IBM表示,新的网络安全平台是一个统一的界面,可以在整个攻击生命周期内简化分析师的反应,并包括人工智能和自动化功能,显示可以将警报分流速度提高55%。
在RSA大会上,IBM推出了以平台为中心的QRadar安全产品的扩展,旨在作为一站式服务,加速响应并为安全运营中心提供一个统一的框架。据该公司称,名为QRadar Suite的云原生服务扩展了威胁检测、调查和响应技术的能力。
该服务有一个集成的仪表板用户体验和人工智能自动化来解析威胁和响应。它旨在解决围绕安全运营中心的持续的坏算盘:一个只会不断扩大的威胁环境;更复杂的攻击者;以及守卫企业周边和杀戮链的人类哨兵的普遍短缺。
IBM表示:"今天的安全运营中心团队正在保护一个快速扩张的数字足迹,该足迹延伸到混合云环境中,这造成了复杂性,使其难以跟上不断加快的攻击速度。"IBM还表示,这些产品专门用于帮助安全运营中心团队应对劳动密集型警报调查和响应过程、人工分析以及工具、数据、接触点、API和其他潜在漏洞的扩散。
XDR、SIEM和SOAR
IBM表示,QRadar套件包括扩展的检测和响应(XDR),以及安全信息和事件管理、安全协调、自动化和响应(SOAR),与RSA 2023的目标之一保持一致。它还包括一个新的云原生日志管理功能--所有这些都是围绕一个通用的用户界面、共享的洞察力和连接的工作流程建立的。
德勤全球网络领导人Emily Mossburg说,SOAR是关于工作流程的自动化,而SIEM是收集安全日志和事件,以及在此基础上定义分析的规则和政策。"我认为SOAR是安全世界流程管理。供应商正在推动它,以帮助简化整个安全操作,并降低与处理事件和研究相关的工作水平,"她说。
她说,这归根结底是为了应对安全分析师的长期短缺。"有一个平衡人才差距的因素,我认为现实是,这有一个成本因素。企业在保护自己方面的花费不能超过他们带来的收入。如果你让人类的眼睛一直盯着玻璃上的所有东西,你就负担不起安全。"
IBM表示,其QRadar SIEM有一个新的统一的分析师界面,提供与更广泛的安全运营工具集共享的见解和工作流程。IBM表示,它计划在2023年第二季度末将QRadar SIEM作为一项服务在亚马逊网络服务上提供。
AI,安全的必要条件?
在RSA期间,许多公司谈到了人工智能在安全领域的优点,特别是随着进入SOC的警报的增加和人类代理的匮乏,特别是在中型企业,可能更容易受到网络钓鱼攻击。
IBM管理安全服务部表示,它正在使用人工智能来自动关闭70%以上的警报,并在实施的第一年内将其警报分流时间平均减少55%,据该公司称。
IBM表示,QRadar使用AI来:
- 分流: 该公司表示,为了优先处理和响应警报,QRadar包括根据先前的分析师响应模式训练的人工智能,以及来自IBM X-Force的外部威胁情报和来自整个检测工具集的更广泛的背景洞察力。
- 调查: 人工智能模型可以识别高优先级的事件,并自动开始调查,根据MITRE ATT&CK框架生成事件的时间线和攻击图,并推荐行动以加快响应。
- 猎杀: QRadar使用开源的威胁猎取语言和联合搜索功能来识别跨环境的攻击和入侵指标,而不需要将数据从其原始来源移走。
该系统的设计元素包括跨产品的用户体验,旨在使分析员更容易提高整个杀戮链的速度和效率以及人工智能能力。它是基于云的,在AWS上交付,包括云原生的日志管理能力。
"IBM安全部总经理Mary O'Brien在一份声明中说:"面对不断增长的攻击面和不断缩小的攻击时限,速度和效率是资源有限的安全团队取得成功的根本。"她补充说:"IBM已经围绕一个单一的、现代化的用户体验设计了新的QRadar套件,嵌入了复杂的人工智能和自动化,以最大限度地提高安全分析师的生产力,并加速他们在攻击链的每一步的反应。
思科公司Talos威胁情报部门的威胁情报和拦截主管Matt Olney说,这确实是一个令人兴奋的人工智能时代,一个支持人类分析师的系统是理想的。但他担心,虽然人工智能会更快,但它可能不会更好,并建议人工智能在服务于安全方面构成一个矛盾的难题。"他说:"我们正在互联网上训练人工智能,所以我们正在创造能够解决所有这些已解决的问题的东西,但如果我们没有费心去解决这些问题,我们将无法使用人工智能来做这些事。
思科展示了其用于安全的AMES人工智能模型的早期概念版本,该模型将向自然语言界面发展。奥尔尼表示担心,安全人工智能系统最终可能会消除较低级别的或一级安全工作,可能会阻碍企业填补较高级别的SOC分析师职位的能力,在这些职位上,问题得到创造性的解决,产生的数据将改善人工智能。"因此,当我们开始训练人工智能时,如果我们最终淘汰了这些人,我们要用什么来训练它,这是新的?"
平台与单一供应商:一个错误的二分法?
莫斯伯格说,平台化趋势是在RSA上充分展示的行业拐点之后出现的。"长期以来,我们一直专注于最好的品种,最好的捕鼠器,它已经变得复杂和难以管理。如果你没有时间去设置,拥有100个最好的捕鼠器有意义吗?我们需要转向某种程度的简单化,以便我们能够真正管理我们拥有的这个东西。在未来的五年里,我们将看到更多这样的情况。我们将看到重大的整合,"她预测说。
奥尔尼说,拥有一个统一的环境是有好处的。"在决定投资什么的时候,有很多事情需要考虑,所以你真的想寻找能给你带来最大可见性的东西,以及能与你的安全人员当前的复杂程度很好地整合的东西。他说:"最终,工具是非常重要、有用和必要的,但最终是人将决定你的安全计划的成功。
他列举了拥有一个统一环境的优势。"你与供应商有更好的关系,在你谈判时有很多摇摆,而且更容易培训人员。此外,你的支持合同通常是统一的,这有助于融资,"奥尔尼说。
缺点是:一家公司有多大可能擅长所有的工具集?奥尔尼说:"如果我向客户提供建议,我会说你必须在寻找安全产品之前,对你的安全需求有一个非常扎实的了解。"他补充说,企业应该找到一个解决方案,让他们在与对手积极接触的时候,有最大的可视性和最安全的控制,以确保他们的网络安全。
