IBM QRadar Security Suite è progettata per migliorare e velocizzare non solo il rilevamento ma anche la risposta alle minacce cyber. La Suite è un’importante evoluzioneed espansione di QRadar, che include tutte le principali tecnologie di rilevamento, investigazione e risposta delle minacce, con innovazioni di rilievo nell’intera gamma. Fornita in modalità “as-a-service”, la IBM Security QRadar Suite è basata su un’infrastruttura aperta e progettata specificamente per le esigenze del cloud ibrido. È dotata di un’unica interfaccia utente, modernizzata, integrata con l’intelligenza artificiale e l’automazione avanzata.
Il ciclo di vita degli attacchi
Oggi i team SOC (Security Operation Center) devono proteggere un perimetro digitale in rapida espansione che si estende agli ambienti cloud ibridi. Creando una complessità senza precedenti e rendendo difficile tenere il passo con il veloce progredire degli attacchi. Gli operatori del SOC possono essere rallentati da processi di indagine e di risposta agli alert che richiedono alta intensità di lavoro. Infatti, è necessario aggregare manualmente gli insight e fare leva su dati, strumenti ed interfacce scollegate tra loro.
IBM QRadar Security Suite – Le 12 categorie tecnologiche di sicurezza
Basandosi sull’attuale leadership in 12 categorie tecnologiche di sicurezza, IBM ha ridisegnato il proprio portafoglio di soluzioni nel rilevamento e nella risposta alle minacce. Così da massimizzare la velocità e l’efficienza degli esperti di sicurezza. La nuova suite IBM Security QRadar include EDR/XDR, SIEM, SOAR. Oltre a una nuova funzionalità sviluppata nativamente in cloud di gestione dei log. Il tutto basato su un’interfaccia utente comune, insight condivisi e workflow connessi, con i seguenti elementi di progettazione principali:
Esperienza di Analisi Unificata. La suite integra un’interfaccia intuitiva e modernizzata per tutti i prodotti per aumentare notevolmente la velocità e l’efficienza dell’intera attività di analisi. Inoltre, integra funzionalità di AI e di automazione che hanno dimostrato di velocizzare l’analisi ed il triage degli avvisi del 55% in media nel primo anno.
Come unificare e velocizzare le attività nel ciclo di vita degli attacchi
Disponibilità in Cloud, Velocità e Scalabilità. Distribuita in modalità “as-a-service” su Amazon Web Services (AWS), la suite QRadar semplifica implementazione, visibilità e integrazione tra ambienti cloud e origini di dati. Inoltre, include una nuova funzionalità nativa del cloud di gestione dei log, ottimizzata per una ricezione dei dati altamente efficiente, la ricerca rapida e l’analisi su larga scala.
Sviluppata su tecnologia aperta, Integrazioni Precostruite. La suite integra le tecnologie fondamentali necessarie per il rilevamento, l’analisi e la risposta alle minacce, basate su un modello aperto e un ecosistema di partner esteso. Oltre 900 integrazioni precostruite che garantiscono una forte interoperabilità tra i set di strumenti IBM e quelli di terze parti.
Co-innovazione per le esigenze di sicurezza del mondo reale
La suite QRadar è il frutto di anni di investimenti, acquisizioni e innovazioni di IBM nel rilevamento e nella risposta alle minacce. La soluzione include decine di funzionalità di automazione e intelligenza artificiale. Perfezionate nel tempo con utenti e dati del mondo reale, anche grazie alle attività di IBM Managed Security Service con oltre 400 clienti. Include inoltre innovazioni sviluppate in collaborazione con IBM Research e la community open source di sicurezza.
IBM QRadar Security Suite – Le funzionalità basate su AI
Queste funzionalità basate sull’intelligenza artificiale hanno dimostrato di migliorare in modo significativo la velocità e l’accuratezza delle operazioni SOC. Ad esempio, consentendo a IBM Managed Security Services di automatizzare più del 70% delle chiusure degli allarmi e di ridurre le tempistiche di triage degli stessi. Integrando queste funzionalità la suite QRadar contestualizza e assegna automaticamente le priorità agli avvisi. Poi fornisce una rappresentazione visuale dei dati per un rapido utilizzo. Questo approccio può ridurre drasticamente il numero di passaggi e schermate necessari per indagare e rispondere alle minacce.
