QRadar Advisor koreluje informacje o zdarzeniach w sieci

Aplikacja IBM QRadar Advisor with Watson wykorzystuje bazujący na sztucznej inteligencji mechanizm IBM Cognitive Security, z którego czerpie wiedzę na temat naruszeń bezpieczeństwa i potrafi zastosować ją w analizie zdarzeń w firmowym środowisku IT. Dzięki temu czas, którego eksperci potrzebują na analizy ataków, jest redukowany z dni lub tygodni do minut lub godzin (jeśli dokonywana jest automatycznie).

Zapewnienie właściwej ochrony infrastruktury IT w firmach staje się dużym wyzwaniem, coraz trudniej jest też znaleźć ekspertów w tej dziedzinie. Dlatego konieczne jest korzystanie z takich narzędzi jak QRadar Advisor with Watson. Dzięki sztucznej inteligencji automatyzuje ono zadania analityków bezpieczeństwa pracujących w działach SOC (Security Operations Center). Watson wyszukuje informacje pochodzące z różnych źródeł danych i koreluje z zaobserwowanymi incydentami w środowisku IT. W ten sposób QRadar Advisor zaleca ekspertom przyjrzenie się wybranym zdarzeniom w sieci wymagającym pilnej interwencji.

Przed wdrożeniem rozwiązania QRadar Advisor producent rekomenduje skorzystanie z aplikacji QRadar Assistant. Umożliwia ona przeskanowanie środowiska IT w firmie. Dzięki wbudowanej bazie ustawień konfiguracyjnych, zgodnych z najlepszymi praktykami ocenia jej gotowość do wykorzystania sztucznej inteligencji. Aplikację można pobrać ze strony exchange.xforce.ibmcloud.com/hub, gdzie znajduje się 30-dniowa wersja próbna.

Metodyczna obrona

W mechanizmie funkcjonowania aplikacji IBM QRadar Advisor with Watson zastosowano metodę analizy ataków Cyber Kill Chain oraz bazę danych Mitre ATT&CK.
Cyber Kill Chain to opracowany przez firmę Lockheed Martin model opisujący różne fazy ataku i ich wpływ na infrastrukturę IT. Jest stosowany w celu identyfikacji zainicjowanych działań cyberprzestępczych oraz podjęcia działań obronnych, adekwatnych do aktualnie trwającej fazy ataku. Metoda jest szczególnie przydatna w zwalczaniu długotrwałych i powtarzających się ataków typu APT, bowiem ułatwia priorytetyzowanie zadań.

Natomiast Mitre ATT&CK to ogólnodostępna baza wiedzy dotyczącej zaobserwowanych i przeanalizowanych taktyk cyberataków. Jest tworzona przez Mitre Corporation – organizację non profit, której celem jest badanie występujących zagrożeń IT. Zadaniem Mitre jest m.in. zarządzanie bazami danych CVE (Common Vulnerabilities and Exposures) oraz CWE (Common Weakness Enumeration).

Narzędzia z rodziny QRadar oraz IBM Watson for Cybersecurity wykorzystywane są w otwartym w 2017 r. europejskim centrum IBM X-Force Command Center, które powstało w ramach rozbudowy i modernizacji działającego we Wrocławiu usługowego ośrodka IBM SOC. Dzięki nim rozszerzono zakres usług kierowanych do klientów zainteresowanych spełnieniem wymogów RODO. Centrum może świadczyć usługi w modelu EU delivery, co oznacza, że dane klientów nie będą opuszczały Unii Europejskiej.

Wrocławskie IBM X-Force Command Center należy do globalnej sieci tego typu prowadzonych przez IBM placówek, które w każdym miesiącu rejestrują trylion incydentów sieciowych i tworzą metody zapobiegania im. Z usług ochronnych oferowanych przez IBM korzysta na świecie 4,5 tys. dużych firm ze 133 państw. W ramach tej globalnej sieci pracuje ponad 1,4 tys. specjalistów z dziedziny bezpieczeństwa, zaś we Wrocławiu ok. 200.