View
216
Download
0
Category
Preview:
Citation preview
Análisis cognitivo para una gestión eficaz de incidentes
Eduardo ArguesoDirector de IBM Seguridad para España, Portugal, Grecia e Israel
#IBMSeguridad2017
2 IBM Security
• Datos del incidente
• Observables (ej., dominios, MD5s, etc.)
• Pivotar sobre los observables y buscarelementos extraños (ej. dominiosinusuales, IPs, acceso a ficheros, etc.)
• Extender la búsqueda
• Buscar indicadores utilizando x-Force Exchange + Google + Virus Total, etc.
• Descubrir nuevo malware
• Obtener IOC (indicators of compromise) de nuevas búsquedas web
• Investigar localmente los IOCs
• Buscar otras IPs internas afectadas
• Cualificar el incidente
• Iniciar otra investigación alrededor de cada una de las IPs
Trabajo cotidiano de un analista de seguridad
Tiempo de análisis de amenazas
Aplicar la inteligencia e investigar el incidente
Obtener datos de investigación de amenazas, desarrollar expertise
Obtener un contexto local del incidente
Precisión de cualificación: minimizar losfalsos positivos y negativos
3 IBM Security
Los desafíos actuales de las operaciones de Seguridad tienenimportantes efectos en el negocio
Desafio
Sobrecarga de eventos:• 200K+ eventos / día• 20 - 40 eventos / analista
Sobrecarga de información:• 10x feeds• 100x webs públicas• Actualizacion diaria
Escasez de skills:• 1.8M de vacantes sin
cubrir en 2022
Impacto en el negocio
Interrupción Operacional: falta de servicio, esfuerzos de respuesta y de recuperación, etc.
Coste total del incidente:operacional, comercial, legal, etc.
Pérdida de ingresos:clientes perdidos, etc.
Daño reputacional
Mayor tiempo enidentificarincidentes
Imprecisiónen el Análisis
• Coste medio:• TMI < 100 dias: $2,8M• TMI > 100 días $3,83M
• Tiempo medio de identificación(TMI): 191 días
• Coste medio de una brecha enlos datos: $3.62M
(*) Source: 2017 Ponemon Institute Study on Cost of a data breach, done on 419 companies in 13 countries
4 IBM Security
La información no estructurada puede mejorar significativamente el análisis, ¿y si una máquina pudiera asistir al analista para usar esta información?
Datos de Seguridad habituales
Hay un universo de conocimiento de seguridad oculto a nuestras defensasTípicamente sólo se usa el 8% de este contenido*
Datos no estructurados
• Eventos y alertas de seguridad• Datos de log y configuración
• Actividad de usuario y de red• Feeds de amenazas y vulnerabilidades
Por ejmplo:• Docs de investigación• Publicaciones
• Información forense• Intel. de amenazas
• comentarios• Pres. de Conferencias• Informes de analistas
• Páginas web• Wikis
• Blogs• News feeds• Newsletters
• Tweets
5 IBM Security
1-3 Días1 Hora5 Minutos
Datos Estructuradosde Seguridad
X-Force Exchange Datos de partners de confianza
Open sourceinformación de pago
- Indicadores- Vulnerabilidades
- Malware, …
- Nuevos actores- Campañas- Malware - Indicadores, …
- Procedimientos- Actores
- Tendencias- Indicadores, .
Rastreo de CríticosDatos no Estructurados
Crawl masivo de todos los datosde seguridad en la web
Réplicas de ataquesRevisiones de ataquesMejores prácticas
BlogsSitios WebNoticias…
Filtrado + Aprendizaje de MáquinaElimina información innecesaria
Aprendizaje de Máquina/ Procesando Lenguaje Natural
Extractos y Anotaciones de DatosRecopilados
Billiones deElementos de
DatosMillones de Documentos
3:1 Reducción
Grafo (masivo) de Conocimiento de SeguridadBilliones de Nodos
Watson utiliza un amplio corpus de seguridad que soporta el análisisexhaustivo de incidentes
¡5-10 actualizaciones / hora! !¡100K actualizaciones / semana!
6 IBM Security
Análisis cognitivo para la seguridad con QRadar Advisor with Watson
• Gestionar alertas• Investigar eventos de seguridad y
anomalías de seguridad
• Correlación de datos• Identificación de patrones• Detección de anomalías• priorizar
Análisis de Seguridad
Analistas de Seguridad Watson for Cyber Security
• Conocimiento de seguridad• Identificación de amenazas• Descubrir indicadores adicionales• Deducir relaciones• Evidencias
• Minería de datos local• Realizar investigación de seguridad• Mostrar conclusiones
QRadar Advisor
ANALISTA DE
SEGURIDAD
ANÁLISIS DE
SEGURIDAD
QRadarAdvisor
Watsonfor Cyber Security
8 IBM Security
QRadar Advisor with WatsonCompensando las carencias en Conocimiento, Velocidad y Precisión
Añade 10x más indicadoresaccionables para descubrir nuevasamenazas
“QRadar fired an offense on a user trying to connect to a botnet IP. The security analyst found 5 correlated indictors manually while Watson showed the extent of the threat with 50+ useful indicators. “
“An analyst started to make mistakes due to loss of concentration over time. Watson never did.”
VelocidadHasta 60x más rápido que unainvestigación manual de amenazas
Acelera los análisis complejos de 1 hora a menos de 1 minuto
“Watson for Cyber Security was able to accurately accelerate the analysis process by 50 percent. This allowed our staff to analyze significantly more information in a shorter amount of time, and to target and react to the most persistent threats immediately.”“Every Watson analysis took less than 1 minute whereas the human analysis took 15 minute to 1 hour.”
EficaciaConocimiento1M+ documentos de seguridadingeridos por Watson para proporcionar el contexto y alcancecompletos de un ataque
10B+ nodos de seguridad para conectar los puntos ocultos enamenazas que son habitualmenteignorados por los analistas de seguridad.
"....L1 and L2 analysts arrive at conclusion that it's not a security incident. The investigation with Watson was more instructive. It did the qualifying in minutes and determined that one of our client's hosts was compromised by a DDoS attack”
9 IBM Security
Podemos reducir significativamente el tiempo de identificación de los incidentes con QRadar Advisor with Watson…
RespuestaAnálisis y evaluación de ImpactoSelección Priorización
Días a Semanas
Análisis no asistido
RespuestaAnálisis y eval. de Impacto
Sel. Prioriz.
Minutosa Horas
Análisis asistido por QRadar Advisor with WatsonAnálisis rápido y preciso de los incidentes de seguridad, ahorrando tiempo y recursos preciosos
… y así facilitar una respuesta ágil y orquestada
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
FOLLOW US ON:
THANK YOUGRACIAS
Recommended