Alcuni esempi sulle attività nel ciclo di vita degli attacchi
Triage degli alert potenziato dall’AI. Assegna automaticamente la priorità o chiude gli avvisi in base all’analisi dei rischi basata sull’intelligenza artificiale. Utilizzando i modelli di AI addestrati sui modelli di risposta degli esperti, insieme all’intelligence delle minacce esterne di IBM X-Force.
Indagine sulle minacce automatizzata. Identifica gli incidenti ad alta priorità che possono richiedere un’indagine avviandola automaticamente, recuperando le risorse associate e raccogliendo le prove tramite il data mining tra gli ambienti. Il sistema utilizza questi risultati per generare una sequenza temporale e un grafico di attacco dell’incidente basato sul framework MITRE ATT&CK. Raccomanda azioni per accelerare la risposta.
Ricerca accelerata delle minacce. Utilizza un linguaggio open source di ricerca delle minacce e le funzionalità di ricerca federate. Così da aiutare gli esperti a rilevare attacchi furtivi e indicatori di compromissione nei rispettivi ambienti, senza spostare i dati dalla fonte originale.
Suite di sicurezza aperta, connessa e modernizzata
La suite QRadar sfrutta tecnologie e standard aperti in tutto il portafoglio, insieme a centinaia di integrazioni precostruite con i partner dell’ecosistema IBM Security. Questo modello consente approfondimenti condivisi e azioni automatizzate su cloud di terze parti, singoli prodotti e data lakes. Riducendo i tempi di implementazione e integrazione da mesi a giorni o settimane.
Caratteristiche di IBM QRadar Suite
La IBM QRadar Suite include i seguenti prodotti principali, inizialmente forniti in modalità SaaS e aggiornati con la nuova esperienza di analisi unificata:
QRadar Log Insight. Una nuova soluzione cloud nativa per le soluzioni di gestione dei log e osservabilità della sicurezza che fornisce la raccolta semplificata dei dati, la ricerca in meno di un secondo e l’analisi rapida. Sfrutta un data lake di sicurezza ottimizzato per raccogliere, archiviare ed eseguire analisi su terabyte di dati con maggiore velocità. Questa soluzione è stata progettata per una gestione ottimizzata dei log di sicurezza e per ricerche e indagini federate.
QRadar EDR e XDR. Consente alle aziende di proteggere i propri endpoint da minacce precedentemente sconosciute, minacce zero-day. Utilizzando l’automazione e centinaia di modelli comportamentali e di apprendimento automatico per rilevare le anomalie nel comportamento e rispondere agli attacchi in tempo quasi reale. Sfrutta un approccio unico che monitora i sistemi operativi dall’esterno, evitando manipolazioni o interferenze.
QRadar SOAR.Insignito recentemente di un Red Dot Design Award per l’interfaccia e l’esperienza utente. Consente alle organizzazioni di automatizzare e orchestrare i flussi di lavoro di risposta agli attacchi e garantire che i processi specifici vengano seguiti in modo coerente, ottimizzato e misurabile. Include 300 integrazioni precostruite e offre playbook pronti da utilizzare per rispondere a oltre 180 normative globali sulla privacy e sulla violazione dei dati.
QRadar SIEM. Il SIEM QRadar IBM è stato migliorato con la nuova interfaccia di analisi unificata che fornisce informazioni condivise e flussi di lavoro con più ampi set di strumenti operativi di sicurezza. Offre il rilevamento in tempo reale, sfruttando l’intelligenza artificiale, l’analisi del comportamento degli utenti e della rete, l’intelligence delle minacce del mondo reale, per fornire agli esperti alert più accurati, contestualizzati e evidenziando le priorità.
