Seguridad

IBM presenta la suite de seguridad QRadar en RSA 2023

0 0 6 minutos de lectura
Exterior view of IBM sign at IBM Canada Head Office on May 16, 2018 in Markham, Ontario, Canada.

Una vista exterior del logotipo de IBM en la sede de IBM Canadá en Markham, Ontario, Canadá, 16 de mayo de 2018.Imagen: JHVE Photo/Adobe Stock

En la Conferencia RSA, IBM presentó extensiones centradas en la plataforma a su oferta de seguridad QRadar, diseñadas para servir como una ventanilla única para acelerar la respuesta y proporcionar un marco unificado para los centros de operaciones de seguridad. El servicio nativo de la nube, llamado QRadar Suite, amplía las capacidades de las tecnologías de detección, investigación y respuesta de amenazas, según la empresa.

El servicio presenta una experiencia de usuario de tablero integrado y automatización de IA para analizar amenazas y responder. Su objetivo es abordar los persistentes algoritmos defectuosos que rodean el centro de las operaciones de seguridad: un panorama de amenazas que solo se está expandiendo; atacantes más sofisticados; junto con una escasez general de centinelas humanos que protegen los perímetros corporativos y las cadenas de destrucción.

“Los equipos del centro de operaciones de seguridad de hoy en día están protegiendo una huella digital en rápida expansión que se extiende a entornos de nube híbrida, creando complejidad y dificultando mantenerse al día con la velocidad cada vez mayor de los ataques”, dijo IBM. equipos del centro de operaciones de seguridad que enfrentan procesos de investigación y respuesta de alertas que requieren mucha mano de obra, análisis manual y proliferación de herramientas, datos, puntos de compromiso, API y otras vulnerabilidades potenciales, dijo la compañía.

XDR, SIEM y SOAR

Siguiendo el ritmo de uno de los gaiteros de RSA 2023, una plataforma unificada basada en seguridad de múltiples proveedores, IBM dijo que QRadar Suite incluye detección y respuesta extendidas, o XDR, así como información de seguridad y gestión de eventos, así como orquestación de seguridad. automatización y Responder, o volar. También incluye una nueva capacidad de gestión de registros nativa de la nube, todo construido alrededor de una interfaz de usuario común, conocimientos compartidos y flujos de trabajo conectados.

Emily Mossburg, líder de red global de Deloitte, dijo que SOAR se trata de automatizar flujos de trabajo, mientras que SIEM es una colección de registros y eventos de seguridad, y las reglas y políticas que definen el análisis en base a eso. «Pienso en SOAR como una gestión de flujo mundial de seguridad. Los proveedores lo están presionando para ayudar a simplificar la operación de seguridad general y reducir la carga de trabajo asociada con el manejo de incidentes y la investigación», dijo.

LEER  Protección de datos en la nube con cifrado: soluciones Cypher-X

Todo se reduce a abordar una escasez crónica de analistas de seguridad, dijo. Las organizaciones no pueden gastar más para protegerse que los ingresos que generan. No puedes permitirte la seguridad si sigues viendo todo con ojos humanos.

IBM dijo que su QRadar SIEM tiene una nueva interfaz de analista unificada que proporciona información y flujos de trabajo compartidos, así como un conjunto más amplio de herramientas de operaciones de seguridad. IBM dijo que planea hacer que QRadar SIEM esté disponible como servicio en Amazon Web Services para fines del segundo trimestre de 2023.

Publicaciones relacionadas

Inteligencia artificial, ¿una necesidad para la seguridad?

Durante la RSA, muchas empresas hablaron sobre los beneficios de seguridad de la IA, especialmente con el aumento de las alertas SOC y la falta de agentes humanos, especialmente en las medianas empresas que pueden ser más vulnerables a los ataques de phishing.

Según la empresa, IBM Managed Security Services dice que está utilizando IA para cerrar automáticamente más del 70 por ciento de sus alertas y ha reducido su tiempo de clasificación de alertas en un promedio del 55 por ciento dentro del primer año de implementación.

IBM dice que QRadar usa IA para:

  • Clasificación: para priorizar y responder a las alertas, dice la compañía, QRadar incluye inteligencia artificial entrenada en los patrones de respuesta anteriores de los analistas, así como inteligencia de amenazas externas de IBM X-Force y conocimientos contextuales más amplios de toda la fuerza de conjuntos de herramientas de detección.
  • Investigación: los modelos de IA identifican incidentes de alta prioridad e inician investigaciones automáticamente, generando cronogramas y gráficos de ataque de incidentes basados ​​en el marco MITRE ATT&CK, y recomendando acciones para acelerar la respuesta.
  • Caza: QRadar utiliza un lenguaje de caza de amenazas de código abierto y capacidades de búsqueda federadas para identificar indicadores de ataque y compromiso en entornos sin mover datos de la fuente original.

