Тел. указател

IBM QRadar Advisior с Watson разширява познанията за техниките на киберпрестъпниците

Новини / IBM QRadar Advisior с Watson разширява познанията за техниките на киберпрестъпниците

Автор - Cassy Lalan - IBM Security Media Relations 


IBM QRadar Advisior с Watson разширява познанията си за техниките на киберпрестъпниците

Нови алгоритми се самообучават от моделите за сигурност в рамките на дадена организация.Интеграцията с MITER ATT & CK дава нови възможности за спиране на зловредните атаки.


IBM (NYSE: IBM) Security обявиха нови възможности на платформата за сигурност на компанията, базирана на изкуствен интелект  -  QRadar Advisor с Watson, които разширяват познанията на платформата (platform's knowledge) за поведението на киберпрестъпниците.

Изкуственият интелект позволява на платформата за защита QRadar  да се учи от процедурите за сигурност в рамките на организацията в която се използва.Qradar помага на анализаторите да разберат как е протекла дадена атака и какво може да се случи след това въз основа на наблюдения върху реални казуси от общността за сигурност на IBM.

Някои прогнози, предвиждащи до 3,5 милиона свободни работни места в сферата на киберсигурността до 2021г, карат екипите по сигурност да оптимизират капацитета и уменията, необходими за ефективно анализиране и реагиране при огромно количество инциденти и сигнали свързани с   киберсигурността. Използването на  самообучаващ се изкуствен интелект и технологии за машинно обучение като QRadar Advisor с Watson, който се учи  от най-новите изследвания във външните общности за сигурност, както и от дейности, които протичат в рамките на дадена организация, могат да предоставят на анализаторите необходимите знания и автоматизация, за да им помогнат да реагират на  критични заплахи по-бързо и по-ефективно.

Като част от последната версия, IBM е разработил нови аналитични и учебни модели, които позволяват на QRadar Advisor да идентифицира дълготрайни и последователни модели на атака и да се адаптира към локалната клиентска среда. Този цикъл на обучение става по-опитен с времето въз основа на допълнителни взаимодействия и ангажираност с анализаторите, което позволява на инструмента да предостави по-добри препоръки за това как да се реагира, както и важните „рейтинги на доверие“, основани на това как инцидентите се съгласуват с предходни данни (historical data).


Свързване на точките за по-решителна ескалация на заплахи

MITER ATT & CK е продукт с отворен код за възпроизвеждане на киберкриминално поведение, разработен с реални примери и идеи от експерти по киберсигурност в индустрията, който дефинира модели и действия, които една заплаха може да предприеме, докато се развива.

Използвайки ATT & CK framework,  QRadar Advisor с Watson бързо преминава от идентифицирането на заплахата и предоставянето на външни сведения за нея, към разясняване на това как външните атаки и вътрешните заплахи са напреднали в инфраструктурата на клиента - например, дали зловредният софтуер току-що е попаднал в дадена организация или ако е събрал данни като пароли или информация за кредитни карти. В същото време включва и определяне на ниво на доверие в системите за сигурност , както и съответните доказателства за всеки етап от атаката. Като помага на анализаторите да визуализират, как се е развила атаката, тази възможност им позволява да разберат незабавно къде се намира инцидентът спрямо жизнения цикъл на заплахата и какво може да се направи след това, за да се подобри ефективността и времето за реакция.

Тези допълнителни прозрения (insights) от QRadar Advisor могат да увеличат уменията на анализаторите и да им помогнат да свържат точките, за да видят пълния обхват на атаката по начин, който може да направи анализатор от по-високо ниво или ловец на заплахи (Threat hunter). Съветникът може също да използва ATT & CK, за да препоръча на анализаторите по-решителни процеси на ескалация при инциденти, като им помогне да разберат непосредствените следващи стъпки, които трябва да се предприемат за да елиминират  заплахата. Използвайки ATT & CK framework, Qradar Advisor може да предостави тази информация в индустриален стандарт, който да се отразява в регистър на инцидентите на компаниятa.



Приложение на нови образователни модели (Learning models) към заплахите в рамките на една организация

IBM Security задълбочава също и интелигентността на QRadar Advisor с Watson, като му дава възможност да научи и постави в прогнозируеми рамки поведението на заплахите и действията за реакция по сигурността, които се случват вътре в организацията.

Първоначалното пускане на QRadar Advisor с Watson позволи на Watson да събира, чете и разбира структурирани и неструктурирани данни за сигурността от външни източници и да предоставя най-подходящата информация към анализаторите, за да им помогне да разберат какво е вече известно и публикувано за конкретна заплаха.Сега ,  QRadar Advisor се учи от действията, които се предприемат в работната среда при клиентите - и двете събития се случват в реално време, както и това, което се е случило с определени видове събития преди. 

Две нови възможности, които IBM въвежда за QRadar Advisor, включват:

Модели за разпространение на заплахи: QRadar Advisor използва нови алгоритми за изграждане на модел за специфични видове заплахи, въз основа на действията и резултатите от предишни подобни събития, които са се случили в рамките на дадена организация или в рамките на общоността за сигурност на IBM. Когато се извърши ново разследване, този модел може да се използва, за да се изключат фалшивите положителни резултати, или да се помогне на анализатора да реши дали заплахата трябва да бъде ескалирана като злонамерен софтуер, премахване на данни или други специфични видове заплахи. Тази способност става все по-интелигентна, колкото повече се използва, изучава и адаптира въз основа на взаимодействията с анализаторите.

Анализ на междуинвестиционните проучвания: В рамките на операционния център за сигурност на компанията (SOC), множество анализатори могат да работят по различни престъпления и/или заплахи , които са свързани помежду си, или да анализират сигнали получавани през дълъг период от време за на пръв поглед несъвместими събития.



Tази възможност позволява на съветника на QRadar да намери общи черти между разследванията, използвайки когнитивна аргументация, и автоматично да групира заедно разследвания, което е свързано с избягване на дублирането на усилията, както и да предостави по-пълен контекст за подпомагане на разследването.

Комбинирането на  тези нови модели за обучение, обогатяването на дейностите в мрежата  с помощта на Watson,допълнителните възможности за обследване на  Cyber Security и способността за достъпване на информация от общността за сигурност на публикуваните в момента изследвания, анализаторите вече могат да използват QRadar Advisor, за да помогнат за по-задълбочени, по-последователни изследвания и реагират по-бързо и по-ефективно.


Солитрон България ООД e дистрибутор на IBM хардуер и софтуер.

Сравни