Com uma base modernizada e uma experiência de usuário redesenhada, permite que analistas de segurança e IA trabalhem juntos de forma mais eficaz
São Paulo, 16 de novembro de 2023 – A IBM anunciou uma grande evolução de sua tecnologia insígnia IBM QRadar SIEM: redesenhada com uma nova arquitetura nativa da nuvem construída especificamente para a escala, velocidade e flexibilidade da nuvem híbrida. A IBM também revelou planos para fornecer capacidades de IA generativa em seu portfólio de detecção e resposta de ameaças, aproveitando o watsonx, a plataforma empresarial de dados e IA da empresa.
Os atuais ambientes de nuvem híbrida estão evoluindo e aumentando a uma taxa exponencial, criando uma superfície de ataque maior e mais complexa para proteger. Esta crescente pegada de TI torna mais difícil encontrar rapidamente as ameaças reais em meio do ruído, retardado por tecnologias isoladas, pesquisas manuais e uma sobrecarga de alertas, sem contexto claro nem visual. De fato, os profissionais do SOC alcançam menos da metade (49%) dos alertas que deveriam revisar em um dia normal de trabalho, de acordo com uma pesquisa global recente[1].
“Nosso novo SIEM nativo da nuvem é um elemento central da missão da IBM de marcar o começo da próxima geração de operações de segurança, projetadas para a era da nuvem híbrida e IA”, disse Kevin Skapinetz, vice-presidente de estratégia e gestão de produtos da IBM Security. “Em vez de forçar os analistas a trabalhar ao redor da complexidade das tecnologias de segurança, estamos projetando a tecnologia para eliminar a complexidade: cancelando o ruído, simplificando a experiência do usuário e capacitando os analistas para lidar com ameaças urgentes com maior velocidade e confiança”.
O SIEM nativo da nuvem se baseia nos 13 anos de liderança no mercado do IBM Qradar e reconhecimento dos analistas[2] para analítica de segurança profunda, com uma arquitetura reprojetada para ingestão de dados altamente eficiente, pesquisas rápidas e análises em escala. Construído sobre uma base aberta, é a mais recente adição ao QRadar Suíte, o portfólio integrado de software de detecção e resposta de ameaças da IBM.
O novo IBM QRadar SIEM nativo da nuvem estará disponível como SaaS no quarto trimestre de 2023, com planos para oferecer software para implementação em infraestrutura local e multinuvem em 2024.
Aberto desde seu núcleo
Baseado no Red Hat OpenShift, o QRadar SIEM foi projetado para ser aberto desde o core, permitindo maior interoperabilidade com ferramentas e nuvens de vários fornecedores. Aproveita o código e padrões abertos para as funções principais, incluindo regras de detecção e linguagem de pesquisa, facultando seu funcionamento nos stacks de tecnologia e segurança das empresas.
- Usa as detecções da comunidade de segurança: aproveita a linguagem comum e compartilhada para as regras de detecção (SIGMA), permitindo que os clientes importem rapidamente detecções colaborativas da comunidade de segurança à medida que as ameaças evoluem.
- Investiga em fontes de dados: oferece capacidades únicas de caça a ameaças criadas sobre tecnologias de código aberto, habilitando os analistas para pesquisar e investigar proativamente ameaças nas infraestruturas locais e na nuvem, de maneira simples e unificada, sem mover os dados de sua fonte original.
- Ampla rede de parceiros: baseado no ecossistema QRadar, uma das maiores redes de parceiros do setor, com mais de 700 integrações pré-desenhadas.
Suíte completa para resposta de segurança proativa e conectada
Como parte do QRadar Suíte, o novo SIEM nativo da nuvem oferece aos clientes acesso a um amplo conjunto de capacidades integradas que podem permitir uma detecção, investigação e resposta mais proativas em todos os conjuntos de ferramentas. Com o QRadar Suíte, as organizações podem aumentar a visibilidade de seus ativos expostos por meio de recursos de gerenciamento de superfície de ataque (ASM), pesquisar ameaças em conjuntos de ferramentas, proteger endpoints com EDR e se conectar a playbooks automatizados para acelerar a resposta (SOAR). O QRadar SIEM empodera os usuários com insights colaborativos e ações automatizadas através de suas ferramentas principais, acessadas diretamente de sua interface de usuário principal, sem a necessidade de alternar entre ferramentas.
IA de nível empresarial para acelerar a resposta a ameaças críticas
O QRadar SIEM aplica diversas camadas de IA e automação para melhorar a qualidade dos alertas e a eficiência dos analistas de segurança. Esses recursos maduros de IA têm sido treinados em milhões de alertas da vasta rede de clientes da IBM e são ainda mais refinados após a implementação, levando em consideração o ambiente exclusivo de cada cliente. Por exemplo:
- Reduzir o ruído e melhorar alertas: os recursos de priorização de alertas usam IA para despriorizar automaticamente alertas de baixa prioridade, ao mesmo tempo em que agrupam, contextualizam e escalam alertas de alta prioridade automaticamente, considerando o contexto de risco partindo da inteligência de ameaças em curso e dos padrões de resposta dos analistas. Essa capacidade permitiu que a IBM Consulting Cybersecurity Services automatizasse 85% do gerenciamento de alertas de clientes[3] e acelerasse prazos de triagem de ameaças em 55% no primeiro ano de uso[4].