Los elementos de diseño del sistema incluyen una experiencia de usuario de productos cruzados diseñada para aumentar más fácilmente la velocidad y la eficiencia del analista en toda la cadena de eliminación y las capacidades de IA. Está basado en la nube y se entrega en AWS, incluidas las capacidades de administración de registros nativas de la nube.

«La velocidad y la eficiencia son fundamentales para el éxito de los equipos de seguridad con recursos limitados frente a la expansión de las superficies de ataque y la reducción de los plazos de ataque», dijo Mary O’Brien, gerente general de IBM Security, en un comunicado. ha sido diseñado con una experiencia de usuario única y moderna, integrada con inteligencia artificial sofisticada y automatización para maximizar la productividad de los analistas de seguridad y acelerar su respuesta a cada paso de la cadena de ataque”, agregó.

Matt Olney, director de inteligencia de amenazas y bloqueo en Cisco Talos Threat Intelligence Group, dijo que este es un momento emocionante para la inteligencia artificial y que un sistema que admita analistas humanos es ideal. Pero le preocupa que, si bien la IA será más rápida, puede que no sea mejor, y dice que la IA al servicio de la seguridad presenta un dilema paradójico. «Entrenamos la IA en Internet, por lo que estamos creando cosas que pueden resolver todos estos problemas resueltos, pero si no nos molestamos en resolver estos problemas, no podremos usar la IA para resolverlos», dijo. .

Cisco mostró una versión conceptual temprana de su modelo AMES AI para seguridad, que pasará a una interfaz de lenguaje natural. Olney expresó su preocupación de que los sistemas de inteligencia artificial de seguridad podrían eventualmente eliminar los trabajos de seguridad de nivel 1 o de nivel inferior, lo que podría obstaculizar la capacidad de las empresas para ocupar puestos de analistas SOC de nivel superior, que pueden resolver problemas de manera creativa y generar datos que pueden mejorar la inteligencia artificial. «Entonces, cuando empecemos a entrenar a la IA, si terminamos matando a estas personas, ¿con qué la vamos a entrenar?»

Plataformas frente a proveedores únicos: ¿falsa dicotomía?

Mossburg dijo que la tendencia de la plataforma sigue un punto de inflexión de la industria que se exhibió por completo en RSA. «Durante mucho tiempo nos hemos centrado en la mejor trampa para ratones de su clase, pero se ha vuelto complicado e inmanejable. ¿Tiene sentido tener las 100 mejores trampas para ratones si no tienes tiempo para configurarlas? a cierto nivel de simplicidad para que podamos administrar lo que tenemos. Veremos mucho más de eso en los próximos cinco años. Veremos una gran consolidación «, predice.

Olney dijo que hay beneficios de tener un entorno unificado. «Hay muchas cosas a considerar al decidir en qué invertir, por lo que realmente desea buscar lo que le brinda la mayor visibilidad y lo que funciona bien con el nivel actual de sofisticación de su personal de seguridad. En última instancia, estas herramientas son muy importantes , útil y necesario, pero en última instancia son las personas las que determinan el éxito de un programa de seguridad», dijo.

Citó las ventajas de tener un entorno unificado. «Tiene mejores relaciones con los proveedores, tiene mucha influencia al negociar y es más fácil capacitar a las personas. Además, sus contratos de soporte a menudo son fijos, lo que ayuda con la financiación», dice Olney.

Una desventaja: ¿cuál es la probabilidad de que una empresa se destaque en todos los conjuntos de herramientas? «Si tuviera que asesorar a los clientes, diría que realmente deben profundizar en sus necesidades de seguridad antes de buscar un producto de seguridad», dijo Olney, y agregó que las empresas deben encontrar una solución que les permita cuando están activamente interactuar con Cuando los adversarios se involucran, pueden aplicar la mayor visibilidad y los controles más seguros para proteger sus redes.

La conclusión, dijo, es que la seguridad es difícil.

«No puedes simplemente comprar algo de un proveedor, enchufarlo y decir que ahora estoy a salvo. No es así como funciona el juego. Tiene que ser la gente adecuada con las habilidades adecuadas con las herramientas y capacidades adecuadas y combinarlas Juntos se complementan”, agregó.

LEER  Cómo lidiar con las amenazas cibernéticas durante el cambio al trabajo remoto
0 0 6 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba