SIEM QRadar

  • 無文件攻擊的興起與應對之道

    無文件攻擊的興起與應對之道

    無文件攻擊比基於惡意軟體的傳統威脅更容易實施也更有效,因而給公司企業的安全防護帶來了更大的挑戰。

    網路罪犯自然會尋找阻力最小的途徑實施攻擊,這也正是越來越多的網路罪犯採用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應用越來越得心應手,企業雇員越來越依賴移動設備和雲來開展工作,無文件攻擊的威脅也越來越大了。

    無文件攻擊也就是非惡意軟體攻擊,是一種可以讓攻擊者省去傳統惡意軟體攻擊所需步驟的攻擊手法。他們不用建立攻擊載荷,只需簡單地利用可信程式獲取記憶體存取即可。2017年,利用PowerShell或WMI的無文件攻擊占了全年攻擊總數的52%

    儘管如此,企業依然沒有對無文件攻擊投以足夠的關注。大多數人對網路安全行業的認知依然停留在打了多年交道的傳統攻擊方法上。

    企業是時候進一步瞭解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊,為什麼無文件攻擊會呈增多趨勢,以及可以採取哪些步驟做好防護。

    現代無文件攻擊的進化史

     無文件攻擊並不是新鮮事物,但它們隨著時間流逝而發展變化。

     今天的無文件攻擊遠不止“無文件”這麼簡單,要說無文件的話,十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應用了無文件的概念,藏身於記憶體之中;但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷,這些載荷也往往貌似合法,因而非常難以檢測。

     無文件惡意軟體攻擊的增長,源于其易用性和終端檢測及回應(EDR)工具的改進。

    網路中真正令企業傷筋動骨的,是用戶名和密碼被盜,而不是擺了他們一道的惡意軟體本身。

     攻擊者使用域帳戶和IP管理員密碼在目標網路內橫向移動並盜取資訊。他們的活動形式多樣,大多數情況下獲取某使用者的 Office 365 或AWS登入帳戶更有價值。

     某種程度上,所有攻擊者都必須先進入網路或系統,也就是說,憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選,因為沒人對它們多加關注,它們也沒被指派給具體個人。這基本上是種常態,畢竟這麼做可以讓管理工作更簡單些。服務帳戶憑證同樣脆弱。攻擊者一旦接入系統,就會用提權技術提升此類帳戶的許可權。

    為什麼會暴露在風險之中

    公司企業沒掌握自身IT系統複雜性,未能完全監視自家整個生態系統,是令自身暴露在風險之中的一大原因。

     很多企業都被大量資料淹沒,且無法將帳戶和用戶行為整合到一起以供分析。而只要無法跟蹤,也就無法知道哪個帳戶存取了哪些資源。

     如果企業員工還沒採用基本安全操作,那麼所面臨的威脅還會更大。網路釣魚攻擊就是用於獲取憑證的一大流行方式。

     駭客會對員工發起針對性攻擊,尋求其亞馬遜、Gmail、PayPal和其他常見服務的登入憑證。他們知道人們常會使用同一對用戶名和密碼登入不同的服務。

     一旦駭客入手了員工的個人帳戶,就可以利用該帳戶嘗試進入其企業網路。很多攻擊者都會對低級別員工下手,以期通過監視其郵件活動來分析出高級別員工的帳戶資訊。

    威脅蓄勢待發

     隨著員工越來越移動化和雲端化,無文件攻擊也會見長。遠端辦公極大地增加了對基礎設施的風險。從外面帶進來的設備都應該在登入本地網路之前再進行一次鏡像和掃描。

     移動設備在醫療保健行業所占比重越來越大,各行各業也都在朝著雲端邁進。但像雲這樣的環境,CISO對誰從哪兒登入的系統到底瞭解多少呢?大部分人都假定雲是安全的,但雲上包含有大量早已棄用理應註銷的憑證,這些憑證可都是攻擊者觸手可得的合法憑證。

     鑒於受經濟利益驅動的攻擊者將一直存在,未來將有更多威脅對企業造成損害幾乎是肯定的。殘酷的現實是,我們將見證破壞性攻擊的增長。

    我們能做些什麼?

