1、以人工智能和威胁情报趋动的IBM QRadar安全智能平台袁笑鹏IBM大中华区信息安全架构师2IBM SecurityIBM Security 全球最大的企业网络安全提供商 17,500多家客户 133个国家/地区 3,500 多项安全领域专利 20次安全领域企业并购(自2002年)6000多名研发与咨询专家 每月监控超过1万亿次事件,每天提供200,000多条威胁情报 3IBM SecurityIBM X-Force威胁情报共享平台 X-Force Exchange是基于云的威胁情报共享平台,使用户能够快速研究最新的安全威胁,汇总切实可行的情报。X-Force威胁情报研究团队是世界上最知名的
2、商业安全研究团队之一,这些安全专业人员监控和分析各种来源的安全问题;提供威胁情报内容,作为IBM Security产品服务组合的基础。https:/4IBM SecurityApp exchange:https:/ Security开放平台通过 IBM Security App Exchange 提供有数百个免费的集成件及内容包了解一切智能自动化具有前瞻性6IBM Security 审查事件数据 回顾外围事件,看看有什么有趣的事情(例如:MD5s,等)在数据上寻找异常值(例如,异常域、IPS、文件访问)。展开搜索以捕获关于该事件的更多数据 搜索这些异常值/指标,使用X-Force Exchan
3、ge+谷歌+Virus Total+你最喜欢的工具 发现新的恶意软件在发挥作用 获取恶意软件的名称 从额外的Web搜索中收集IOC(威胁性指标)在本地调查收集到的IOC 发现其他内部有可能感染相同的恶意软件的IP 根据从威胁研究中获得的洞察力来证明事件 围绕这些IP开始另一项调查耗时的威胁分析必须有一个更简单的方法!运用情报来调查事件收集威胁研究,发展专长获取导致事件的本地上下文安全分析员在调查事件时的认知任务7IBM Security传统安全数据安全知识的海洋对于你来说是漆黑一片的组织只利用了8%的内容人类产生的知识 安全事件与告警 日志与配置数据 用户与网络活动 威胁与漏洞供给典型的包括:
4、研究文件行业出版物调查信息威胁情报评论会议演示分析报告网页页面 WikisBlogs消息来源新闻报道Tweets人类已经创造了极大量的安全知识,但大部分还未被利用的8IBM SecurityWatson解锁了大量的安全知识,以快速启用全面的调查见解 1-3 天1 小时5分钟结构化的安全数据X-Force Exchange 可信合作伙伴数据 开源 付费数据-指标 -漏洞 -恶意软件名,-新的执行者-安全活动-恶意软件爆发-指标,-行动过程 -执行者 -趋势 -指标,非结构化关键安全数据的抓取Web上所有与安全相关的海量数据抓取数据泄露回应 攻击报道评论最佳实践Blogs网站新闻,过滤+机器学习删
5、除不必要的信息机器学习/自然语言处理收集的数据提取和诠释5-10 次更新/每小时!10万次更新/每周!数十亿的数据元素数百万的文档3:1 缩小海量的安全知识图表十亿个节点/边缘9IBM SecurityQRadar Advisor和Watson之间的运转知识图表相关设备设备活动其它设备Stage 1 特征获取事件/异常结果与新特征可疑设备威胁Stage 2 认知调查特征Stage 3 更广泛的特征获取事故诊断 10IBM SecurityWatson使单调乏味的任务自动化,简化了复杂的程序并给出了结论11IBM Security然后展示它是如何做到的!12IBM SecurityWatson的
6、本地搜索能力SHARED UNDER NDA UNTIL MAY 10,201613IBM SecurityWatson的本地搜索能力14IBM SecurityQRadar Advisor with Watson解决智能,速度和准确性方面的重大差距增加10倍可操作的见解(指标)以发现新的威胁不需要额外的硬件,没有深入的分析师专业知识和休假不需要额外的硬件,没有深入的分析师专业知识和休假“QRadar发现一个攻击,有用户试图连接到僵尸网络IP。安全分析师手动发现了5个相关指标,而Watson用50多个有用指标显示了威胁的程度.“由于长期失去注意力,分析师开始犯错误。Watson不会犯这样的错误
7、.”速度比手动威胁调查快60倍加速复杂分析,从传统的1小时到少于1分钟“Watson for Cyber Security能够将分析过程准确地加速50。这使我们的员工能够在更短的时间内分析更多信息,并立即针对最持久的威胁立即做出反应.”“每次Watson分析花费不到1分钟,而人工分析需要15分钟到1小时.”准确性智能只有从Watson提取的1M+安全文档中提取的解决方案才能提供完整的上下文和攻击范围的分析10B+安全相关节点连接安全分析师很容易错过的隐藏威胁点“.L1和L2分析师得出的结论是,这不是一个安全事件。对Watson的调查更有启发性。它在几分钟内完成了分析,并确定我们客户的一个主机受
8、到DDoS攻击的影响”15IBM Security借助 IBM Security 的 SIEM 安全解决方案,中国的一家跨国银行快速实现价值,抵御网络攻击客户案例/IBM 机密信息9/15/2020案例客户情况:我们以 WannaCry 勒索病毒攻击为例。2017 年 5 月,WannaCry 勒索病毒攻击席卷中国以及其他 150 多个国家/地区的多个行业,包括金融行业、能源行业和医疗保健行业,造成的损失超过了 80 亿美元。此类事件让在中国和世界各地运营的金融集团客户的高管头痛不已,因为该银行缺乏统一的网络安全管理解决方案。该漏洞会给该银行的客户信息、业务运营和资本带来巨大风险。因此,该银行
9、需要一款集中式全球安全管理解决方案,让分析师能够利用该解决方案,监控网络和系统,检测新兴威胁,并快速作出响应。IBM 解决方案:IBM QRadar Security Information and Event Management(SIEM)为 SOC 提供支持。前者是一个基础平台,可提供统一的网络安全情境感知视图,且能够实现恶意行为的可视化,从而帮助企业快速解决问题。它的集中式用户界面能够按角色职能提供基于角色的访问权限,同时还可提供全球实时分析、事件管理和报告视图。通过深入分析网络元数据和应用内容,该工具能帮助分析师检测有可能错漏的威胁,比如钓鱼攻击、恶意软件入侵、横向移动和数据外泄。客户收益:交付了全面的网络安全监控改进了网络威胁的调查和补救能够更快地从 SOC 部署中实现价值降低了管理合规性和安全性所需的成本Thank You