Embed Size (px)
Citation preview
QRadar Advisor with WatsonAUMENTE LA CAPACIDAD DE SU SOC CON TECNOLOGÍA COGNITIVA
Liher Elgezabal
18/09/17
CTP QRadar y Watson AmbassadorIBM Security
La Realidad actual
El tiempo medio que los atacantes permanecen ocultos en la red es de 140 días31% de las
organizaciones se ven obligadas a ignorar el 50% or más de las alertas de seguridad porque no pueden resoponder al volumen de eventos
Carencias de Cyber Seguridad revelados por el Cognitive Security Study
Demasiados falsos positivos que requieren mejor cualificación de los incidentes.
Recursos insuficientemente preparados para identificación de amenazas, monitorización y escalado de posibles incidentes.
Carencias en Velocidad
Dificultad para reducir el tiempo medio de respuesta y resolución de incidentes.
Carencias en PrecisiónCarencias en Inteligencia
Recursos infuficientespara investigación de amenazas
Mantenerse al día en nuevas amenazas y vulnerabilidades es un retoconstante
Abordando las carencias mientras se mantienen los costes y las presiones del ROI
Actividades de seguridad para combatir Cyber Amenazas
Posibles incidentes
Servers and mainframes
Data activity
Network & virtual activity
Application activity
Configuration information
Security devices
Users and identities
Vulnerabilities and threats
Global threat intelligence
Inteligencia incorporada
Prioritized Incidents
Endpoint Intelligense
Analítica de seguridad automatizada
Detección de Amenazas y Riesgos
Investigación y Cualificación
Respuesta a Incidentes
Análisis Cognitivo
Analista Nivel 1
Analista Nivel 2
Analista Nivel 3
Respuesta a Incidentes
Evaluación de seguridad manual que requiere de recursos cualificados
Procesos de respuesta guiados o
automatizados
Orquestación avanzada
Monitorización de Seguridad
Escalado de Incidentes
Análisis de Seguridad
Threat Hunting
Planificación Respuesta
IBM Security Intelligence & Incident Response
Detección de Amenazas y Riesgos
Investigación y Cualificación
Gobierno y Respuesta a Incidentes
QRadar Security Analytics Platform QRadar Advisor with Watson Resilient
The Problem: Analysis of a security incident involves several cognitive tasks that need to be performed quickly, consistently, accurately and at scale
Review security incidents in QRadar Decide which incident to focus on next
Review the data that comprise the incident (events / flows)
Expand your search to capture more data around that incident
Pivot the data multiple ways to find outliers(such as unusual domains, IPs, file access)
Review the payload outlying events for anything interesting (domains, MD5s, etc.)
Search X-Force Exchange + Search Engine + Virus Total + your favorite tools for these outliers / indicators; Find new malware is at play
Identify the name of the malware
Search more websites for IOC information for that malware from the internet
Take these newly found IOCs from the internetand search from them back in QRadar
Find other internal IPs are potentially infected with the same malware
Start another investigation around each of these IPs
• Revisar datos del incidente• Revisar eventos destacados para obtener
algo interesante (ej: dominios, MD5s, etc.) • Pivotar sobre los datos para encontrar
elementos extraños (ej: dominios inusuales, IPs, acceso a ficheros,...)
• Extender búsqueda para capturar más datos relacionados con el incidente
• Buscar indicadores utilizando X-Force Exchange + Google + Virus Total + tus herramientas favoritas
• Descubrir nuevo malware involucrado• Obtener nombre del malware• Obtener IOC (indicators of compromise)
de nuevas búsquedas web
• Investigar localmente los IOCs obtenidos• Buscar otras IPs internas posiblemente
infectadas por el mismo malware.• Cualificar el incidente basandose en la
inteligencia obtenida de la investigación de amenazas
• Iniciar otra investigación alrededor de cada una de las IPs
Proceso de investigación y cualificación de incidentes de seguridad
Aplicar inteligencia e investigar el incidente
Obtener datos de investigación de amenazas, desarrollar expertise
Obtener contexto local del Incidente
QRadar Advisor in Action
1. Ofensas
5. Resultado investigación
Knowledgegraph
4. Realiza investigación de amenazas y
desarrolla conocimento
3. Observables2. Obtiene contexto local y crea una estrategia de investigación
Contexto deOfensa
Actividades dedispositivos
Relaciones deEquivalencia
6. Aplica la inteligencia obtenida para investigar y cualificar el incidente
Eventos de seguridad analizados por QRadar
Aplicar análisis Cognitivo a la seguridad con QRadar Advisor with Watson
IBM CONFIDENTIAL
• Gestionar alertas• Investigar eventos y anomalías de
seguridad• Avaluar actividad de usuarios y
vulnerabilidades• Configuración• Otros
• Correlación de datos• Identificación de patrones• Umbrales• Políticas• Detección de anomalías• Priorización
Analítica de Seguridad
Analistas de Seguridad Watson for Cyber Security• Conocimiento de Seguridad• Identificación de amenazas• Descubrir indicadores adicionales• Aflorar o deducir relaciones• Evidencias
• Data mining local• Realizar investigarción de seguridad utilizandoWatson for
Cyber Security• Cualificar y relacionar la investigación de seguridad con los
incidentes de seguridad• Mostrar conclusiones
QRadar Advisor
SECURITY ANALYSTS
SECURITY ANALYTICS
QRadarAdvisor
DATA
MIN
ING
| KE
Y IN
SIG
HTS C
OM
PREN
DER
| R
AZO
NA
R|
APR
END
ER
Watsonfor Cyber Security
Billones deElementos
de datos
X-Force Exchange
Feeds partners de confianza
Otros feeds de amenazas
Open Source
Breach replies
Attack write-ups
Best practices
Course of action
Investigación
Websites
Blogs
News
Corpus Masivo deConocimiento de Seguridad
Millones de Documentos
Enseñar Cyber Seguridad a un Sistema Cognitivo
DATOS ESTRUCTURADOS DATOS NO ESTRUCTURADOS BARRIDO WEB
5-10 actualizaciones / hora! 100K actualizaciones / semana!