     防止網路釣魚應從員工培訓做起。滲透測試是個不錯的培訓辦法,可以增強員工對網路釣魚的免疫力,不至於一被釣魚就上鉤。還應設立暢通的員工報告管道,讓員工只要發現可疑跡象就能快速上報。

     除此之外,公司企業還應緊密關注其生態系統中的各種活動。

     可以引入工具集,找出公司整個基礎設施上的所有憑證。結果可能會令人大吃一驚,基礎設施上流轉的憑證數量往往比員工總數多得多。

     評估了憑證數量之後,公司安全團隊還應深挖這些憑證的使用情況。比如都是誰在哪裡使用了這些憑證,是怎麼使用的。正常登入地點之外的憑證使用都應觸發警報。大型企業或跨國企業這種基礎設施規模龐大的機構組織,有必要引入自動化技術進行憑證安全管理工作。

     傳統身份與存取管理方法也可以借鑒一二,而如果企業夠成熟,可以考慮採納能自動化存取管理的工具集。這些工具在幫助企業掌握網路登入者的身份、位置、登入方法和所做動作上應該會很有幫助。

     

    凱信資訊提供企業帳號身份管理(Identity Managment),能快速盤點企業相關帳號及權限,以及特權帳號密碼管理(Privileged Access Management)能針對特權用戶的帳號密碼進行控管,並追查相關帳戶的使用活動(SIEM / UBA - User Behavior Analytics),進而分析帳號是否被盗用。

  • IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    2017-12-14 22:26經濟日報 蔡尚勳

    在全球著名研究機構Gartner 近日最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中,IBM 再度名列「領導者(Leader)」,這已是IBM QRadar 連續第九年在Gartner 的SIEM 魔力象限獲選為領導者。

    Gartner 定義SIEM 市場需求為:即時分析事件資料,以便早期偵測蓄意攻擊與資料洩露,並且收集、儲存、分析、調查、回報事件資料,提供事件回應、鑑識、合規所用。

    IBM QRadar 提供多項進階功能,包括使用者行為分析(User Behavior Analytics, UBA) 、網路活動與異常檢測分析(Network Insights)、機器學習(Machine Learning)分析應用、認知安全(Watson CyberSecurity)應用等。並且透過QRadar App Exchange,大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合IBM X-Force 威脅情資,並納入IBM Resilient 安全事件回應平台,將偵測與事後回應工作密切結合,提供完整的處理機制。

    Gartner 評鑑IBM 的SIEM 旗艦產品QRadar 的優勢在於:

    1.支援中大型企業所需的SIEM核心能力,並提供一套能涵蓋多種安全監控與維運技術的整合平台。

    2.提供能支援多重環境(on-premises與IaaS雲端) 監控的靈活架構。

    3.QRadar App Exchange 可將多方內容與資源整合進入QRadar Console 中控台,提升使用體驗。

    4.免費的使用者行為分析(UBA)與機器學習(Machine Learning) 應用,有助於企業進行進階的分析與針對使用者行為的監控。

    5.整合並關聯多重的網路事件來源,提供單一視圖。

    Gartner2017

    Gartner 的各項Use Case 評比當中,QRadar 在二項指標當中都是第一名:

    1. Advanced Threat Detection Use Case   (進階威脅偵測)

    2. Forensics and Incident Response Use Case  (鑑識與事件回應)

    IBM QRadar為「安全免疫系統」的指揮中樞

    辨識威脅行為當下提出告警,已是SIEM基本功能。目前企業更關注於聯合防禦機制,也就是在判斷威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。

    IBM資訊安全事業部協理金天威表示,為了協助企業建立資安關鍵的預防、偵測、回應能力,IBM提出「安全免疫系統」架構,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,以IBM QRadar作為核心中樞,建置資安智慧平台執行大數據分析,提供網路、使用者、資料(庫)及應用程式等活動的深度可視性,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,協助關鍵問題答案、更有效管理資安威脅。

    SIEM未來發展在3C

    全球資安攻擊事件層出不窮,新型態的網路攻擊日新月異,加上全球資安人才短缺日益嚴重,對企業資安整體策略帶來重大挑戰。從SIEM 解決方案持續演進的趨勢來看,以下三點是關鍵方向,亦為IBM整體安全架構及IBM QRadar 發展的重點:

    1.Cloud 雲端安全— 利用雲端資源提供簡單、隨時可得的安全防護。

    2.Collaboration協同合作— 分享與善用威脅情資、分析與最佳實踐,減輕人才缺乏的壓力。

    3.Cognitive認知運算/人工智慧— 面對資安資料爆炸性成長與資安知識落差,運用智慧達成自動化,做出更好、更快的決策。

  • WannaCry勒索病毒不相信眼淚,破局有四招!

