite collaboration avec les équipes chargées des produits, des clients et des solutions afin de garantir que ces dernières apportent de la valeur aux clients et à ses membres.

DA gère directement une grande partie de la surface Internet de ses clients de services financiers. Par conséquent, DA dispose d’une vue unique et peut observer les schémas de menace à travers le secteur mutuel.

DA offre une capacité de cybersécurité robuste et multicouche pour protéger ses services bancaires hébergés. Les processus de DA garantissent un fonctionnement rigoureux et fiable des contrôles préventifs, ainsi que des capacités éprouvées et structurées à l’échelle de l’entreprise pour détecter, répondre et récupérer en cas d’incident.

DA protège ses produits à l’aide d’une gamme complète de services et de technologies de sécurité pour assurer la sécurité des entreprises et de ses clients. Il s’agit notamment de pare-feux d’application Web, de pare-feux nouvelle génération et de protection des points de terminaison, d’une surveillance complète de la sécurité, de la gestion des vulnérabilités et de tests d’intrusion réguliers.

Essentielle pour DA, la plateforme SIEM permet de renforcer les capacités de cybersécurité grâce aux fonctionnalités suivantes :

• Ingérer et traiter un très grand volume de données d’activité provenant de l’environnement DA.
  
  
• Effectuer des analyses de sécurité sur ces données pour tenter d’identifier toute activité potentiellement malveillante dans l’environnement et en alerter DA.
  
  
• Comparer l’activité dans l’environnement DA avec des indicateurs connus de compromission afin d’alerter DA d’une potentielle violation de la sécurité.
  
  
• Permettre le triage des alertes de sécurité et la réalisation d’une investigation forensique.
  
  
• Stocker les données relatives aux événements de sécurité avec un haut niveau de résilience et d’intégrité, afin de répondre aux exigences de conformité de DA.
  
  
• Aider les différentes équipes à analyser l’activité dans l’environnement afin de faciliter le dépannage opérationnel.

Sans une plateforme solide, DA aurait moins de chances de détecter des incidents de sécurité et serait moins efficace pour répondre aux incidents de sécurité identifiés. DA serait également incapable de satisfaire aux exigences de conformité en matière de surveillance et de conservation des données relatives à la sécurité.

L’implémentation SIEM que ce projet a remplacée était une solution matérielle de type appliance en fin de vie.

Les principaux aspects que la DA souhaitait améliorer grâce à cette actualisation étaient les suivants :

•  Réduire les frais généraux liés à la maintenance de l’ingestion de données en choisissant une plateforme dotée d’une solide bibliothèque d’analyseurs prêts à l’emploi et adaptés à ses sources de données.
  
  
• Améliorer les cas d’utilisation d’une surveillance de la sécurité prête à l’emploi pour réduire les frais administratifs.
  
  
• Choisir une plateforme ayant fait ses preuves en matière de R&D et d’investissement.
  
  
• Améliorer la résilience globale de l’ingestion de données.
  
  
• Supprimer le couplage matériel pour limiter les contraintes liées à l’augmentation de la capacité de stockage. Le coût pour étendre le stockage dans la plateforme héritée à la performance relative était très peu compétitif par rapport à celui de la technologie de stockage actuelle.
  
  
• Améliorer la performance des requêtes complexes et volumineuses. Il était courant qu’une requête prenne 12 heures, ce qui pouvait ralentir la réponse lors d’une violation. La contrainte de performance de stockage résultant de l’utilisation de disques magnétiques avait été diagnostiquée.
  
  
• Améliorer les capacités d’investigation forensique sur les jeux de données plus anciens. La capacité de sauvegarde et récupération de stockage de la plateforme héritée, c’était tout ou rien, ce qui rendait la restauration des données hors période de conservation extrêmement difficile.

QRadar fonctionne principalement autour du concept de collecte, d’analyse syntaxique et d’analyse des événements et des flux.

Les événements sont des données qui indiquent qu’un événement intéressant s’est produit, comme le passage des données via un pare-feu réseau, la connexion des utilisateurs aux systèmes et l’accès aux bases de données. Les événements constituent les données fondamentales des SIEM. Les événements sont générés par des appareils comme les routeurs et les serveurs réseau, ainsi que par des applications. Les journaux sont des bases de données contenant les données d’événements.

