IBM Watson и кибербезопасность

IBM Watson: служба быстрого реагирования, которая работает круглосуточно

В нашу интернет-эпоху информационная безопасность ставится во главу угла. Этому можно не удивляться, поскольку данных в сети чрезвычайно много, а пользователей — миллиарды. Если злоумышленники получат доступ хотя бы к малой толике всей этой информации, можно ждать беды (что, собственно, случается с завидной регулярностью). Конечно, эксперты по безопасности работают, различные компании выпускают инструменты, позволяющие, теоретически, уберечься от вмешательства злоумышленников в нормальный рабочий процесс.

Но, несмотря на принимаемые меры, проблемы зачастую возникают даже у самых, казалось бы, защищенных компаний и организаций. Недавно стало известно, например, что из-за массового распространения в сети вируса WCry в некоторых областях России даже пришлось отменить выдачу водительских прав. Этот вирус скомпрометировал многие компьютеры, которые без разблокировки практически невозможно использовать. Что будет, если сети достаточно крупной коммерческой компании заблокирует вирус? Такая компания потерпит многомиллионные, а то и миллиардные убытки. Так оно и есть, сейчас остановить эпидемию WannaCry удалось только чудом, а убытки еще никто не подсчитывал.

Стандартные инструменты защиты не всегда справляются с угрозой, но когнитивная система может значительно все упростить, управляя кибербезопасностью предприятия. У корпорации IBM есть такой продукт, это сервис Watson for Cyber Security. Подробнее об этом — ниже.

На данный момент специалисты по информационной безопасности зафиксировали десятки тысяч уязвимостей в различном программном обеспечении. Каждый день появляется новое ПО, обнаруживаются новые «дыры» в существующем программном обеспечении, злоумышленники выпускают вирусы, создают эксплоиты, занимаются взломом обычных и корпоративных сетей. Понятно, что специалисты по кибербезопасности не дремлют. Каждая выявленная уязвимость тщательно документируется, зачастую, такая информация выкладывается в открытом доступе. Но это не всегда помогает, поскольку каждый месяц авторы публикуют минимум 60 000 статей, имеющих отношение к этой сфере. Понятно, что уследить за таким потоком данных неспособен никто. Вернее, никто, кроме Watson — когнитивная платформа способна усваивать тысячи и тысячи документов в единицу времени. Практически все эти данные бесструктурные, многие материалы никак друг с другом не связаны, хотя и могут содержать схожие темы.

В информационной безопасности, как нигде, требуется использование машинного обучения и обработка естественного языка. Эти технологии, как и другие с ними связанные, становятся все более совершенными с течением времени. Компьютерные системы обучаются на примере каждой найденной уязвимости или проблемы, становясь все совершеннее в работе с внешними и внутренними информационными угрозами.

На основе сервиса Watson for Cyber Security работает один из продуктов платформы IBM QRadar — IBM Qradar Advisor with Watson.

Когнитивная система IBM Watson помогает аналитикам, которые занимаются обнаружением угроз, справляться со своей работой более эффективно и качественно. Никто не может получить всю необходимую информацию о проблеме, особенно о сложной, за несколько секунд. А вот компьютерная система Watson может, и делает это. Она определяет потенциальную угрозу, ищет информацию по ней, анализирует происходящее и действует по необходимости.

Все данные сохраняются, так что их может изучить как человек, так и сама когнитивная система впоследствии. IBM Watson может, например, обнаружив некую аномалию в корпоративной сети, добраться до сути проблемы, причем очень быстро. В результате эта проблема не успевает стать актуальной, угроза уничтожается еще «на подходе». Данные предоставляются группе технической поддержки, которая действует дальше, основываясь на данных, предоставленных Watson. Все это происходит быстро, система работает с высокой степенью точности.

Работа IBM Qradar Advisor with Watson ведется в режиме 24/7/365. Она состоит из четырех ключевых элементов:

1. Обнаружение инцидента и выявление его причины. При этом когнитивная система активно работает с данными мониторинга работы сети, накопленных Qradar;
2. Далее идет поиск по базе данных самой когнитивной системы, для обнаружения информации, которая относится к обнаруженной аномалии или происшествию;
3. Далее Qradar Advisor отправляет информацию о проблеме в Watson for Cyber Security, для фиксирования этих данных и изучения проблемы;
4. Идет идентификация угрозы и поиск подходящей стратегии борьбы с ней.

Кстати, в 2015 году институт Понемона проводил изучение особенностей работы различных компаний с QRadar. В рамках этого исследования был проведен опрос. Представителей компаний, которые согласились принять участие в опросе, спросили, работали ли они с дополнительными сервисами по сетевой безопасности после внедрения Qradar. 70% опрошенных ответили, что нет, причем 62% заявили, что если бы хотели, без проблем сменили бы продукт, но такого желания не возникало. 43% опрошенных заявили, что почувствовали эффект от работы с сервисом уже через несколько дней, для 27% этот эффект проявился в течение недели.

В целом, достоинства QRadar, включая и когнитивный сервис, можно выделить в следующие пункты:

• Единая архитектура для анализа журналов, сетевых потоков, пакетов, уязвимостей, данных о пользователях и ресурсах
• Анализ корреляции в реальном времени с использованием Sense Analytics для выявления наиболее серьезных угроз, атак и уязвимостей
• Расстановка приоритетов и выделение важнейших инцидентов среди миллиардов единиц данных, получаемых ежедневно
• Прогнозный анализ имеющихся рисков, вызванных некорректной настройкой устройств и известными уязвимостями
• Автоматическое реагирование на инциденты
• Автоматическое выполнение нормативных требований за счет возможностей сбора данных, определения их корреляции и составления отчетности

Подробнее на Хабре:  https://habrahabr.ru/company/ibm/blog/330250/

Добавить комментарий