    這是一次破壞性極強的黑客襲擊事件,病毒頃刻之間蔓延全球,爆發不到48小時,100多個國家和地區的企業紛紛中招,目前所知的波及國家數量已超150個,中招設備數量超過30萬台,沒錯,它就是讓人頭疼到想哭的WannaCry勒索病毒。

    WannaCry勒索病毒,有人歡喜有人愁

    WannaCry把中招的人搞得真心想哭。試想,打開電腦,你就有可能面臨著一筆300美元的比特幣「贖金」。雖然安全專家極力強調,不要繳納贖金以免助紂為虐,可不交的話,電腦中所有的重要資料便會丟失,為此讓人虐心。據統計,在事件爆發的第二天晚間,全球已有90人交付贖金,其後繳納贖金的人數上升至116人,而這一數字還在不斷上漲。

    大多數IT安全人員因為這次席捲全球的勒索攻擊事件而在周末忙得不可開交,有的忙著更新補丁,有的猶豫交贖金。而IBM內部尚未接到受感染的案例報告,因為IBM在4月份已通過BigFix向所管理的終端自動推送了此補丁。

    但千萬不要誤以為WannaCry攻擊風波已經平息,未來將還會有更多更新的勒索病毒軟體會利用類似漏洞開展新一波攻擊。作為近來最流行的在線威脅,勒索病毒軟體有時每天發生超過40,000次攻擊,並占攜帶惡意代碼的所有垃圾郵件的65%以上。

    據跟蹤垃圾郵件趨勢的IBM X-Force研究人員指出,2016年,勒索軟體垃圾郵件的增長速度達到了驚人的6000%,從2015年占垃圾郵件的0.6%已上升至2016年占垃圾郵件的平均40%,而2017年情況顯然只會更糟。面對如此嚴峻的安全形勢,唯有依託IBM安全免疫系統,未雨綢繆,方能無懼無憂。

    防範WannaCry勒索病毒攻擊的正確招式

    勒索病毒看似破壞力驚人,其實破解只需四大招!

    1. 補丁更新:公司需要確認是否及時安裝了最新補丁,在勒索病毒變種前對其加以遏制。
    2. 網路阻斷:對於為安裝補丁的系統來說,攔截機制是第二道防線。因此,公司必須確保安全軟體及網路攔擊技術已更新至最新版本。
    3. 即時監控:增設監控,通過數據反饋安全進展。
    4. 積極應對:公司應與IT安全團隊緊密協作,並制定受到感染後的應對策略。

    IBM WannaCry

    看了上面的防範四大招,我們來復原一下IBM安全解決方案為客戶保駕護航的全過程。其實,早在今年3月檢測出 Windows漏洞時,IBM X-Force 的安全研究人員就已做出應對,提醒用戶升級相關補丁;藉助 IBM 的 BigFix 安全補丁和 QRadar 網路保護技術,客戶可以對其數據進行妥善保護。此外,Watson for Cyber Security 能夠分析攻擊警告,並向客戶及託管安全運營中心反饋相關數據。

    其中IBM的終端管理產品在微軟補丁發布當天,即3月14日便發布了更新,IBM入侵防禦系統在4月20日發布更新特徵庫,更新後的產品具有對該漏洞的全面防禦能力。同時,對於其它非IBM用戶防護此病毒除了儘快更新Windows系統相關補丁外,也可利用IBM X-Force Exchange安全情報平台獲得最新的安全信息。X-Force Exchange安全情報平台在漏洞披露當天即發布了漏洞警告,提醒用戶升級相關補丁;除了公布漏洞和攻擊消息,X-Force Exchange安全情報平台還提供了用於防禦的Snort規則、此波攻擊主要IP、已發現惡意軟體哈希值等多項重要信息,便於用戶進行自查和防禦。

    基於四大招,IBM安全解決方案在此次網路安全攻擊中的應對策略如下:

    01補丁支持

    藉助BigFix Patch管理,確保能夠發現並報告所有終端設備的安全情況,儘可能讓受到感染的終端設備自動安裝補丁。並利用閉環驗證,確保補丁安裝成功。同時啟用所有終端設備的持續策略執行狀態,縮小受攻擊面。