Les flux sont des données de paquets réseau obtenues en exploitant directement les périphériques réseau et en surveillant le trafic qui les traverse. Les flux contiennent des informations telles que l’adresse IP source et destination, la quantité de données transférée, voire l’application utilisée. Les flux peuvent être indispensables pour détecter certains types d’attaques. Notez que le paquet réseau n’est ni capturé ni stocké ; seul l’en-tête, ou les premières centaines d’octets d’une transmission réseau, le sont.

Pour mieux comprendre comment QRadar traite les données qu’il reçoit des serveurs et des périphériques réseau, considérez le fonctionnement du système IBM Security QRadar comme segmenté en trois couches :

• Collecte de données
  Il s’agit de la couche qui collecte les données de sécurité telles que les événements et les flux collectés auprès du réseau client. Cette couche collecte, analyse et normalise les données avant de les transférer à la couche suivante pour un traitement et un stockage ultérieurs.

• Traitement de données
  Une fois les données collectées, la couche de traitement effectue un traitement en temps réel des données d’événements et de flux à l’aide du moteur de règles personnalisées (CRE) de QRadar. Le CRE est chargé de générer les infractions et les alertes. C’est également la couche où les données sont écrites sur le support de stockage.
  
  Le traitement de données QRadar est effectué en parallèle, sur plusieurs processeurs. Une architecture où les données sont stockées à proximité du processeur, avec des recherches et des corrélations effectuées sur plusieurs processeurs de manière hautement distribuée, contribue de manière significative à la performance globale du système.

• Recherche de données
  La couche supérieure est la console et fournit l’interface utilisateur de QRadar. Le résultat des données collectées et traitées est présenté sous forme de tableaux de bord, de rapports et de recherches. La console permet de visualiser l’investigation des infractions et peut déclencher des alertes. Les administrateurs utilisent la console pour gérer QRadar.

Cette segmentation s’applique à toutes les structures de déploiement QRadar, quels que soient leur taille, leur complexité, le nombre de sources de journaux ou de modules installés ou associés.

Comme indiqué précédemment, Gartner classe QRadar parmi les leaders du SIEM dans son rapport Magic Quadrant sur la gestion des informations et des événements de sécurité. QRadar est reconnu comme un leader pour de nombreuses raisons, mais la gestion avancée des index est l’une de ses fonctionnalités les plus remarquables.

La valeur de l’indexation est maximisée une fois que l’on a compris quelles données les utilisateurs recherchent, et que l’on a mis en place des index pour les propriétés fréquemment recherchées. La fonctionnalité de gestion des index fournit aux administrateurs des statistiques sur les propriétés qui font l’objet de recherches et sur les recherches qui utilisent les index. Les administrateurs peuvent alors activer, ajuster ou même désactiver les index pour améliorer la performance globale.

Les avantages liés à l’indexation des propriétés supplémentaires s’accompagnent de quelques inconvénients potentiels. L’indexation supplémentaire affecte la performance du système lors de l’écriture des données, et nécessite une capacité de stockage supplémentaire. L’utilisation des FCM IBM permet d’atténuer efficacement ces deux inconvénients. Conçus pour les environnements d’entreprise haute performance, les FCM sont capables d’ingérer des volumes de données constamment élevés tout en appliquant une compression de données en ligne. En utilisant des E/S accélérées matériellement, les FCM on la capacité unique de réaliser tout cela sans aucune pénalité de performance.

DA a déployé la solution QRadar SIEM au sein d’un cluster VMware dédié, composé de deux serveurs physiques dédiés. Les besoins en stockage de l’environnement sont assurés par un système IBM FlashSystem 7200 dédié, directement connecté aux hôtes.

Bien qu’elle puisse être mise en œuvre dans une architecture totalement tolérante aux pannes, la solution SIEM telle qu’elle est actuellement déployée dispose uniquement d’une collecte et d’une récupération de journaux hautement disponibles. Le processeur QRadar et les dispositifs de la console QRadar n’ont pas de redondance, mais en tant que dispositifs virtuels, ils bénéficient de la flexibilité de pouvoir migrer entre les hôtes ESXi.

