IBM запускает QRadar Security Suite для ускоренного обнаружения угроз и реагирования на них

На конференции RSA IBM представила платформенно-ориентированное расширение своего продукта безопасности QRadar, разработанного как универсальный магазин для ускорения реагирования и предложения унифицированной структуры для центров управления безопасностью. По словам компании, облачный сервис, названный QRadar Suite, расширяет возможности технологий обнаружения, расследования и реагирования на угрозы.

Сервис имеет встроенный пользовательский интерфейс панели инструментов и автоматизацию искусственного интеллекта для анализа угроз и ответов. Он предназначен для устранения продолжающейся плохой арифметики вокруг центров управления безопасностью: ландшафт угроз, который только расширяется; более изощренные злоумышленники; плюс повсеместная нехватка людей-часовых для охраны периметров предприятий и убийственных цепей.

«Сегодняшние группы Security Operation Center защищают быстро расширяющийся цифровой след, который распространяется на гибридные облачные среды, создавая сложность и затрудняя поспевание за увеличивающимися скоростями атак», — говорится в сообщении IBM, где также говорится, что продукты специально предназначены для помощи поддерживать команды центра управления безопасностью, сталкивающиеся с трудоемкими расследованиями предупреждений и процессами реагирования, ручным анализом и распространением инструментов, данных, точек взаимодействия, API и других потенциальных уязвимостей.

XDR, SIEM и SOAR

Идя в ногу с одним из ключевых элементов RSA 2023 — унифицированными платформами поверх безопасности от нескольких поставщиков — IBM заявила, что QRadar Suite включает в себя расширенное обнаружение и реагирование, или XDR, а также информацию о безопасности и управление событиями, а также оркестровку безопасности, автоматизацию и реагирование. или ВЗЛЕТ. Он также включает в себя новую облачную возможность управления журналами — все это построено на общем пользовательском интерфейсе, общих аналитических данных и подключенных рабочих процессах.

Эмили Моссберг, глобальный кибер-лидер Deloitte, сказала, что SOAR предназначена для автоматизации рабочего процесса, в то время как SIEM — это сбор журналов и событий безопасности, а также правил и политик для определения анализа в дополнение к этому. «Я бы назвал SOAR управлением мировым потоком безопасности. Поставщики как бы подталкивают его, чтобы помочь упростить всю операцию безопасности и снизить уровень усилий, связанных с проработкой инцидентов и исследованиями», — сказала она.

Она сказала, что все сводится к постоянной нехватке аналитиков по безопасности. «Есть элемент балансирования нехватки талантов, и я думаю, что реальность такова, что это связано с затратами. Организации не могут тратить на свою защиту больше, чем доход, который они приносят. Если бы у вас все время были человеческие глаза на стекле, вы не могли бы позволить себе безопасность».

IBM заявила, что ее QRadar SIEM имеет новый унифицированный аналитический интерфейс, который предоставляет общие аналитические данные и рабочие процессы с более широким набором инструментов для обеспечения безопасности. IBM заявила, что планирует сделать QRadar SIEM доступным в качестве сервиса на Amazon Web Services к концу второго квартала 2023 года.

ИИ — необходимое условие безопасности?

Во время RSA многие компании говорили о достоинствах ИИ в области безопасности, особенно в связи с увеличением количества предупреждений в SOC и нехваткой агентов-людей, особенно в компаниях среднего размера, которые, возможно, более уязвимы для фишинговых атак.

IBM Managed Security Services заявила, что использует ИИ для автоматизации более 70% закрытия предупреждений и сокращения сроков сортировки предупреждений в среднем на 55% в течение первого года внедрения, по данным компании.

IBM заявила, что QRadar использует ИИ для:

Triage: Компания заявила, что для определения приоритетов и реагирования на предупреждения QRadar включает в себя ИИ, обученный предыдущим шаблонам реагирования аналитиков, наряду с внешней аналитикой угроз от IBM X-Force и более широкими контекстуальными данными из разных наборов инструментов обнаружения. Расследование: модели ИИ выявляют высокоприоритетные инциденты и автоматически начинают расследование, создают временную шкалу и график атак инцидента на основе платформы MITRE ATT&CK, а также рекомендуют действия для ускорения реагирования. Поиск: QRadar использует язык поиска угроз с открытым исходным кодом и возможности федеративного поиска для идентификации атак и индикаторов компрометации в разных средах без перемещения данных из исходного источника.