2.3M documentos de seguridad
10B+ elementos de seguridad
80k+ documentos leídos al día
SEE THE BIG PICTURE
“QRadar Advisor enables us to trulyunderstand our risk and the needed actions to mitigate a threat.”
ACT WITH SPEED & CONFIDENCE
“The QRadar Advisor results in the enhanced context graph is a BIG savings in time versus manual research.”
Watson for Cyber Security
Reduce el tiempo de investigación y respuesta ante amenazas con QRadar Advisor with Watson
RemediaciónInvestigación y evaluación del ImpactoTriaje del Incidente Horas a Dias
Análisis de amenazas manual
RemediaciónInvestigación y evaluación del
ImpactoTriaje del Incidente
Minutos a Horas
Análisis de amenazas asistido por QRadar Advisor with Watson
Analisis rápido y preciso de las amenazas de seguridad, ahorrando tiempo y recursos valiosos
§ Aumenta la capacidad de los equipos de seguridad, Aliviando la presión de la carencia de skills
§ Acelera el triaje con más automatización y profundidad de análisis
§ Reduce el riesgo de ignorar datos importantes
Casos reales
13 IBM Security13
Cliente conectandose a una IP Botnet
Watson Indicators IP Botnet
• QRadar creó una ofensa sobre un usuario intentando conectarse a una IP botnet El analista encontró 5 indicadores
relacionados manualmente• Watson mostró la dimensión de la
amenaza con 50+ indicadores útiles Email hashes File hashes IP addresses Domains
13
14 IBM Security14
External Scan
Watson Key Indicators Offense – External Scan
• Light external scanning• Parecía Shodan
El analista lo abría marcado como un escaneo sin relevancia
• Watson mostró información adicional Botnet C&C Servidores SPAM Malware hosting
15 IBM Security15
Descarga de Malware desde Cliente
Watson Key Indicators Descarga de Malware desde cliente• El cliente intentó descargar
malware El Malware fué bloqueado Cuánto tiempo dedicas a una
amenaza bloqueada?• Watson enriqueció
El Malware era parte de una campaña mayor
El Analistá utilizó los indicadores adicionales para buscar compromisos
16 IBM Security
Todos los Indicadores – a Watson le llevó 5 minutos
16
Añade 10x más indicadoresaccionables para descubrir nuevas amenazas
“QRadar fired an offense on a user trying to connect to a botnet IP. The security analyst found 5 correlated indictors manually while Watson showed the extent of the threat with 50+ useful indicators. “
“An analyst started to make mistakes due to loss of concentration over time. Watson never did.”
VelocidadHasta 60x más rápido que una investigación manual de amenazas
Acelera los análisis complejos de 1 hora a menos de 1 minuto
“Watson for Cyber Security was able to accurately accelerate the analysis process by 50 percent. This allowed our staff to analyze significantly more information in a shorter amount of time, and to target and react to the most persistent threats immediately.”“Every Watson analysis took less than 1 minute whereas the human analysis took 15 minute to 1 hour.”
PrecisiónInteligencia1M+ documentos de seguridad ingeridos por Watson para proporcionar el contexto y alcance completos de un ataque10B+ nodos de seguridad para conectar los puntos ocultos en amenazas que son habitualmente ignorados por los analistas de seguridad.
"....L1 and L2 analysts arrive at conclusion that it's not a security incident. The investigation with Watson was more instructive. It did the qualifying in minutes and determined that one of our client's hosts was compromised by a DDoS attack”
QRadar Advisor with WatsonCompensando las carencias en Inteligencia, Velocidad y Precisión
QRadar Advisor with Watson 1.7 Preview
19 IBM Security
Análisis Automatizado
QRadar Advisor with Watson permite automatizar la investigación de ofensas• Opción de realizar análisis local en todas las ofensas• El Análisis se puede configurar para todas las ofensas o para tipos específicos• Enriquecimiento Watson se realizará si el análisis local identifica observables que
requieran investigación de amenazas
20 IBM Security
Post Analytics Data Mining
QRadar Advisor realizará data mining acicional fuera de la ofensa utilizando los indicadores identificados por Watson
21 IBM Security
Smart Check
Advisor revisa las fuentes de log asociados a Advisor y ayuda a los clientes a evaluar y optimizar la configuracion para sacar el mayor rendimiento a Watson
22 IBM Security
Información de relaciones
Advisor muestra información sobre las relaciones entre nodos del knowledge graph
23 IBM Security
Exportar resultado
Advisor soporta exportación de datos en el formato estándar STIX permitiendo a los incluso realizarlo programaticamente utilizando web hooks
Live Demo
25 IBM Security
QRadar Advisor with Watson es solo el principio!
Enhance your SOC analysts
Speed response with external intelligence
Identify threats with advanced
analytics
Strengthen application
security
Improve enterprise
risk
Pruébalo, instalando la demo de 30 días desde el App Exchange
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
FOLLOW US ON:
THANK YOU