    02網路阻斷

    藉助QRadar Network Security,在內部部署網路保護設備。確保進行IP信譽度評分及 URL 過濾,以自動攔截惡意站點存取。並確保網路保護的簽名及Firmware保持在最新版本。

    03即時監控

    通過QRadar Watson、X-Force Exchange與X-Force Malware Analysis的即時聯動,藉助X-Force獲得通用的關聯視圖,對安全分析相關日誌、網路流量及用戶行為進行優先排序,進一步部署網路安全設備,即時檢測惡意軟體及攻擊活動。同時,對使用基於雲的惡意軟體分析服務及自動發送/接收功能,以便快速識別威脅。並利用Watson認知功能打破結構化數據的局限,並將全球最新的研究洞察力運用到活躍威脅防禦之中。

    04積極應對

    實現ResilientBigFix與X-Force IRIS的多方聯動下的未雨綢繆,制定並測試意外事件響應計劃,確保人員、流程與技術的統一。同時確保 IR 流程的統一性、可靠性及合規性,而且可輕鬆予以改進。並在威脅傳播並造成更大危害之前識別、檢測、遏制並修復威脅。此外,通過諮詢具有豐富意外事件管理與安全智能經驗的專家,協助客戶渡過危機,並通過完整的 IR 統籌安排與自動化啟動決定性行動。

    可以看見,IBM的QRadar、X-Force與BigFix等安全產品在此次對於勒索病毒的防禦中各司其職又相互聯動,對安全隱患實施監測並予以阻斷,有效防止用戶遭受侵害。

    從WannaCry到Adylkuzz等層出不窮的勒索軟體,勒索病毒的進攻方式愈加隱蔽,危害更為嚴重,是時候給你的企業建立真正的安全免疫系統了。快快深入了解IBM安全解決方案,不等勒索找上門。



  • 資安探查導入認知運算 IBM Watson化身專家助手

    資安探查導入認知運算 IBM Watson化身專家助手

    機器學習建立知識庫 精準快速判別攻擊威脅

    來源:網管人 2017/4/17洪羿漣
    隨著資訊科技持續發展前進,今日企業已可運用認知運算(Cognitive Computing)的自主學習能力,創造具備理解、推論、解答的人工智慧新應用。IBM Watson正在全球各種不同領域中開始落實,例如醫療、氣象、銀行、實體與虛擬機器人等應用,透過機器學習、自然語言處理、語意分析等相關技術,讓機器得以理解巨量資料內容,經學習轉化為知識後變身成助手。
    在相當仰仗專業人力的資安領域,人工智慧與機器學習也已成為廠商競相用於輔助判別異常事件的關鍵技術。台灣IBM資訊安全事業部協理金天威指出,IBM Watson主要是從2016年開始學習資安領域相關知識,經過一年的訓練與測試,目前全球已有超過50家IBM QRadar SIEM客戶開始使用最新推出的QRadar Advisor with Watson,協助提升資安事件判定的準確率與洞察力。

    此外,認知技術還進一步擴展到IBM近期推出的端點管理方案BigFix,除了基於X-Force威脅情報平台來執行惡意軟體偵測,BigFix模組也內建了先前併購取得的Trusteer技術,專門提供惡意軟體、釣魚網站等偵查,執行即時偵測、回報資訊;同時搭配IBM去年從Resilient Systems併購而來的資安事件回應技術,協助企業建立完整的事件回應處理程序。

    擴增蒐集資料範疇 豐富學習轉換為智慧

    金天威引述IBM內部研究調查報告指出,現階段的企業資安環境,威脅手法變換速度相當快,壓低了告警的精準度;同時由於欠缺資安人力,須面對的資安相關知識卻持續增加,造成資安人才的需求與實際供給現況有相當大的落差,對此,IBM運用Watson學習能力建立人工智慧系統,得以對日常資安防禦工作提供智慧化的協助。

    他進一步指出,全球資安現況亟待解決的問題,首先是情報不夠豐富,畢竟資安攻擊已無國界之分,需要有能力蒐集來自全球所產生的情報,輔助分析與預測異常行為,但市場上解決方案大多無法全面蒐集所有範疇的資訊;其次是發生資安攻擊事件時,往往難以快速地進行事件分析與回應。

