QRadar Advisor con Watson: come aumentare l’efficienza delle risorse IT in azienda

Nonostante sia chiaro che le informazioni siano una imprescindibile sorgente di valore, i report di settore non sempre evidenziano statistiche incoraggianti, con una crescita esponenziale di attacchi informatici a danni di cittadini ed imprese, spesso perpetrati attraverso strumenti di uso comune nell’ecosistema aziendale, primo tra tutti la posta elettronica. Molto spesso l’attaccato viene a conoscenza dell’attacco solo una volta che l’Asset è già stato compromesso.

Nella sua accezione di componente del perimetro di sicurezza in ambito IT, il SIEM svolge una serie di compiti e funzioni che vanno nello specifico a rispondere ad una necessità specifica, ossia, la visibilità totale, in tempo reale, di quanto accade, accadrà o è accaduto all’interno di un sistema IT
Sul mercato SIEM si traduce in IBM QRadar, la piattaforma (insieme di componenti) al centro della Security Intelligence di IBM, posizionata da Gartner come Leader nella classifica del Magic Quadrant degli ultimi anni.

IBM QRadar è la piattaforma Security lntelligence di IBM che, grazie al potente motore di correlazione real time degli eventi e alle funzioni di network forensics, consente di mitigare la perdita o la fuoriuscita di dati aziendali (Data Loss e Data Leakage), oltre che di investigare a posteriori le principali cause di perdita dei dati, individuando “chi, cosa e dove”.IBM Platinum Partner

Ci sono alcune realtà aziendali per i quali la soluzione QRadar non è sufficiente, poichè più l’infrastruttura è complessa e ampia, più sono numerose le aree vulnerabili. La superficie di attacco cresce con l’aumentare della complessità dell’infrastruttura. A questo si aggiunge che gli analisti della sicurezza avvertono la pressione derivante dalla carenza di talenti in sicurezza informatica e il peso del lavoro e spesso non sono in grado di gestire l’enorme volume di insight di ogni giorno. causando quindi un aumento della vulnerabilità delle aziende nei confronti delle minacce alla sicurezza non affrontate.

QRadar Advisor with Watson

QRadar Advisor con Watson combina l’abilità analitica di IBM QRadar, le capacità cognitive di Watson per la sicurezza informatica e le capacità di apprendimento in tempo reale per indagare e qualificare automaticamente gli incidenti di sicurezza e supportare gli addetti ai lavori sulla natura e l’entità di un incidente.

È in grado di automatizzare le attività SOC di routine e ripetitive, individuare le affinità nelle indagini e offre feedback utile agli analisti che, in questo modo, saranno liberi di concentrarsi sugli elementi più importanti dell’indagine aumentandone l’efficienza. Con questa soluzione si può ottenere una visibilità completa dei dati aziendali, sia in ambienti on-premise e basati 

Esempio di QRadar Advisor con Watson su cloud, attraverso un unico pannello di controllo. QRadar Advisor con Watson è in grado di rilevare le vulnerabilità note e sconosciute e assegna delle priorità ai potenziali rischi per la sicurezza. Che siano le 16:30 di un venerdì o le 10:00 di un lunedì, QRadar Advisor offre supporto all’intelligenza umana in modo che gli analisti possano condurre indagini coerenti e approfondite ogni volta. Riduce MTTD e MTTR con un processo di escalation più rapido e decisivo. Determina l’RCA (root cause analysis – analisi dell’origine del problema) e conduci i passi successivi con fiducia associando l’attacco al modello MITRE ATT&CK.

Funzioni principali

  • Allineamento degli attacchi alla catena MITRE ATT&CK
  • Loop di apprendimento degli analisti per un processo di escalation più decisivo
  • Feedback di Watson migliorato tramite feed esterni informativi sulle minacce
  • Esecuzione dell’analytics tra più indagini
  • Elenco di priorità di indagine con il rischio più elevato
  • Ottimizzazione proattiva dell’ambiente per una maggiore sicurezza

 

Esempio 2 di QRadar Advisor con Watson

 

Mirko Graziani
VM Sistemi – ICT Security Support Specialist

 

Related Posts

Pin It on Pinterest