Análisis cognitivo para una gestión eficaz de incidentes

Eduardo ArguesoDirector de IBM Seguridad para España, Portugal, Grecia e Israel

#IBMSeguridad2017

2 IBM Security

• Datos del incidente

• Observables (ej., dominios, MD5s, etc.)

• Pivotar sobre los observables y buscarelementos extraños (ej. dominiosinusuales, IPs, acceso a ficheros, etc.)

• Extender la búsqueda

• Buscar indicadores utilizando x-Force Exchange + Google + Virus Total, etc.

• Descubrir nuevo malware

• Obtener IOC (indicators of compromise) de nuevas búsquedas web

• Investigar localmente los IOCs

• Buscar otras IPs internas afectadas

• Cualificar el incidente

• Iniciar otra investigación alrededor de cada una de las IPs

Trabajo cotidiano de un analista de seguridad

Tiempo de análisis de amenazas

Aplicar la inteligencia e investigar el incidente

Obtener datos de investigación de amenazas, desarrollar expertise

Obtener un contexto local del incidente

Precisión de cualificación: minimizar losfalsos positivos y negativos

3 IBM Security

Los desafíos actuales de las operaciones de Seguridad tienenimportantes efectos en el negocio

Desafio

Sobrecarga de eventos:• 200K+ eventos / día• 20 - 40 eventos / analista

Sobrecarga de información:• 10x feeds• 100x webs públicas• Actualizacion diaria

Escasez de skills:• 1.8M de vacantes sin

cubrir en 2022

Impacto en el negocio

Interrupción Operacional: falta de servicio, esfuerzos de respuesta y de recuperación, etc.

Coste total del incidente:operacional, comercial, legal, etc.

Pérdida de ingresos:clientes perdidos, etc.

Daño reputacional

Mayor tiempo enidentificarincidentes

Imprecisiónen el Análisis

• Coste medio:• TMI < 100 dias: $2,8M• TMI > 100 días $3,83M

• Tiempo medio de identificación(TMI): 191 días

• Coste medio de una brecha enlos datos: $3.62M

(*) Source: 2017 Ponemon Institute Study on Cost of a data breach, done on 419 companies in 13 countries

4 IBM Security

La información no estructurada puede mejorar significativamente el análisis, ¿y si una máquina pudiera asistir al analista para usar esta información?

Datos de Seguridad habituales

Hay un universo de conocimiento de seguridad oculto a nuestras defensasTípicamente sólo se usa el 8% de este contenido*

Datos no estructurados

• Eventos y alertas de seguridad• Datos de log y configuración

• Actividad de usuario y de red• Feeds de amenazas y vulnerabilidades

Por ejmplo:• Docs de investigación• Publicaciones

• Información forense• Intel. de amenazas

• comentarios• Pres. de Conferencias• Informes de analistas

• Páginas web• Wikis

• Blogs• News feeds• Newsletters

• Tweets

5 IBM Security

1-3 Días1 Hora5 Minutos

Datos Estructuradosde Seguridad

X-Force Exchange Datos de partners de confianza

Open sourceinformación de pago

- Indicadores- Vulnerabilidades

- Malware, …

- Nuevos actores- Campañas- Malware - Indicadores, …

- Procedimientos- Actores

- Tendencias- Indicadores, .

Rastreo de CríticosDatos no Estructurados

Crawl masivo de todos los datosde seguridad en la web

Réplicas de ataquesRevisiones de ataquesMejores prácticas

BlogsSitios WebNoticias…

Filtrado + Aprendizaje de MáquinaElimina información innecesaria

Aprendizaje de Máquina/ Procesando Lenguaje Natural

Extractos y Anotaciones de DatosRecopilados

Billiones deElementos de

DatosMillones de Documentos

3:1 Reducción

Grafo (masivo) de Conocimiento de SeguridadBilliones de Nodos

Watson utiliza un amplio corpus de seguridad que soporta el análisisexhaustivo de incidentes

¡5-10 actualizaciones / hora! !¡100K actualizaciones / semana!

6 IBM Security

Análisis cognitivo para la seguridad con QRadar Advisor with Watson

• Gestionar alertas• Investigar eventos de seguridad y

anomalías de seguridad

• Correlación de datos• Identificación de patrones• Detección de anomalías• priorizar

Análisis de Seguridad

Analistas de Seguridad Watson for Cyber Security

• Conocimiento de seguridad• Identificación de amenazas• Descubrir indicadores adicionales• Deducir relaciones• Evidencias

• Minería de datos local• Realizar investigación de seguridad• Mostrar conclusiones

QRadar Advisor

ANALISTA DE

SEGURIDAD

ANÁLISIS DE

SEGURIDAD

QRadarAdvisor

Watsonfor Cyber Security

Watson for Cyber Security Demo

#IBMSeguridad2017

8 IBM Security

QRadar Advisor with WatsonCompensando las carencias en Conocimiento, Velocidad y Precisión

Añade 10x más indicadoresaccionables para descubrir nuevasamenazas

“QRadar fired an offense on a user trying to connect to a botnet IP. The security analyst found 5 correlated indictors manually while Watson showed the extent of the threat with 50+ useful indicators. “

“An analyst started to make mistakes due to loss of concentration over time. Watson never did.”

VelocidadHasta 60x más rápido que unainvestigación manual de amenazas

Acelera los análisis complejos de 1 hora a menos de 1 minuto

“Watson for Cyber Security was able to accurately accelerate the analysis process by 50 percent. This allowed our staff to analyze significantly more information in a shorter amount of time, and to target and react to the most persistent threats immediately.”“Every Watson analysis took less than 1 minute whereas the human analysis took 15 minute to 1 hour.”

EficaciaConocimiento1M+ documentos de seguridadingeridos por Watson para proporcionar el contexto y alcancecompletos de un ataque

10B+ nodos de seguridad para conectar los puntos ocultos enamenazas que son habitualmenteignorados por los analistas de seguridad.

"....L1 and L2 analysts arrive at conclusion that it's not a security incident. The investigation with Watson was more instructive. It did the qualifying in minutes and determined that one of our client's hosts was compromised by a DDoS attack”

9 IBM Security

Podemos reducir significativamente el tiempo de identificación de los incidentes con QRadar Advisor with Watson…

RespuestaAnálisis y evaluación de ImpactoSelección Priorización

Días a Semanas

Análisis no asistido

RespuestaAnálisis y eval. de Impacto

Sel. Prioriz.

Minutosa Horas

Análisis asistido por QRadar Advisor with WatsonAnálisis rápido y preciso de los incidentes de seguridad, ahorrando tiempo y recursos preciosos

… y así facilitar una respuesta ágil y orquestada

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

FOLLOW US ON:

THANK YOUGRACIAS