Элементы дизайна системы включают в себя UX для продуктов, призванный упростить повышение скорости и эффективности аналитиков в цепочке убийств и возможностей ИИ. Он основан на облаке и поставляется на AWS и включает собственные облачные возможности управления журналами.

«В условиях растущей поверхности атак и сокращения сроков атак скорость и эффективность имеют основополагающее значение для успеха групп безопасности с ограниченными ресурсами», — заявила Мэри О’Брайен, генеральный менеджер IBM Security. «IBM разработала новый QRadar Suite с учетом уникального, модернизированного пользовательского интерфейса, встроенного в сложный ИИ и автоматизацию, чтобы максимизировать производительность аналитиков безопасности и ускорить их реакцию на каждом этапе цепочки атак», — добавила она.

Мэтт Олни, директор по анализу угроз и блокировке в подразделении Cisco по анализу угроз Talos, сказал, что это действительно захватывающее время для ИИ, и система, поддерживающая аналитиков-людей, идеальна. Но он беспокоится, что, хотя ИИ будет быстрее, он может не стать лучше, и предполагает, что ИИ на службе безопасности создает парадоксальную загадку. «Мы обучаем ИИ в Интернете, поэтому мы создаем вещи, которые могут решить все эти решенные проблемы, но если мы не удосужились решить проблемы, мы не сможем использовать ИИ для этого», — сказал он.

Cisco продемонстрировала раннюю концептуальную версию своей модели безопасности AMES AI, которая будет двигаться в сторону естественного языкового интерфейса. Олни выразил обеспокоенность тем, что системы безопасности ИИ могут в конечном итоге ликвидировать рабочие места безопасности более низкого уровня или уровня 1, что потенциально ограничивает способность предприятий занимать должности аналитиков SOC более высокого уровня, где проблемы решаются творчески, генерируя данные, которые улучшат ИИ. «Итак, когда мы начнем обучать ИИ, чему новому мы будем его обучать, если в итоге мы исключили этих людей?»

Платформы против отдельных поставщиков: ложная дихотомия?

Моссбург сказал, что тренд на платформеры следует за переломным моментом в отрасли, который полностью демонстрируется на RSA. «Долгое время мы фокусировались на лучших в своем классе, на лучших мышеловках, и ими стало сложно и трудно управлять. Есть ли смысл иметь 100 лучших мышеловок, если у вас нет времени их устанавливать? Нам нужно перейти на некоторый уровень простоты, чтобы мы действительно могли управлять тем, что у нас есть. Мы увидим больше этого в течение следующих пяти лет. Мы увидим значительную консолидацию», — предсказала она.

Олни сказал, что у единой среды есть свои преимущества. «Есть много вещей, о которых нужно подумать, принимая решения о том, во что инвестировать, поэтому на самом деле вам нужно искать то, что дает вам наибольшую видимость и что хорошо интегрируется с текущим уровнем сложности вашего персонала безопасности. В конечном счете, инструменты очень важны, полезны и необходимы, но в конечном итоге именно люди будут определять успех вашей программы безопасности», — сказал он.

Он перечислил преимущества единой среды. «У вас улучшаются отношения с поставщиками, вы сильно влияете на переговоры, и вам легче обучать людей. Кроме того, ваши контракты на поддержку обычно унифицированы, и это помогает с финансированием», — сказал Олни.

Недостаток: насколько вероятно, что одна компания преуспеет во всех наборах инструментов? «Если я консультирую клиента, я скажу, что вы должны иметь действительно четкое представление о том, каковы ваши потребности в области безопасности, прежде чем искать продукт для обеспечения безопасности», — сказал Олни, добавив, что предприятия должны найти решение, которое дает им максимальную видимость и самые безопасные элементы управления, которые они могут применить для защиты своей сети, когда они активно взаимодействуют со своим противником.

Суть в том, что безопасность сложна, сказал он.

«Вы не можете просто купить что-то у продавца, подключить его и сказать, что теперь я в безопасности. Эта игра работает не так. Он должен быть взаимодополняющим между правильными людьми с правильным набором навыков в сочетании с правильными инструментами и возможностями и объединять их», — добавил он.