Análisis cognitivo para una gestión
eficaz de incidentes
Eduardo Argüeso
Director de IBM Seguridad para España, Portugal, Grecia e Israel
•
Datos del incidente
•
Observables (ej., dominios, MD5s, etc.)
•
Pivotar sobre los observables y buscar
elementos extraños (ej. dominios
inusuales, IPs, acceso a ficheros, etc.)
•
Extender la búsqueda
•
Buscar indicadores utilizando x-Force
Exchange + Google + Virus Total, etc.
•
Descubrir nuevo malware
•
Obtener IOC (indicators of compromise)
de nuevas búsquedas web
•
Investigar localmente los IOCs
•
Buscar otras IPs internas afectadas
•
Cualificar el incidente
•
Iniciar otra investigación alrededor de
cada una de las IPs
Trabajo cotidiano de un analista de seguridad
Tiempo de
análisis de
amenazas
Aplicar la inteligencia e
investigar el incidente
Obtener datos de
investigación de amenazas,
desarrollar expertise
Obtener un contexto local
del incidente
Precisión de cualificación: minimizar los
falsos positivos y negativos
Los desafíos actuales de las operaciones de Seguridad tienen
importantes efectos en el negocio
Desafio
Sobrecarga de eventos:
•
200K+ eventos / día
•
20 - 40 eventos / analista
Sobrecarga de
información:
•
10x feeds
•
100x webs públicas
•
Actualizacion diaria
Escasez de skills:
•
1.8M de vacantes sin
cubrir en 2022
Impacto en el negocio
Interrupción
Operacional:
falta de servicio, esfuerzos
de respuesta y de
recuperación, etc.
Coste total del
incidente:
operacional, comercial,
legal, etc.
Pérdida de ingresos:
clientes perdidos, etc.
Daño reputacional
Mayor
tiempo en
identificar
incidentes
Imprecisión
en el Análisis
•
Coste medio:
•
TMI < 100 dias: $2,8M
•
TMI > 100 días $3,83M
• Tiempo medio de identificación
(TMI): 191 días
• Coste medio de una brecha en
La información no estructurada puede mejorar significativamente el análisis,
¿y si una máquina pudiera asistir al analista para usar esta información?
Datos de
Seguridad
habituales
Hay un universo de conocimiento de
seguridad oculto a nuestras defensas
Típicamente sólo se usa el 8% de este contenido*
Datos no
estructurados
•
Eventos y alertas de seguridad
•
Datos de log y configuración
•
Actividad de usuario y de red
•
Feeds de amenazas y vulnerabilidades
Por ejmplo:
•
Docs de investigación
•
Publicaciones
•
Información forense
•
Intel. de amenazas
•
comentarios
•
Pres. de Conferencias
•
Informes de analistas
•
Páginas web
•
Wikis
•
Blogs
•
News feeds
•
Newsletters
•
Tweets
1-3 Días
1 Hora
5 Minutos
Datos Estructurados
de Seguridad
X-Force Exchange
Datos de partners de confianza
Open source
información de pago
- Indicadores
- Vulnerabilidades
- Malware, …
- Nuevos actores
- Campañas
- Malware
- Indicadores, …
- Procedimientos
- Actores
- Tendencias
- Indicadores, .
Rastreo de Críticos
Datos no Estructurados
Crawl masivo de todos los datos
de seguridad en la web
Réplicas de ataques
Revisiones de ataques
Mejores prácticas
Blogs
Sitios Web
Noticias…
Filtrado + Aprendizaje de Máquina
Elimina información innecesaria
Aprendizaje de Máquina/
Procesando Lenguaje Natural
Extractos y Anotaciones de Datos
Recopilados
Billiones de
Elementos de
Datos
Millones de
Documentos
3:1 Reducción
Grafo (masivo) de Conocimiento de
Seguridad
Billiones de Nodos
Watson utiliza un amplio corpus de seguridad que soporta el análisis
exhaustivo de incidentes
Análisis cognitivo para la seguridad con QRadar Advisor with Watson
•
Gestionar alertas
•
Investigar eventos de seguridad y
anomalías de seguridad
•
Correlación de datos
•
Identificación de patrones
•
Detección de anomalías
•
priorizar
Análisis de Seguridad
Analistas de Seguridad
Watson for Cyber Security
•
Conocimiento de seguridad
•
Identificación de amenazas
•
Descubrir indicadores adicionales
•
Deducir relaciones
•
Evidencias
•
Minería de datos local
•
Realizar investigación de seguridad
•
Mostrar conclusiones
QRadar Advisor
ANALISTA
DE
SEGURIDAD
ANÁLISIS
DE
SEGURIDAD
QRadar
Advisor
Watson
for Cyber
Security
Watson for Cyber Security Demo
QRadar Advisor with Watson
Compensando las carencias en Conocimiento, Velocidad y Precisión
Añade
10x
más indicadores
accionables para descubrir nuevas
amenazas
“QRadar fired an offense on a user trying
to connect to a botnet IP. The security
analyst found 5 correlated indictors
manually while Watson showed the extent
of the threat with 50+ useful indicators. “
“An analyst started to make mistakes due
to loss of concentration over time. Watson
never did.”
Velocidad
Hasta
60x
más rápido que una
investigación manual de amenazas
Acelera los análisis complejos de
1 hora
a menos de
1 minuto
“Watson for Cyber Security was able to
accurately accelerate the analysis process
by 50 percent. This allowed our staff to
analyze significantly more information in a
shorter amount of time, and to target and
react to the most persistent threats
immediately.”“Every Watson analysis took
less than 1 minute whereas the human
analysis took 15 minute to 1 hour.”
Eficacia
Conocimiento
1M+
documentos de seguridad
ingeridos por Watson para
proporcionar el contexto y alcance
completos de un ataque
10B+
nodos de seguridad para
conectar los puntos ocultos en
amenazas que son habitualmente
ignorados por los analistas de
seguridad
.
"....L1 and L2 analysts arrive at conclusion
that it's not a security incident. The
investigation with Watson was more
instructive. It did the qualifying in minutes
and determined that one of our client's
hosts was compromised by a DDoS
attack”
Podemos reducir significativamente el tiempo de identificación de los
incidentes con QRadar Advisor with Watson…
Respuesta
Análisis y evaluación de Impacto
Selección
Priorización
Días a
Semanas
Análisis no asistido
Respuesta
Análisis y eval. de
Impacto
Sel.
Prioriz.
Minutos
a Horas
Análisis asistido por QRadar Advisor with Watson
Análisis rápido y preciso de los
incidentes de seguridad, ahorrando
tiempo y recursos preciosos
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.