MSSP如何扩大其安全分析师的容量
安全分析师通常会增加压力,以分析和响应警报,组织面临着在网络攻击期间缩放分析师能力的挑战。
SmartTech是世界各地的40家公司之一,参加了一个网络安全测试项目,自从客户签名以来。
被描述为第一个认知安全技术,Watson已经接受过网络安全语言的培训,以了解网络安全背景下的“后门”等术语。
迄今为止,它已有“摄取”超过一百万颗精心挑选的安全研究报告,威胁情报报告,政府咨询,博客和新闻文章从未能够访问过安全工具。
IBM Watson for Cyber Security在IBM的Qradar安全智能平台上使用顾问应用程序打包给威胁演员数据并将其发送到IBM的基于云的Watson认知计算能力,可以存储数百万页的结构化和非结构化数据。它也可以通过信息,通过应用深层认知分析,学习答题以自然语言构成的问题。
例如,具有一些分析功能的Qradar顾问应用程序将为Watson提供文件哈希,然后Watson将使用所有文档来将该散列链接到已知的可执行文件,文件名,Web地址,恶意软件竞选和威胁演员。
“分析师通常在凶猛的压力下纠正,因为如果他们不是它不太困难,所以他们发现IBM Watson非常宝贵,”智能技术首席执行官罗南墨菲说。
“起初他们感到威胁,担心它会取代它们,但现在他们喜欢它,因为它增加了他们可以显着处理的事件的数量,”他说。
IBM Watson并非旨在替代分析师,但旨在通过提供快速反馈来减少它们所需的压力并增强他们可以做的事情,以使他们能够更快,更准确的决策。减压也意味着更多的研究时间并保持最新威胁的最新时间。
在几分钟内,Watson产生假设和严重程度,相关性和信誉评级以及所使用的证据,因此分析师可以看到Watson已达到特定结论的方式。
“这在数据分析方面提供了安全分析师,以帮助实现至关重要的决策,并充当发声板,是我到目前为止来到市场的最有价值的事情,并且在赋予智能技术的分析师和维护方面是有价值的他们的声誉,“墨菲说。
他说,速度非常重要,因为响应更快,可以防止网络入侵成为一个重要的数据泄露。
墨菲说,这鉴于拥有最佳安全系统的公司可以购买的公司可以承认,超过40%的恶意软件攻击仍然达到网络。
通过减少分析师的压力并获取一些相关搜索等重复任务,IBM认为技术可以帮助组织面对经验丰富的分析师短缺的现有分析师的能力,也有助于吸引和保留新的天赋。
墨菲表示,智能技术的直接商业福利是,它有助于确保通过承担更多的客户和平衡,以促进智能技术的分析师团队的努力,使素质从未受到影响。
据墨菲介绍,该技术使SmartTech的分析师能够回应三倍的安全事件,并且还提高了分析师报告的质量。它还提供额外的角度,突出了分析师错过了大约20%的事件。
“当我们能够演示沃特森在五分钟内分析了两分钟超过两个小时的情况下,我们的眼睛亮起了,”顾客的眼睛亮起。“
这意味着在业务连续性受到攻击威胁的情况下,Watson的快速分析可以使事件响应团队能够采取更多立即采取行动。
Watson通常分析攻击的关键属性,除了确认分析师的结论外,可以提供额外的背景和其他指标来寻找。
Watson对于网络安全使用机器学习和自然语言处理等技术来构建一个不断增加的文档数据库以加速和改进分析过程。
墨菲表示,重要的是要理解,Watson的认知安全能力仅适用于数据,而不是其他任何东西。
“它只是消耗数据,并使用经过验证的自然语言处理技术,提供赋予分析师做出决定的信息。”
墨菲说,由于医疗保健领域,特别是肿瘤学领域的数据分析的认知计算,他被IBM Watson吸引了他被吸引到IBM Watson。
“在医疗保健中做出决定所需的数据量大于安全要求,”他说。
