Llegamos a ustedes gracias a:



Noticias

IBM introduce nueva versión de IBM QRadar Advisor with Watson

[29/11/2018] IBM Security anunció nuevas capacidades para la plataforma de seguridad basada en AI de la empresa, QRadar Advisor with Watson, que expanden el conocimiento que tiene la plataforma sobre el comportamiento cibercriminal y le permite aprender de las actividades de respuesta de seguridad dentro de una organización. IBM Security también está adoptando el framework de código abierto MITRE ATT&CK, una guía para ayudar a los analistas a entender cómo ha evolucionado un ataque, y lo que podría suceder a continuación en base a las observaciones reales de la comunidad de seguridad.

"Como parte del último lanzamiento, IBM ha desarrollado nuevos modelos analíticos y de aprendizaje que permiten a QRadar Advisor identificar patrones de ataque largos y lentos, y adaptarse al ambiente local del cliente. Este bucle de aprendizaje se hace más inteligente con el tiempo en base a las interacciones adicionales y el compromiso con los analistas, lo que permite a la herramienta proporcionar recomendaciones más fuertes sobre cómo responder, así como calificaciones de confianza basadas en cómo se alinean los incidentes con los datos históricos, afirmó Chris Meenan, director de Security Intelligence Offering Management and Strategy de IBM Security.

MITRE ATT&CK es un manual de código abierto sobre el comportamiento cibercriminal desarrollado con ejemplos y conocimientos del mundo real de expertos en ciberseguridad de toda la industria, que define paso a paso patrones y acciones que una amenaza puede tomar a medida que evoluciona.

"Usando el framework de ATT&CK, QRadar Advisor with Watson va más allá de identificar la amenaza y proporcionar investigación externa sobre ella, ahora también arroja luz sobre cómo los ataques externos y las amenazas internas han progresado dentro de la infraestructura del cliente -por ejemplo, si el malware acaba de aterrizar dentro de una organización, o si ha recogido datos como contraseñas e información de tarjetas de crédito. Este contexto adicional también incluye un nivel de confianza, así como las pruebas pertinentes para cada etapa del ataque. Al ayudar a los analistas a visualizar cómo ha evolucionado un ataque, esta capacidad permite a los analistas entender inmediatamente dónde se encuentra un incidente dentro del ciclo de vida de la amenaza y qué podría hacer a continuación, lo que puede mejorar significativamente los tiempos de respuesta y la efectividad, afirmó Meenan.

El ejecutivo añadió que, la versión inicial de QRadar Advisor with Watson permitió a Watson recopilar, leer y comprender datos de seguridad estructurados y no estructurados de fuentes externas, y llevar la información más relevante al alcance de los analistas para ayudarles a comprender lo que ya se sabía y se publicó sobre una amenaza específica. Ahora, QRadar Advisor también está aprendiendo de las acciones que se llevan a cabo en los ambientes de los clientes, tanto los eventos que ocurren en tiempo real como los que han ocurrido con ciertos tipos de eventos históricamente. Las dos nuevas capacidades que IBM está introduciendo para QRadar Advisor incluyen:

  • Modelos de disposición de amenazas: QRadar Advisor utiliza nuevos algoritmos para crear un modelo para tipos específicos de amenazas, en función de las acciones y el resultado de eventos similares anteriores que han ocurrido dentro de una organización. Cuando se produce una nueva investigación, este modelo puede utilizarse para ayudar a descartar falsos positivos, o ayudar al analista a decidir si la amenaza debe ser comunicada como malware, exfiltración de datos u otros tipos específicos de amenazas. Esta capacidad se vuelve cada vez más inteligente a medida que se usa, aprendiendo y adaptándose en función de las interacciones con los analistas.
  • Analítica multi investigación: Dentro del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) de una compañía, varios analistas podrían estar trabajando en diferentes delitos relacionados entre sí, o las alertas durante muchos meses pueden ser parte de una campaña de confrontación a largo plazo. Esta capacidad permite a QRadar Advisor encontrar puntos en común en investigaciones usando el razonamiento cognitivo y agrupando automáticamente las investigaciones que están relacionadas para evitar la duplicación de esfuerzos, así como proporcionar un contexto para ayudar a la investigación.