L’évaluation du projet de renouvellement SIEM de DA comprenait des tests qui évaluaient les temps de réponse des actions généralement menées lors de l’investigation des incidents. La solution QRadar étant désormais pleinement opérationnelle, les mesures prises au cours d’une récente investigation hautement prioritaire ont été enregistrées. Pour chaque mesure, les données suivantes ont été notées :

• La période historique sur laquelle chaque requête d’action a été exécutée
  
  
• La taille des jeux de données analysés (le cas échéant)
  
  
• Le temps nécessaire à la réalisation des actions

La période historique et la taille des jeux de données sont publiées pour mettre en contexte la complexité et l’ampleur de l’analyse en cours.

À des fins de comparaison, l’équipe de cybersécurité de DA a fourni les délais de traitement pour lesquels une mesure équivalente avait été prise dans la solution SIEM précédente. L’idéal aurait été de comparer les résultats des deux systèmes SIEM en effectuant des tests côte à côte, mais cela n’a pas été possible car la précédente solution SIEM a été mise hors service une fois QRadar opérationnel.

Si les délais d’exécution indiqués pour la précédente solution SIEM sont estimatifs, ils restent pertinents pour plusieurs raisons :

• Les délais d’exécution avaient été estimés par des membres de l’équipe hautement qualifiés, qui connaissaient très bien les deux systèmes.
  
  
• Dans le cadre du projet de renouvellement SIEM de DA, la performance relative de QRadar a été comparée à celle du système existant ; l’amélioration significative des performances globales a été un facteur important dans le choix final de ce produit par rapport aux autres solutions potentielles.
  
  
• Les journaux et les données de la précédente solution SIEM ont été conservés et peuvent être utilisés pour vérifier la performance sur des actions équivalentes.

Plus important encore, les délais d’exécution des actions comparables sur QRadar sont beaucoup plus courts que ceux du système SIEM précédent. On peut affirmer que même en ajoutant une marge d’erreur importante aux délais d’exécution estimés pour la solution SIEM précédente, les actions de QRadar sont achevées en beaucoup moins de temps. Ce qui prenait auparavant des heures ne prend plus que quelques minutes. De même, les rapports qui prenaient quelques minutes sont désormais terminés en quelques secondes.

En 2020, DA a mené un projet visant à remplacer sa solution SIEM. Si la planification opérationnelle de chaque entreprise exige une stratégie de cybersécurité solide, on ne saurait trop insister sur l’importance de cette stratégie pour les services bancaires centraux destinés aux coopératives de crédit, aux banques et à d’autres institutions financières. Après un processus d’évaluation approfondi, DA a choisi Vectra pour remplacer sa solution SIEM existante par QRadar fonctionnant dans un environnement virtualisé et utilisant le stockage FlashSystem.

Tant lors des tests comparatifs que lors de son utilisation en conditions réelles, QRadar s’est avéré être un outil extrêmement efficace et puissant pour enquêter sur les événements de sécurité. Le déploiement des composantes QRadar au sein d’un cluster VMware offre de nombreux avantages : encombrement physique réduit, coûts énergétiques plus bas, flexibilité et évolutivité. En intégrant le stockage FlashSystems doté de la technologie IBM FCM, DA bénéficie de solutions conçues pour offrir performance et fiabilité accrues.

En combinant les capacités d’optimisation des index QRadar avec une plateforme de stockage haute performance, DA a pu réduire de manière significative le temps d’exécution des requêtes courantes de quelques minutes à quelques secondes. Cela a entraîné des améliorations tangibles dans chaque cas d’utilisation SIEM chez DA, notamment la réponse aux incidents, l’examen régulier de l’environnement et le reporting. Une analyse plus rapide des événements de sécurité permet d’améliorer le triage et la réponse aux incidents afin de réduire l’impact global. L’examen accéléré de l’environnement réduit la frustration des analystes de sécurité et leur permet de consacrer plus de temps aux tâches productives.

