Подразделение IBM Security представило решение Watson for Cyber Security, первую в отрасли дополненную интеллектуальную технологию, разработанную для управления когнитивными центрами информационной безопасности (security operations centers, SOC).
В течение прошлого года система Watson обучалась языку кибербезопасности и обработала более 1 млн документов по этой теме. Сегодня система способна помочь аналитикам по вопросам безопасности разобраться в тысячах отчетов, подготовленных на естественном языке, которые ранее были недоступны обычным инструментам информационной защиты.
Согласно исследованию IBM, команды по обеспечению информационной безопасности ежедневно отфильтровывают свыше 200 тыс. инцидентов в системе защиты. В результате более 20 тыс. часов в год уходит на обработку ложных угроз. Необходимость внедрения когнитивных технологий в центры информационной безопасности стоит особенно остро, поскольку в течение следующих пяти лет количество инцидентов в системе защиты увеличится вдвое. Также возрастет уровень регулирования сферы по всему миру.
Решение Watson for Cyber Security будет интегрировано в новую платформу IBM Cognitive SOC, объединив передовые когнитивные технологии и операции в системе безопасности. Это позволит реагировать на угрозы, возникающие на конечных устройствах, в сети, у отдельных пользователей и в облаке. Центральным компонентом платформы является IBM QRadar Advisor with Watson, первый инструмент, подключенный к базе инсайтов по кибербезопасности Watson. Новое приложение уже используют компании Avnet, Университет Нью-Брансуика, Sopra Steria и 40 других организаций по всему миру. Оно помогает расследовать инциденты в системе безопасности, которые проводят аналитики.
IBM также инвестировала в проведение исследований с целью включить в свою сеть X-Force Command Center такие когнитивные инструменты, как управляемый системой Watson чат-бот. Это решение сейчас используется для взаимодействия с клиентами IBM Managed Security Services. IBM также запустила новый исследовательский проект под кодовым названием Havyn. Это первый голосовой помощник в области безопасности, эффективно использующий способность системы Watson вести диалог. Он может реагировать на устные команды и понимать естественный язык аналитиков по безопасности.
«Современные изощренные кибератаки используют множество каналов с целью скрыть свои активности. Нашим специалистам по безопасности очень сложно обнаружить эти угрозы в огромных массивах данных, связанных с информационной защитой, – сказал Шон Валкамп, директор по информационным технологиям Avnet. – Система Watson препятствует попыткам скрыть информацию благодаря быстрой обработке большого количества потоков данных. Затем она сравнивает эту информацию со сведениями о последних кибератаках и предоставляет более целостную картину угроз. Watson в течение нескольких минут создает отчеты по этим угрозам, что позволяет существенно сократить количество времени между обнаружением потенциального инцидента и соответствующей реакции команды по обеспечению безопасности».
Когнитивный центр информационной безопасности IBM
Поскольку команды по вопросам безопасности совершенствуют свои стратегии и тактику борьбы с киберпреступностью, внедрение когнитивных технологий в процессы систем безопасности крайне важно. В недавнем исследовании IBM отмечается, что сегодня только 7% профессионалов в сфере информационной безопасности используют когнитивные инструменты. Однако, согласно ожиданиям экспертов, этот показатель увеличится в три раза через 2-3 года [3].
Платформа IBM Cognitive SOC предоставляет когнитивные технологии аналитикам по вопросам безопасности, позволяя им более эффективно ликвидировать пробелы в области сбора информации и действовать оперативно и точно. В приложении IBM QRadar Advisor with Watson аналитики по вопросам безопасности используют когнитивные возможности для проведения расследований инцидентов и восстановления данных через интеллектуальную платформу по безопасности IBM QRadar. Решение помогает выявить причины потенциальных угроз, используя способности Watson по обработке естественного языка в блогах по безопасности, на сайтах, в научных работах и других источниках. Оно соотносит полученные результаты с данными об угрозах утечки секретной информации и об инцидентах в системе безопасности из QRadar. В итоге количество времени, необходимое на расследование инцидентов в сфере безопасности, уменьшается с нескольких недель и дней до нескольких минут.
