IBM QRadar помогает отслеживать внутренние угрозы информационной безопасности компании

c0a89ced177047de9c521e77a2ff7e96.png

Один из наиболее распространенных способов проникновения злоумышленников в сеть компании — получение данных сотрудника компании с доступом к целевой сети. Данные этого пользователя добываются самыми разными методами, включая социальный инжиниринг, фишинг и malware. А поскольку пользователь с определенным уровнем допуска не вызывает подозрения, то злоумышленники с его данными доступа могут безнаказанно работать в сети предприятия долгое время. Порой, такой доступ сохраняется в течение недель или даже месяцев.

Сейчас наша компания разработала новое решение, которое позволит избежать подобной угрозы. Решение получило название IBM Security App Exchange. Это программа, расширяющая возможности платформы IBM QRadar. Она анализирует поведенческие шаблоны всех пользователей предприятия, имеющих доступ к сети, а также пользователей со стороны — партнеров, удаленных сотрудников и т.п. Если какой-то из пользователей начинает совершать необычные действия в сетевом окружении компании, IBM Security App Exchange проводит детальный анализ события или их совокупности сообщает о проблеме.
По данным наших аналитиков, около 60% взломов сетей предприятий начинаются с получения данных инсайдеров, то есть обычных сотрудников с определенным уровнем доступа. «У организаций должен быть надежный способ защиты от внутренних угроз, вне зависимости от того, кто создает такую угрозу — обманутые сотрудники или киберпреступники с доступом к ресурсам предприятия», — говорит Джейсон Корбин, вице-президент IBM Security.

В этом году IBM совместно с Институтом Понемона провели анализ ряда атак, осуществленных злоумышленниками в 2015–2016 годах. Результаты исследования однозначно показывают рост убытков для компании, которая стала жертвой хакеров с последующей утечкой данных. Средний размер убытков в этом случае составляет около $4 миллионов. В 2013 году этот показатель был на 29% ниже. Атаки хакеров становятся все более мощными и сложными, производятся они чаще, чем раньше. Так, в 2015 году количество подобных инцидентов выросло на 64%.

Новое приложение позволяет аналитикам, опираясь на логи действий различных пользователей, получать ранние предупреждения о подозрительной посторонней активности. Благодаря таким предупреждениям специалисты по информационной безопасности предприятия могут быстро обнаружить и решить проблему.

QRadar User Behavior Analytics использует данные существующих логов платформы QRadar. Интеграция с уже существующим решением, по мнению наших специалистов, может сэкономить время аналитикам, поскольку им не придется разбираться со сторонними программами с незнакомым интерфейсом. Новые функции добавляются в интерфейс популярной платформы QRadar.

Приложение QRadar User Behavior Analytics добавляет к основной платформе три новых элемента: профили анализа рисков, информационную панель поведенческого анализа и улучшенную безопасность данных. Профили анализа рисков создаются в момент проведения анализа необычных действий пользователей, с балльной оценкой таких действий. Чем выше балл, тем вероятнее, что данные легитимного пользователя использует кто-то еще.

В информационной панели показываются все собранные данные. Для удобства пользователя они визуализируются. Здесь отображены такие действия, как попытка открыть приложение с «опасным» расширением в e-mail, присланное неизвестным отправителем, или, к примеру, заход на фишинговый сайт. К логам таких действий система добавляет текстовое примечание, объясняющую наблюдателю возможные причины и последствия необычных действий пользователя с доступом к ресурсам предприятия.

7cdbf40f260147d593143139fd4da4a2.jpg

Вскоре проблемами информационной безопасности займется и когнитивная система IBM Watson. Этой осенью IBM Watson станет студентом сразу восьми учебных заведений по специальности «информационная безопасность». Watson начнет учиться вместе со студентами Калифорнийского государственного политехнического университета, Помона, студентами MIT, Нью-Йоркского университета, Мэрилендского университета и другими высшими учебными заведениями. В частности, Мэрилендский университет вместе с IBM создаст центр Accelerated Cognitive Cybersecurity Laboratory (ACCL), где студенты, ученые и специалисты IBM будут заниматься различными проблемами кибербезопасности.

IBM Watson после завершения своего обучения поможет решать самые сложные проблемы в этой сфере. В течение всего курса обучения система будет получать для ознакомления 15000 книг, отчетов, статей и других типов информации каждый месяц. IBM Watson сможет получить даже отчеты по ряду направлений информационной безопасности страны. Информацию система будет получать из библиотеки X-Force. Информация здесь только тематическая, ее собирали около 20 лет, включая данные по 8 миллионам спам- и фишинговых атаках, а также 100000 задокументированных уязвимостях.

В рамках IBM Watson будет выделен облачный сервис Watson for Cyber Security, специализация которого — обнаружение новых информационных угроз и поиск способов их ликвидации (или же ликвидации последствий, если саму угрозу нивелировать не удалось).

© Geektimes