Как стать автором
Обновить
0

IBM Watson и кибербезопасность: служба быстрого реагирования, которая работает круглосуточно

Время на прочтение5 мин
Количество просмотров5.4K


В нашу интернет-эпоху информационная безопасность ставится во главу угла. Этому можно не удивляться, поскольку данных в сети чрезвычайно много, а пользователей — миллиарды. Если злоумышленники получат доступ хотя бы к малой толике всей этой информации, можно ждать беды (что, собственно, случается с завидной регулярностью). Конечно, эксперты по безопасности работают, различные компании выпускают инструменты, позволяющие, теоретически, уберечься от вмешательства злоумышленников в нормальный рабочий процесс.

Но, несмотря на принимаемые меры, проблемы зачастую возникают даже у самых, казалось бы, защищенных компаний и организаций. Недавно стало известно, например, что из-за массового распространения в сети вируса WCry в некоторых областях России даже пришлось отменить выдачу водительских прав. Этот вирус скомпрометировал многие компьютеры, которые без разблокировки практически невозможно использовать. Что будет, если сети достаточно крупной коммерческой компании заблокирует вирус? Такая компания потерпит многомиллионные, а то и миллиардные убытки. Так оно и есть, сейчас остановить эпидемию WannaCry удалось только чудом, а убытки еще никто не подсчитывал.

Стандартные инструменты защиты не всегда справляются с угрозой, но когнитивная система может значительно все упростить, управляя кибербезопасностью предприятия. У корпорации IBM есть такой продукт, это сервис Watson for Cyber Security. Подробнее об этом — ниже.


На данный момент специалисты по информационной безопасности зафиксировали десятки тысяч уязвимостей в различном программном обеспечении. Каждый день появляется новое ПО, обнаруживаются новые «дыры» в существующем программном обеспечении, злоумышленники выпускают вирусы, создают эксплоиты, занимаются взломом обычных и корпоративных сетей. Понятно, что специалисты по кибербезопасности не дремлют. Каждая выявленная уязвимость тщательно документируется, зачастую, такая информация выкладывается в открытом доступе. Но это не всегда помогает, поскольку каждый месяц авторы публикуют минимум 60 000 статей, имеющих отношение к этой сфере. Понятно, что уследить за таким потоком данных неспособен никто. Вернее, никто, кроме Watson — когнитивная платформа способна усваивать тысячи и тысячи документов в единицу времени. Практически все эти данные бесструктурные, многие материалы никак друг с другом не связаны, хотя и могут содержать схожие темы.

В информационной безопасности, как нигде, требуется использование машинного обучения и обработка естественного языка. Эти технологии, как и другие с ними связанные, становятся все более совершенными с течением времени. Компьютерные системы обучаются на примере каждой найденной уязвимости или проблемы, становясь все совершеннее в работе с внешними и внутренними информационными угрозами.



На основе сервиса Watson for Cyber Security работает один из продуктов платформы IBM QRadar — IBM Qradar Advisor with Watson.

Когнитивная система IBM Watson помогает аналитикам, которые занимаются обнаружением угроз, справляться со своей работой более эффективно и качественно. Никто не может получить всю необходимую информацию о проблеме, особенно о сложной, за несколько секунд. А вот компьютерная система Watson может, и делает это. Она определяет потенциальную угрозу, ищет информацию по ней, анализирует происходящее и действует по необходимости.

Все данные сохраняются, так что их может изучить как человек, так и сама когнитивная система впоследствии. IBM Watson может, например, обнаружив некую аномалию в корпоративной сети, добраться до сути проблемы, причем очень быстро. В результате эта проблема не успевает стать актуальной, угроза уничтожается еще «на подходе». Данные предоставляются группе технической поддержки, которая действует дальше, основываясь на данных, предоставленных Watson. Все это происходит быстро, система работает с высокой степенью точности.

Работа IBM Qradar Advisor with Watson ведется в режиме 24/7/365. Она состоит из четырех ключевых элементов:

1. Обнаружение инцидента и выявление его причины. При этом когнитивная система активно работает с данными мониторинга работы сети, накопленных Qradar;
2. Далее идет поиск по базе данных самой когнитивной системы, для обнаружения информации, которая относится к обнаруженной аномалии или происшествию;
3. Далее Qradar Advisor отправляет информацию о проблеме в Watson for Cyber Security, для фиксирования этих данных и изучения проблемы;
4. Идет идентификация угрозы и поиск подходящей стратегии борьбы с ней.


Кстати, в 2015 году институт Понемона проводил изучение особенностей работы различных компаний с QRadar. В рамках этого исследования был проведен опрос. Представителей компаний, которые согласились принять участие в опросе, спросили, работали ли они с дополнительными сервисами по сетевой безопасности после внедрения Qradar. 70% опрошенных ответили, что нет, причем 62% заявили, что если бы хотели, без проблем сменили бы продукт, но такого желания не возникало. 43% опрошенных заявили, что почувствовали эффект от работы с сервисом уже через несколько дней, для 27% этот эффект проявился в течение недели.

В целом, достоинства QRadar, включая и когнитивный сервис, можно выделить в следующие пункты:

• Единая архитектура для анализа журналов, сетевых потоков, пакетов, уязвимостей, данных о пользователях и ресурсах
• Анализ корреляции в реальном времени с использованием Sense Analytics для выявления наиболее серьезных угроз, атак и уязвимостей
• Расстановка приоритетов и выделение важнейших инцидентов среди миллиардов единиц данных, получаемых ежедневно
• Прогнозный анализ имеющихся рисков, вызванных некорректной настройкой устройств и известными уязвимостями
• Автоматическое реагирование на инциденты
• Автоматическое выполнение нормативных требований за счет возможностей сбора данных, определения их корреляции и составления отчетности



По оценке института Понемона, обычная компания тратит более 20 000 в год на работу с сетевыми угрозами, как внешними, так и внутренними. Это огромное количество времени, и его можно сэкономить, если автоматизировать все процессы мониторинга.

Watson for Cyber Security оперирует в своей работы данными из 100 000 задокументированных уязвимостей ПО, содержащихся в базе данных IBM X-Force Exchange. Также в распоряжении когнитивной системы более 10 000 различных документов и 700 000 записей в блогах специалистов по информационной безопасности, публикуемых каждый год. В случае необходимости все эти данные можно быстро структурировать и получить необходимую информацию по определенной тематике. Структурированные данные, сформированные Watson for CyberSecurity, поступают в сервис IBM QRadar, о чем уже говорилось выше. Если говорить об эффективности работы такой системы, то она может анализировать тысячи инцидентов в день, сортируя ложные срабатывания и актуальные проблемы с безопасностью.

Вскоре Watson for Cyber Security станет частью новой платформы Cognitive Security Operations Centre (SOC), которая окончательно объединит когнитивные технологии и операции в сфере сетевой безопасности. Ключевым элементом платформы является IBM BigFix Detect. Это решение, позволяющее отследить атаку, использует своеобразную «машину времени» для обнаружения начальной точки, где все началось. Для конечного пользователя это означает возможность быстро, очень быстро отвечать на возникающие угрозы, включая локальные сети и «облака». Другиекомпоненты SOC — это IBM Security, X-Force Exchange и i2. Доступ к этой унифицированной платформе IBM планирует предоставлять в качестве сервиса, который так и будет называться SOC-as-a-Service.
Теги:
Хабы:
Всего голосов 12: ↑12 и ↓0+12
Комментарии0

Публикации

Информация

Сайт
www.ibm.com
Дата регистрации
Дата основания
Численность
1 001–5 000 человек

Истории