    ▲ IBM Watson應用於資安領域,擴展資料蒐集範疇,運用機器學習演算法與自然語言處理,持續不斷建立知識庫。


    目前資安防禦體系大多會蒐集Log執行事件分析,搭配網路封包解析,來掌握用戶行為、設備配置狀態、系統登入與登出等狀況。實際上,僅蒐集Log資訊與解析流量仍舊不夠,金天威認為,資安領域的巨量情資範疇,應該包含政府部門、研究機關等單位所發布的安全研究報告,或是透過部落格發表的安全事件通報,甚至是透過新聞揭露的消息,諸如此類來自公開網路環境即可取得的資料,其實都是經驗累積,通常未被納入蒐集。其中一項因素,即在於彙集的資料量若過於龐大,恐難以存放、管理,如今即可借助Bluemix雲端平台提供的Watson認知運算,從全球蒐集取得的結構與非結構化龐大資料量中學習轉化為智慧,協助資安人員有效率地處理資安問題。

    機器學習持續自動化調整運算模型準確度

    針對網路資安威脅,Watson已建立一套持續學習與自動化運行的程序,從IBM X-Force既有的龐大資料庫,以及網路上取得的非結構化資料,包含全球發生的攻擊行為、事後處理方式等公開訊息,再經由過濾機制與機器學習技術把非必要的資料篩除,之後基於統計資訊與關聯萃取(SIRE)安全模型,以自然語言處理(NLP)方式學習各種安全內容,持續不斷地訓練並擴大知識庫。 其實IBM在人工智慧與機器學習領域發展已有相當長的時間,最知名的莫過於1997年打敗棋王的深藍(Deep Blue)超級電腦,以及2011年參加美國益智搶答電視節目,在第三輪賽事中打敗兩位冠軍的Watson超級電腦,實際展現人工智慧系統的潛力。

    但機器學習技術究竟如何實作?IBM軟體事業處資深資訊工程師張寅建說明,過去學習、分析、預測的方式,主要是以事前定義特徵值為基礎,運用決策樹模型演算執行判斷;如今則是由機器從龐大資料中自行辨識,經過領域專家訓練演算模型後,再匯入新資料時,即可主動學習累積知識。

    整個過程其實複雜度相當高,需要具備充足的資料量,選用演算法或訓練模型,之後經過測試確認後,部署到應用程式進行評分,再持續改善。且必須由資料庫管理者或開發者、資料科學家、實際業務部門,在不同階段中各司其職。通常最欠缺的是資料科學家,須具備統計、數學、領域知識,目前人才相當少,卻是訓練正確性模型不可或缺的關鍵。

    經過訓練調校過後的模型,必須由開發者先行了解資料科學家的邏輯,並撰寫程式部署到應用程式運行。萬一資料科學家察覺失真而進行調整,開發者還要再依據調整後的邏輯部署到應用系統,如此運行一段期間後才得以精準的執行預測分析。 張寅建進一步說明,因此IBM Watson把機器學習轉化成為持續性回饋的系統,運用CADS(Cognitive Assistant for Data Science)輔助自動化執行訓練與調整模型,主要是依據資料內容為模型評分,提供資料科學家選擇採用的參考依據。

    Watson輔助威脅分析 縮短事件回應時間

    Watson應用於資安領域就如同培養一名專家,從不同管道取得的資料,經過理解、分析、學習的過程,不斷地訓練累積成為知識庫。企業不僅可基於QRadar資安防禦系統,協助執行弱點偵查、資安事件比對與分析,並且在事件發生時提供告警,或在事後進行稽核調查。亦可進一步透過QRadar Advisor接取Watson知識庫,來輔助資安管理專家有效率地找到問題的解答,或及早發現潛在威脅。

    畢竟現階段多數資安專家仍舊是以人工分析威脅資料,如今則可運用Watson提供的服務,從巨量資料中萃取的知識庫搜尋,藉此幫資安專家縮短所需耗用的時間。「IBM近兩年來培養資安專家系統,從去年年底開始,陸續在企業端環境中進行驗證測試,包含機器學習、自然語言回應等功能,得到的結果是,威脅探查速度較人工調查提高60倍,可能3到5分鐘即可完成,甚至找出人工調查無法察覺的潛在漏洞。」金天威強調。
  • IBM QRadar Advisor with Watson:顛覆資安分析師的作業方式

    ITHOME 2017-04-05發表

    在我成長過程中,科幻影片和電影充滿各種神奇的未來科技,讓人不可自拔。許多科幻故事都有共通元素,那便是輔助任務執行的智慧系統,多半是以機器人、電腦或人形機器人的形象出現。

    如今,我得以身歷其境,將智慧系統等先前只能憑空想像的技術帶給人類。IBM Security 將為網路安全率先帶來第一個認知解決方案。

    在介紹此解決方案前,讓我們先談談何謂認知系統。

    何謂認知系統?