作为MSSP,SmartTech正在使用IBM技术的支持作为其客户的销售点,又称又称竞争优势,能够更快地分析攻击。
墨菲说,一个智能技术在传统安全系统中投资大约100万欧元的投资超过1欧元的客户,这是一周遭到纠纷七次。
“这些都是可能停止业务的威胁,但由于IBM的QRadar安全情报与沃森相结合,这些威胁正在遭受任何伤害之前被抓住,”他说。
然而,墨菲指出,IBM Watson不是任何公司都可以使用和部署的东西。它旨在拥有相当高的安全性的组织。
IBM安全欧洲首席技术官Martin Borrett确认目标市场包括拥有自己的安全运营中心(SOC)或安全分析师等组织,如MSSP和银行。
作为IBM Watson可以做的一例,Murphy引用了Smarrtech能够提醒公用事业公司所在攻击的事件。
智能技术涉及,因为它的客户是一个商业流程外包(BPO)公司,被追溯到公用事业公司的先进恶意软件,是BPO的客户之一。
“我们分析了恶意软件并获得了Watson的反馈,这在这种情况下真的很有帮助,因为我们以前从未见过这种恶意软件,否则会让我们一天让我们的脑袋围绕发生的事情。
“沃森以大量的信息回来,我们通过公用事业公司直接发送,告诉他们恶意软件正在攻击我们的客户网络,并且他们处于严重的麻烦。他们被吹走了,“墨菲说。
在接下来的两天,SmartTech对所涉及的恶意软件进行了全面分析,包括逆向工程,但发现Watson的反馈是100%的准确。
来自Watson的快速反应也对SmartTech的业务产生了积极影响,因为它导致公用事业公司成为客户。
由于沃森从历史信息中获得了洞察力,因此无法识别真正的零日攻击,以定义从未见过以前从未见过。
然而,Borrett指出,Watson在近实时更新,来自IBM的X-Force Exchange威胁情报服务的数据。它还可以提供对零天的洞察,因为攻击者倾向于重新使用代码。“攻击者倾向于重用代码或使用它们之前使用的东西的变体,因此恶意软件很少100%新代码,这意味着Watson可能是如果过去有任何痕迹,能够发现它。“
在真正的零日恶意软件的情况下,Borrett说,理想情况下,组织应该使用专门设计的其他技术,专门用于点点和零天。
墨菲报告称,随着知识文件的数据库开始建立的数据库,IBM Watson提供了有意义和有用的支持的能力。
Beta测试阶段的完成意味着为网络安全的IBM Watson收集了足够的数据,以合理的速度和普通释放的有效程度完全正常。
因此,IBM于2017年3月24日宣布六项六项,该伙伴关系为瑞士金融部门的基础设施运营商。
他们计划在一个新的认知SoC中使用IBM Watson进行网络安全,以加强六个网络防御,并使六和IBM能够提供安全监测和先进的服务和技术,以遵守瑞士隐私法规。
该项目将为传统的SoC基础设施添加新功能,以及为多租户,下一代SoC开发一个新的高度合作的IBM - 六个框架。
新的认知SOC服务将扩展到两家公司的客户,他们正在寻找瑞士的安全合作伙伴,最初侧重于银行业客户。根据公司,他们将共同定义新一代SoC的演变。
展望未来,IBM安全计划将在其投资组合中的其他产品围绕其投资于终端保护等其他产品开发了更多的认知能力。这包括智能手机等移动设备,但也可能是构成内容互联网的设备( IOT)。
这些设备通常缺乏安全保护,并且代表各种潜在的安全风险,特别是因为它们可以被劫持,以成为IOT僵尸网络的一部分,并且用于执行毁灭性的分布式拒绝服务(DDOS)攻击。
Mirai IoT Botnet迄今为止负责最强大的DDOS攻击,但安全研究人员甚至可以在途中发出更大的DDOS。攻击者可以使用的设备,“墨菲说。
下一步
阅读关于提供管理检测和响应服务的公司