- Iniciar investigações: os recursos de IA executam automaticamente pesquisas unificadas em sistemas conectados, gerando uma linha de tempo visual de ataque, correlações com MITRE ATT&CK e ações recomendadas, dando aos analistas vantagem nas tarefas investigativas.
- Atualizar automaticamente as informações de detecção: a analítica do QRadar SIEM é atualizada automaticamente com novas regras de detecção e inteligência de ameaças de forma contínua para acompanhar o ritmo das ameaças em evolução.
As capacidades de IA em segurança da IBM são integradas nativamente à interface do QRadar Suíte dos analistas, fornecendo insights contextuais e os ajudando a aproveitar a IA de forma mais intuitiva em seus fluxos de trabalho típicos.
IA generativa para melhorar a produtividade do SOC
A IBM também planeja lançar capacidades de segurança com IA generativa (IAG) no QRadar Suíte no início de 2024, baseadas no watsonx, a plataforma de dados e inteligência artificial da empresa. A IBM está projetando IAG para ajudar a otimizar o tempo e o talento das equipes de segurança, gerenciando certas tarefas tediosas para os analistas, facilitando a execução de trabalhos mais desafiadores e de maior valor. Por exemplo:
- Automatizar relatórios: criar resumos simples de casos e incidentes de segurança que podem ser compartilhados com diversas partes interessadas com um único clique.
- Acelerar a busca de ameaças: gerar pesquisas para detectar ameaças automaticamente com descrições em linguagem natural dos comportamentos e padrões de ataque, ajudando a acelerar a resposta a novas campanhas de ameaças.
- Interpretar dados: ajudar os analistas a entender rapidamente os dados dos logs de segurança, fornecendo explicações simples sobre os eventos que ocorreram em um sistema, reduzindo barreiras técnicas e agilizando suas investigações.
- Curar a inteligência de ameaças: interpretar e resumir inteligência altamente relevante sobre ameaças, se concentrando nas campanhas com maior probabilidade de impactar os clientes com base em seu perfil de risco único.
A IBM também está desenvolvendo capacidades de segurança preditiva com IA generativa que serão treinadas para criar respostas ativas que sejam otimizadas ao longo do tempo, como ajudar a equipe de segurança a encontrar incidentes semelhantes, atualizar sistemas afetados e corrigir códigos vulneráveis.
Além desses casos de uso, a IBM planeja incorporar amplamente a IA generativa em seu portfólio de software e serviços de segurança. Esses recursos aproveitarão a infraestrutura de watsonx, bem como os modelos de IA de watsonx, que foram treinados com datasets curados, selecionados e especializados, projetados para oferecer maior confiança, transparência e precisão.
Para obter mais informações sobre o QRadar SIEM, visite: https://www.ibm.com/products/qradar-cloud-native-siem.
Para obter mais detalhes sobre IA em segurança, visite: https://www.ibm.com/security/artificial-intelligence.
As declarações relativas à direção e intenções futuras da IBM estão sujeitas a alterações ou retiradas sem aviso prévio e representam apenas metas e objetivos.
Sobre IBM Security
IBM Security ajuda a proteger as maiores empresas e governos do mundo, com um portfólio integrado de produtos e serviços de segurança, impulsionados com capacidades de IA dinâmica e recursos de automação. O portfólio, apoiado pela pesquisa de renome mundial de IBM Security X-Force®, permite que as organizações prevejam ameaças, protejam os dados enquanto eles se movem e respondam com velocidade e precisão sem impedir a inovação nos negócios. A IBM tem a confiança de milhares de organizações como parceiros para avaliar, criar estratégias, implementar e gerenciar as transformações de segurança. A IBM opera uma das mais amplas organizações de pesquisa, desenvolvimento e entrega de segurança do mundo, monitora mais de 150 bilhões de eventos de segurança por dia em mais de 130 países e recebeu mais de 10.000 patentes de segurança em todo o mundo.
[1] Estudo global sobre os Centros de Operações de Segurança, 2022 da Morning Consult, patrocinado pela IBM.
[2] A QRadar foi identificada como líder de mercado para SIEM em vários relatórios de terceiros e analistas nos últimos 13 anos, incluindo relatórios do Gartner, Forrester, KuppingerCole, IDC e Omdia.
[3] Com base na análise interna da IBM de dados de desempenho agregados observados em interações com mais de 340 clientes em julho de 2023. Até 85% dos alertas foram gerenciados por automação usando recursos de IA que fazem parte do QRadar SIEM. Os resultados variam dependendo das configurações e condições do cliente e, portanto, os resultados esperados geralmente não podem ser fornecidos.
[4] Com base na análise interna da IBM de dados agregados de desempenho observados em interações com mais de 400 clientes entre 2018 e 2019, que mostrou que o cronograma médio de triagem de alertas foi reduzido em 55% durante o primeiro ano usando automação e inteligência artificial que fazem parte do QRadar SIEM . Os resultados variam dependendo das configurações e condições do cliente e, portanto, os resultados esperados geralmente não podem ser fornecidos.