IBM QRadar помогает отслеживать внутренние угрозы информационной безопасности компании

Один из наиболее распространенных способов проникновения злоумышленников в сеть компании — получение данных сотрудника компании с доступом к целевой сети. Данные этого пользователя добываются самыми разными методами, включая социальный инжиниринг, фишинг и malware. А поскольку пользователь с определенным уровнем допуска не вызывает подозрения, то злоумышленники с его данными доступа могут безнаказанно работать в сети предприятия долгое время. Порой, такой доступ сохраняется в течение недель или даже месяцев.

Сейчас наша компания разработала новое решение, которое позволит избежать подобной угрозы. Решение получило название IBM Security App Exchange. Это программа, расширяющая возможности платформы IBM QRadar ^[1]. Она анализирует поведенческие шаблоны всех пользователей предприятия, имеющих доступ к сети, а также пользователей со стороны — партнеров, удаленных сотрудников и т.п. Если какой-то из пользователей начинает совершать необычные действия в сетевом окружении компании, IBM Security App Exchange ^[2] проводит детальный анализ события или их совокупности сообщает о проблеме.

По данным наших аналитиков, около 60% взломов сетей предприятий начинаются с получения данных инсайдеров, то есть обычных сотрудников с определенным уровнем доступа. «У организаций должен быть надежный способ защиты от внутренних угроз, вне зависимости от того, кто создает такую угрозу — обманутые сотрудники или киберпреступники с доступом к ресурсам предприятия», — говорит Джейсон Корбин, вице-президент IBM Security.

В этом году IBM совместно с Институтом Понемона провели анализ ряда атак ^[3], осуществленных злоумышленниками в 2015-2016 годах. Результаты исследования однозначно показывают рост убытков для компании, которая стала жертвой хакеров с последующей утечкой данных. Средний размер убытков в этом случае составляет около $4 миллионов. В 2013 году этот показатель был на 29% ниже. Атаки хакеров становятся все более мощными и сложными, производятся они чаще, чем раньше. Так, в 2015 году количество подобных инцидентов выросло на 64%.

Новое приложение позволяет аналитикам, опираясь на логи действий различных пользователей, получать ранние предупреждения о подозрительной посторонней активности. Благодаря таким предупреждениям специалисты по информационной безопасности предприятия могут быстро обнаружить и решить проблему.

QRadar User Behavior Analytics использует данные существующих логов платформы QRadar. Интеграция с уже существующим решением, по мнению наших специалистов, может сэкономить время аналитикам, поскольку им не придется разбираться со сторонними программами с незнакомым интерфейсом. Новые функции добавляются в интерфейс популярной платформы QRadar.

Приложение QRadar User Behavior Analytics добавляет к основной платформе три новых элемента: профили анализа рисков, информационную панель поведенческого анализа и улучшенную безопасность данных. Профили анализа рисков создаются в момент проведения анализа необычных действий пользователей, с балльной оценкой таких действий. Чем выше балл, тем вероятнее, что данные легитимного пользователя использует кто-то еще.

В информационной панели показываются все собранные данные. Для удобства пользователя они визуализируются. Здесь отображены такие действия, как попытка открыть приложение с «опасным» расширением в e-mail, присланное неизвестным отправителем, или, к примеру, заход на фишинговый сайт. К логам таких действий система добавляет текстовое примечание, объясняющую наблюдателю возможные причины и последствия необычных действий пользователя с доступом к ресурсам предприятия.

Вскоре проблемами информационной безопасности займется и когнитивная система IBM Watson ^[4]. Этой осенью IBM Watson станет студентом сразу восьми учебных заведений по специальности «информационная безопасность». Watson начнет учиться вместе со студентами Калифорнийского государственного политехнического университета, Помона, студентами MIT, Нью-Йоркского университета, Мэрилендского университета и другими высшими учебными заведениями. В частности, Мэрилендский университет вместе с IBM создаст центр Accelerated Cognitive Cybersecurity Laboratory (ACCL), где студенты, ученые и специалисты IBM будут заниматься различными проблемами кибербезопасности.

IBM Watson после завершения своего обучения поможет решать самые сложные проблемы в этой сфере. В течение всего курса обучения система будет получать для ознакомления 15000 книг, отчетов, статей и других типов информации каждый месяц. IBM Watson сможет получить даже отчеты по ряду направлений информационной безопасности страны. Информацию система будет получать из библиотеки X-Force. Информация здесь только тематическая, ее собирали около 20 лет, включая данные по 8 миллионам спам- и фишинговых атаках, а также 100000 задокументированных уязвимостях.

В рамках IBM Watson будет выделен облачный сервис Watson for Cyber Security, специализация которого — обнаружение новых информационных угроз и поиск способов их ликвидации (или же ликвидации последствий, если саму угрозу нивелировать не удалось).

Автор: IBM

Источник ^[5]