IBM QRadar帮助跟踪对公司信息安全的内部威胁

攻击者渗透到公司网络中最常见的方法之一就是获取可以访问目标网络的公司员工数据。该用户的数据通过多种方法提取，包括社会工程，网络钓鱼和恶意软件。而且，由于具有一定程度的容忍度的用户并不怀疑，因此拥有访问数据的攻击者可以在企业网络中长时间不受惩罚地工作。有时，这种访问会持续数周甚至数月。

现在，我们公司开发了一种新的解决方案，可以避免这种威胁。该解决方案称为IBM Security App Exchange。该程序扩展了IBM QRadar平台的功能。。它分析了可访问网络的企业所有用户以及外部用户（合作伙伴，远程员工等）的行为模式。如果用户开始在公司的网络环境中采取异常措施，则IBM Security App Exchange会对事件进行详细分析，或者其整体报告问题。

根据我们的分析师的说法，大约60％的企业网络黑客攻击始于内部数据的接收，即具有一定访问权限的普通员工。 IBM Security副总裁Jason Corbin说：“组织应该有一种可靠的方法来保护自己免受内部威胁的侵害，无论谁构成这样的威胁-受骗的员工或可以访问企业资源的网络犯罪分子。”

今年，IBM和Ponemon Institute 对许多攻击进行了分析。由网络犯罪分子在2015-2016年进行。该研究结果清楚地表明，一家已经成为黑客的受害者并随后发生数据泄漏的公司的损失有所增加。在这种情况下，平均损失约为400万美元。 2013年，该指标下降了29％。黑客攻击变得越来越强大和复杂，它们的攻击频率比以前更高。因此，2015年此类事件的数量增加了64％。



新的应用程序使分析人员可以依靠各种用户的操作日志来接收有关可疑外部活动的早期警告。借助此类警告，信息安全专家可以快速检测并解决问题。

QRadar用户行为分析使用现有QRadar平台日志中的数据。我们的专家认为，与现有解决方案集成可以节省分析师的时间，因为他们不必使用不熟悉的界面来处理第三方程序。新功能已添加到流行的QRadar平台的界面中。

QRadar用户行为分析应用程序向主平台添加了三个新元素：风险分析配置文件，行为分析仪表板和改进的数据安全性。在分析异常用户操作时会创建风险分析配置文件，其中包含许多此类操作。分数越高，合法用户的数据就越有可能被他人使用。

信息面板显示所有收集的数据。为了用户的方便，将它们可视化。此处显示了一些操作，例如试图打开由未知发件人发送的电子邮件中带有“危险”扩展名的应用程序，或例如进入钓鱼网站。系统将文本注释添加到此类操作的日志中，向观察者解释访问企业资源时异常用户操作的可能原因和后果。



不久，IBM Watson的认知系统还将处理信息安全问题。。今年秋天，IBM Watson将同时在八个专门从事信息安全的教育机构中成为学生。沃森将开始与来自加州州立理工大学，波莫纳的学生，麻省理工学院，纽约大学，马里兰大学和其他高等教育机构的学生一起学习。特别是，马里兰大学将与IBM一起创建加速认知网络安全实验室（ACCL）中心，IBM学生，科学家和专家将在该中心处理各种网络安全问题。

完成培训后，IBM Watson将帮助解决该领域中最复杂的问题。在整个培训课程中，该系统每月将收到15,000本书，报告，文章和其他类型的信息，以供审核。IBM Watson甚至能够获得有关该国许多信息安全领域的报告。系统将从X-Force库接收信息。这里的信息仅是主题信息，已经收集了大约20年，包括有关800万垃圾邮件和网络钓鱼攻击的数据，以及10万已记录的漏洞。

在IBM Watson框架内，将重点介绍Watson for Cyber​​ Security云服务，其专业化在于检测新的信息威胁并寻找消除威胁的方法（或消除威胁本身无法消除的后果）。

Source: https://habr.com/ru/post/zh-CN396823/