Análisis cognitivo para una gestión eficaz de incidentes

Texto completo

(1)

Análisis cognitivo para una gestión

eficaz de incidentes

Eduardo Argüeso

Director de IBM Seguridad para España, Portugal, Grecia e Israel

(2)

Datos del incidente

Observables (ej., dominios, MD5s, etc.)

Pivotar sobre los observables y buscar

elementos extraños (ej. dominios

inusuales, IPs, acceso a ficheros, etc.)

Extender la búsqueda

Buscar indicadores utilizando x-Force

Exchange + Google + Virus Total, etc.

Descubrir nuevo malware

Obtener IOC (indicators of compromise)

de nuevas búsquedas web

Investigar localmente los IOCs

Buscar otras IPs internas afectadas

Cualificar el incidente

Iniciar otra investigación alrededor de

cada una de las IPs

Trabajo cotidiano de un analista de seguridad

Tiempo de

análisis de

amenazas

Aplicar la inteligencia e

investigar el incidente

Obtener datos de

investigación de amenazas,

desarrollar expertise

Obtener un contexto local

del incidente

Precisión de cualificación: minimizar los

falsos positivos y negativos

(3)

Los desafíos actuales de las operaciones de Seguridad tienen

importantes efectos en el negocio

Desafio

Sobrecarga de eventos:

200K+ eventos / día

20 - 40 eventos / analista

Sobrecarga de

información:

10x feeds

100x webs públicas

Actualizacion diaria

Escasez de skills:

1.8M de vacantes sin

cubrir en 2022

Impacto en el negocio

Interrupción

Operacional:

falta de servicio, esfuerzos

de respuesta y de

recuperación, etc.

Coste total del

incidente:

operacional, comercial,

legal, etc.

Pérdida de ingresos:

clientes perdidos, etc.

Daño reputacional

Mayor

tiempo en

identificar

incidentes

Imprecisión

en el Análisis

Coste medio:

TMI < 100 dias: $2,8M

TMI > 100 días $3,83M

• Tiempo medio de identificación

(TMI): 191 días

• Coste medio de una brecha en

(4)

La información no estructurada puede mejorar significativamente el análisis,

¿y si una máquina pudiera asistir al analista para usar esta información?

Datos de

Seguridad

habituales

Hay un universo de conocimiento de

seguridad oculto a nuestras defensas

Típicamente sólo se usa el 8% de este contenido*

Datos no

estructurados

Eventos y alertas de seguridad

Datos de log y configuración

Actividad de usuario y de red

Feeds de amenazas y vulnerabilidades

Por ejmplo:

Docs de investigación

Publicaciones

Información forense

Intel. de amenazas

comentarios

Pres. de Conferencias

Informes de analistas

Páginas web

Wikis

Blogs

News feeds

Newsletters

Tweets

(5)

1-3 Días

1 Hora

5 Minutos

Datos Estructurados

de Seguridad

X-Force Exchange

Datos de partners de confianza

Open source

información de pago

- Indicadores

- Vulnerabilidades

- Malware, …

- Nuevos actores

- Campañas

- Malware

- Indicadores, …

- Procedimientos

- Actores

- Tendencias

- Indicadores, .

Rastreo de Críticos

Datos no Estructurados

Crawl masivo de todos los datos

de seguridad en la web

Réplicas de ataques

Revisiones de ataques

Mejores prácticas

Blogs

Sitios Web

Noticias…

Filtrado + Aprendizaje de Máquina

Elimina información innecesaria

Aprendizaje de Máquina/

Procesando Lenguaje Natural

Extractos y Anotaciones de Datos

Recopilados

Billiones de

Elementos de

Datos

Millones de

Documentos

3:1 Reducción

Grafo (masivo) de Conocimiento de

Seguridad

Billiones de Nodos

Watson utiliza un amplio corpus de seguridad que soporta el análisis

exhaustivo de incidentes

(6)

Análisis cognitivo para la seguridad con QRadar Advisor with Watson

Gestionar alertas

Investigar eventos de seguridad y

anomalías de seguridad

Correlación de datos

Identificación de patrones

Detección de anomalías

priorizar

Análisis de Seguridad

Analistas de Seguridad

Watson for Cyber Security

Conocimiento de seguridad

Identificación de amenazas

Descubrir indicadores adicionales

Deducir relaciones

Evidencias

Minería de datos local

Realizar investigación de seguridad

Mostrar conclusiones

QRadar Advisor

ANALISTA

DE

SEGURIDAD

ANÁLISIS

DE

SEGURIDAD

QRadar

Advisor

Watson

for Cyber

Security

(7)

Watson for Cyber Security Demo

(8)

QRadar Advisor with Watson

Compensando las carencias en Conocimiento, Velocidad y Precisión

Añade

10x

más indicadores

accionables para descubrir nuevas

amenazas

“QRadar fired an offense on a user trying

to connect to a botnet IP. The security

analyst found 5 correlated indictors

manually while Watson showed the extent

of the threat with 50+ useful indicators. “

“An analyst started to make mistakes due

to loss of concentration over time. Watson

never did.”

Velocidad

Hasta

60x

más rápido que una

investigación manual de amenazas

Acelera los análisis complejos de

1 hora

a menos de

1 minuto

“Watson for Cyber Security was able to

accurately accelerate the analysis process

by 50 percent. This allowed our staff to

analyze significantly more information in a

shorter amount of time, and to target and

react to the most persistent threats

immediately.”“Every Watson analysis took

less than 1 minute whereas the human

analysis took 15 minute to 1 hour.”

Eficacia

Conocimiento

1M+

documentos de seguridad

ingeridos por Watson para

proporcionar el contexto y alcance

completos de un ataque

10B+

nodos de seguridad para

conectar los puntos ocultos en

amenazas que son habitualmente

ignorados por los analistas de

seguridad

.

"....L1 and L2 analysts arrive at conclusion

that it's not a security incident. The

investigation with Watson was more

instructive. It did the qualifying in minutes

and determined that one of our client's

hosts was compromised by a DDoS

attack”

(9)

Podemos reducir significativamente el tiempo de identificación de los

incidentes con QRadar Advisor with Watson…

Respuesta

Análisis y evaluación de Impacto

Selección

Priorización

Días a

Semanas

Análisis no asistido

Respuesta

Análisis y eval. de

Impacto

Sel.

Prioriz.

Minutos

a Horas

Análisis asistido por QRadar Advisor with Watson

Análisis rápido y preciso de los

incidentes de seguridad, ahorrando

tiempo y recursos preciosos

(10)

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

FOLLOW US ON:

THANK YOU

Figure

Actualización...

Referencias

Actualización...

Related subjects :