«Cognitive SOC поможет заказчикам получить преимущество в борьбе с растущим числом кибермошенников и угрозами нового поколения, – сказал Денис Кэннели, вице-президент по развитию и технологиям IBM Security. – Наши инвестиции в проект Watson for Cyber Security всего за один год дали толчок развитию нескольких инновационных разработок. Сочетание уникальных способностей человека и машинного интеллекта станет важнейшим элементом нового этапа борьбы с самыми современными методами киберпреступлений».
Для расширения возможностей Cognitive SOC на конечных устройствах, IBM Security также анонсировала решение для обнаружения и реагирования (EDR) под названием IBM BigFix Detect. Оно позволяет организациям получить полный обзор постоянно меняющегося статуса угроз для конечных устройств и в то же время преодолеть разрыв между выявлением вредоносного поведения и восстановлением. BigFix Detect открывает доступ к практическому использованию EDR, позволяя аналитикам по вопросам информационной безопасности видеть, понимать и реагировать на угрозы в конечных точках сети с помощью единой платформы. Приложение также обеспечивает адресное восстановление на подвергшихся атаке конечных точках сети предприятия за считанные минуты.
Используя возможности комбинирования и автоматизации платформы IBM Resilient Incident Response Platform (IRP) заказчики могут на основе выводов и ценных сведений от SOC осуществлять функции получения, восстановления и миграции данных. IBM Cognitive SOC также объединяет другие технологии IBM Security, включая i2 для поиска киберугроз и IBM X-Force Exchange.
Когнитивные сервисы и инновации в сфере безопасности
IBM поможет заказчикам разрабатывать, создавать и управлять когнитивными центрами безопасности по всему миру с помощью IBM Managed Security Services. За последние пять лет IBM построила более 300 центров безопасности для заказчиков из различных отраслей, в том числе сфер потребительских товаров, розничной торговли, банковского дела и образования. Клиент может выбрать, будет ли центр защиты создан IBM на территории предприятия или он будет управляться виртуально с помощью IBM Cloud как часть сети IBM X-Force Command Center.
Глобальная сеть центров IBM X-Force Command Centers использует когнитивные возможности IBM. В частности, QRadar Advisor with Watson позволяет ускорить процесс расследования инцидентов безопасности. Другим перспективным кейсом является научно-исследовательский проект с кодовым названием Havyn, который добавляет голосовые возможности к когнитивным центрам безопасности. Цель Havyn заключается в создании голосового помощника по вопросам безопасности, который смог бы взаимодействовать с аналитиками на такие темы, как обновление информации об угрозах в режиме реального времени или данные о средствах обеспечения безопасности организации.
Проект Havyn использует Watson API, BlueMix и IBM Cloud, чтобы обеспечить оперативные ответы на голосовые запросы и команды, основываясь на информации о системе безопасности из открытых источников, в том числе IBM X-Force Exchange, а также данных за прошлые периоды времени и инструменты заказчика. Например, Havyn может предоставить аналитикам в сфере безопасности обновленную информацию о новых угрозах, которые появились за последнее время, и рекомендации по действиям для восстановления. Проект в данный момент тестируют несколько исследователей и аналитиков в рамках IBM Managed Security Services. Watson уже ежедневно взаимодействует с заказчиками в формате чат-бота, который доступен в сети IBM’s X-Force Command Center, обрабатывающей более триллиона инцидентов безопасности в месяц. Таким образом, заказчики могут задать вопросы Watson о статусе системы безопасности или конфигурациях сети. Например, можно спросить у Watson про конкретное устройство или тикет обращения. Инструмент также способен выполнять команды от заказчиков IBM Managed Security Systems, в частности, сделать переадресацию обращения другому владельцу.