    首先,認知系統必須有推論能力。從旁觀察,認知系統應能建立一套假設,提供訊息諮詢和協助驗證或駁斥假說,並根據證據歸納出結論。

    認知系統若要進行合理推論,必須能理解資訊分析師提供的訊息;其不僅能從輸入資料中推論行為;還能推演實體和主題的關連性。同時也需不斷吸收新知、經驗和回饋意見。最後,認知系統需要以人類自然表達模式提供洞察,例如透過口語、言語或視覺訊息等。

    認知運算有潛力為世界開創無限可能,特別在網路安全方面。回溯歷史,只要人類遇到人力無法突破的極限,就會轉而求助科技。現在更是如此,安全團隊很需要能輔助網路安全任務的系統。

    隆重介紹 IBM QRadar Advisor with Watson

    網路威脅日增、威脅手法益發複雜,而這些威脅都會危及企業的品牌聲望、企業營運和企業的獲利成果,這些大家均有目共睹。企業面臨情報、準確度和時間等各種落差。因此需要最新、可靠且能執行的資訊:資訊來源不僅自身安全架構,也含外部來源。同時能輔助決策過程,更有自信地評估安全事件。最後,IT 團隊必須提升網路安全風險的應變能力。

    IBM 提供可讓認知技術導入資安監控維運中心 (SOC) 的平台。這些工具可提升分析人員能力,彌補情報之不足,並快速準確進行分析。事實上,IBM Cognitive SOC 平台為業界唯一的安全性操作和應變平台,整合進階認知技術並能應變各種雲端、網路、端點和使用者。

    全新的 IBM Cognitive SOC 平台的核心為 QRadar Advisor with Watson。此解決方案率先運用 Watson for Cyber Security 力量。Watson 所維護的專業安全知識庫,涵蓋了威脅情報饋送與先前無法處理的未結構資料例如網誌、網站等內容。Watson 讓人驚嘆不已,還能從吸收的訊息中,衍生新知並發現隱藏的聯繫。

    QRadar Advisor with Watson 結合了 IBM QRadar 卓越的分析能力與 Watson for Cyber Security 認知功能,與即時學習功能,能自動調查並確認安全事件,能向分析人員提供事件原貌和範疇等相關建議。此技術能協助資安分析師發現潛藏威脅並提供可行洞察,讓他們能夠以前所未見的速度和規模應對各種威脅。

    QRadar Advisor with Watson 運作模式

    下方提供 QRadar Advisor with Watson 的三步分析流程:

        若 QRadar Security Intelligence Platform 偵測到安全事件,分析師能將此事件委託 QRadar Advisor with Watson 進行調查。QRadar Advisor 首先會在 QRadar 探勘並收集本地端資料,取得事件更多資訊。接著諮詢 Watson for Cyber Security,針對事件相關的離散觀察,探索外部知識和威脅。

        Watson for Cyber Security 會查看資料庫,從數十萬筆網站、安全性論壇、佈告欄和其他資料來源中,協助我們了解安全事件。之後,運用推論來探索原始事件相關的額外洞察和其他威脅實體,例如:惡意檔案、可疑 IP 位址、惡意實體,以及其中關聯。

        QRadar Advisor with Watson 之後會將來自 Watson for Cyber Security 的訊息去蕪存菁,準確找出該事件相關的關鍵洞察。

    QRadar Advisor with Watson 能夠提供洞察,並將事件資訊和相關佐證送出給事件應變小組,資安分析師便能採取進一步行動。

    不能只靠直覺

    如果你是《星艦迷航記》(Star Trek) 的粉絲,你可能對寇克艦長 (Captain Kirk) 向史波克 (Mr. Spock) 說的這句話有印象:「有時候,直覺是人類不得不歷經的過程。」

    資訊安全人員的職責是維護端點和資料的安全,但單靠直覺不足以應付。Watson 強化分析的能力,能有效迅速處理威脅,顛覆資安人員的作業方式。

    歡迎來到 認知世界!