Grâce à l’adoption des technologies QRadar et IBM FlashCore, DA analyse désormais les incidents et génère des rapports beaucoup plus vite que la solution SIEM antérieure. Lorsque le coût moyen d’une violation de données s’élève à des millions de dollars, la valeur commerciale de toute solution permettant d’accélérer la détection est évidente, puisqu’elle permet de gagner du temps et de faire des économies.

Si le déploiement de contrôleurs de stockage FlashSystem équipés de FCM est un facteur important, il serait trop simpliste de prétendre que c’est la seule raison des améliorations constatées en termes de performance. Les gains de performance peuvent également être attribués au produit QRadar, en particulier à ses capacités de gestion des index. Quelles que soient les causes de cette amélioration, la combinaison des technologies IBM s’est révélée très efficace pour atteindre les objectifs de sécurité de DA.

Ancien responsable de la cybersécurité chez Data Action

Simeon Finch (BCompSc, MCSE, VCAP) est l’ancien responsable de la cybersécurité de DA. Il était à la tête de l’équipe de cybersécurité, des technologies, des processus de conformité et de la stratégie.

Simeon possède plus de 20 ans d’expérience dans diverses fonctions informatiques, notamment le leadership technique, l’architecture et la cybersécurité. Il est certifié TOGAF et architecte de sécurité agréé SABSA. Il a contribué à des projets de grande envergure tels que le Centre des infrastructures critiques du gouvernement fédéral, la législation sur la cybersécurité dans le secteur de l’énergie et la banque ouverte dans les services financiers.

Analyste en chef de la cybersécurité, DA

Lucien Dabrowski est l’analyste principal de la cybersécurité chez DA. Il est responsable de la surveillance de la sécurité, de la gestion des incidents, du respect des exigences en matière de réglementation et de conformité cyber, ainsi que de l’amélioration continue de la maturité de la cybersécurité de DA pour permettre la prévention, la détection, la réponse et la reprise efficaces en lien avec les cybermenaces.

Lucien a plus de 8 ans d’expérience dans le domaine de la cybersécurité, notamment dans le domaine des infrastructures TIC. C’est un ambassadeur du SIEM, ayant conçu, mis en œuvre et exploité de multiples plateformes SIEM à grande échelle. Lucien fournit activement des services de mentorat et de conseils technologiques chez DA et au sein de la communauté.

Spécialiste des produits techniques, IBM

Brendan Scott (MIT, BEng) est un spécialiste technique des produits chez IBM, dont l’objectif principal est de soutenir les clients et les partenaires en Australie et en Nouvelle-Zélande avec le portefeuille de systèmes de stockage IBM.

Brendan a plus de 25 ans d’expérience dans plusieurs secteurs et fonctions informatiques. Au cours de ses dix années de carrière chez IBM, Brendan a maximisé la valeur des clients et des partenaires grâce aux solutions matérielles et logicielles d’IBM, en fournissant des conseils techniques.

Responsable des solutions de cybersécurité, Vectra

Jesse est responsable de l’adoption globale, du conseil, de la mise en œuvre et du support continu des solutions de sécurité et des services de sécurité gérés pertinents. Il travaille en étroite collaboration avec le conseil de sécurité, les équipes de tests d’intrusion, le centre des opérations de sécurité (SOC) et les équipes de réponse aux incidents de Vectra afin de soutenir la clientèle de l’entreprise en Australie et en Nouvelle-Zélande.

DA est une entreprise de technologie créée en tant que coopérative en 1986 par un ensemble de coopératives de crédit locales et de banques mutualistes en Australie pour héberger des services bancaires de base. Ce fier héritage, porté par la création par les mutuelles, pour les mutuelles, reste, aujourd’hui encore, au cœur des activités de DA.

Vectra est une entreprise australienne de premier plan dans le domaine de la cybersécurité. Depuis 2001, nous fournissons des services de conseil spécialisés, des services de sécurité gérés et des solutions de sécurité dans toute la région Asie-Pacifique. L’équipe Vectra propose une large gamme d’expériences et de capacités, incluant mais sans s’y limiter le conseil en gestion des risques et conformité (GRC), les tests d’intrusion et l’évaluation des vulnérabilités, la sécurité des points de terminaison, la sécurité réseau, la sécurité des identités, la sécurité cloud, le SIEM géré et la réponse aux incidents.