Le novità da IBM
IBM Security ha ampliato le capacità di QRadar Advisor con Watson con le tecniche di attacco ricavate dal framework MITER.
Mercoledì, Big Blue ha dichiarato che la piattaforma di sicurezza basata sull’intelligenza artificiale (AI) è stata rafforzata con un repository di tecniche e casi informatici criminali che “consentiranno di apprendere dalle attività di risposta alla sicurezza all’interno di un’organizzazione”. Inoltre, la piattaforma AI ora farà riferimento al MITER ATT & CK open-source knowledge base , che contiene record di scenari di attacco del mondo reale, tecniche e exploit utilizzati per compromettere la sicurezza aziendale.
All’interno del repository, puoi trovare di tutto, dai vettori di attacco basati su HTTP allo scambio dinamico di dati, ai movimenti, alle aree di compromesso, alle conseguenze dell’infezione e a cosa i difensori possono aspettarsi in futuro. L’ultima versione della piattaforma è stata data a ciò che IBM chiama “learning loops”, in cui nuovi modelli analitici e algoritmi consentiranno a QRadar Advisor di identificare più modelli di attacco – sia che si tratti di colpi rapidi o di progressiva infiltrazione – e di adattare questa conoscenza a ambienti locali.
Inoltre, un sistema di flag basato su questi dati offre agli utenti una valutazione di confidenza su come gli incidenti di sicurezza si correlano con i dati storici. QRadar Advisor con Watson attinge al progetto MITER ATT & CK con l’obiettivo di andare oltre. Mentre il primo fornisce una guida passo-passo su come gli attacchi possono progredire, la soluzione di IBM mira a raccogliere queste informazioni obiettive e trasformarle in dati fruibili applicandole alle reti aziendali. Ad esempio, la conoscenza e gli esempi di un compromesso drive-by elencato su MITER che potrebbe portare a compromissione della rete e furto di dati potrebbero essere combinati con QRadar Advisor con le funzionalità AI di Watson per rintracciare dove si trova il malware, quali informazioni potrebbero aver rubato e fattori contestuali aggiuntivi che possono rafforzare i tempi di risposta per il personale IT.
“Aiutando gli analisti a vedere come si è evoluto un attacco, questa capacità consente agli analisti di capire immediatamente dove si trova un incidente in un ciclo di vita delle minacce e cosa potrebbe fare in futuro, il che può migliorare significativamente i tempi di risposta e l’efficacia”, afferma IBM. “Queste intuizioni aggiuntive di QRadar Advisor possono aumentare le competenze degli analisti e aiutarli a collegare i punti per vedere la portata completa di un attacco in un modo che un analista di livello superiore o un cacciatore di minacce potrebbero fare”.
