Sicherheit Teil 1: QRadar mit kognitiver Analytik

10. Juli 2017 | Von admin | Kategorie: Security

Aufgabe der Informationstechnologie ist die Automatisierung von Geschäftsprozessen in den Bereichen Einkauf, Logistik, ERP und so weiter. Für den Bereich Security automatisiert Sense Analytics die Sicherheitsmaßnahmen durch Erkennen der Risiken, Überwachung der Infrastruktur im Hinblick auf deren Gefährdung durch interne und externe Bedrohungen sowie durch forensische Analysen und Gefährdungsbekämpfung nach erfolgter Priorisierung basierend auf geplanter Abwehr. Dies ersetzt zeitraubende Einzelaktionen und deren Koordination durch das IT-Personal des Unternehmens.

Read Offline:

Download PDF

Download ePub

Burgy Zapp von Schneider-Egestorf

Die Basis – aktueller Trend

Integration der Unternehmens IT in die Sicherheits-Lösung.

Globales Netze, globales QRadar

eMail, Internet, Mitarbeiter und ihre Geräte und Anbindungen an externe Systeme sind nicht vermeidbar. QRadar deckt das gesamte Netzwerk (on-premises & cloud) ab und integriert dabei andere Sicherheits-Lösungen, Firewalls etc. Viele Security Anbieter arbeiten gegenwärtig an diesem Schritt. Das ist nicht trivial. QRadar ist auf den ersten Blick ein Dashboard, wo die Ist-Situation zu einem Gesamtbild kristallisiert.

Einschätzen von Schwachstellen und potenziellen Angriffsvektoren

Jede (vernetzte) Software stellt eine Bedrohung dar. In der Masse und im Rahmen vieler Updates kann nur viel menschliche Arbeit den Überblick behalten, wo Schwachstellen entstehen und geschlossen werden müssen. QRadar deckt einen ausreichend großen Teil des Marketes ab, um alle aktuellen Bedrohungen im sich ständig wandelnden Umfeld zu kennen und diese Einschätzung für den Security Spezialisten sehr gut vorzubereiten. IBM hat zu diesem Zweck einen ganzen Landstrich an Security Anbietern gekauft.

Neues durch Kognition: Die Erfahrung anderer

IBM Watson gibt eine Handlungs-Empfehlung an den Endpoint: „Bitte System patchen, hier ist eine Schwachstelle.“ Empört ausgedrückt könnte man sagen, IBM Kunden profitieren hier von anderen IBM Kunden, vermittelt durch die Kognition von Watson.

Monitoring mit Kognition – Watson ist einen Schritt voraus

Je nach Größe des Unternehmens sitzen 1 – 3 Mitarbeiter des Security Operations Center (SOC) in ihrem jeweiligen Eskalations-Level vor ihren Dashboards und arbeiten die Events ab, die sich aus den Massen an aggregierten Daten ergeben.

Neues durch Kognition: Semantische Recherche

Im Monitoring recherchiert Watson indem er nicht nur als Crawler fungiert und alle Security Blogs, Whitepaper etc. liest sondern auch korreliert und somit im laufenden Monitoring verdächtige Verhaltensmuster, Anomalien und Gravität erkennt. Warum das so wichtig ist: Selbst wenn drei Köche zwischen den Töpfen hin und her rennen und nicht nur 1 Analyst alles macht, so ist ein Level 1, 2, 3 SOC-Analyst ein gestresster Zeitgenosse:

Level 1 erhält das Meer an Events auf seine Console. Schnell und viel müssen sie entscheiden, was als potenzieller Incident eskaliert wird und was bereits als false positive weg-geklickt wird. Der SOC-Analyst steht stark unter Druck ob er von den 5, 10, 20 Bedrohungen am Tag die einzige echte Bedrohung als false positive markiert. Im schlimmsten Fall läuft der Angriff durch. Zwei, drei Tage später kommt der Anruf „Wir haben ein paar Millionen Kundendaten im Netz gefunden“.

Sie müssen sich als Abonnent anmelden um den hier fehlenden Teil des Inhalts zu sehen. Bitte Login für Zugriff.

Noch nicht Abonnent? Sonderaktion nutzen.

Welche Anwendungsfälle (use cases) waren für die Evaluierung und Kauf von QRadar ausschlaggebend?

Weiterführende Informationen

https://exchange.xforce.ibmcloud.com/hub

Die QRadar Produktgruppe umfasst: User Behaviour Analytics, on Cloud, Incident Forensics, Log Manager, SIEM, Vulnerability Manager. Zu den Funktionen dieser Lösungen gibt es jeweils eine deutschsprachige Dokumentation bei IBM.com

Ein englischsprachiges Datenblatt zu dem IBM Produkt QRadar Security Intelligence Plattform finden Sie hier:

https://ibm.co/2sTCyHQ

Quellen / Abbildungen

Abbildungen der Statistiken

Ponemon Institute (2015). QRadar Security Intelligence Client Study. Traverse City: Ponemon Institute LLC

Einlauf-Illustration

IBM Security. (2016). IT executive guide to security intelligence. Somers: IBM Corporation