3. 3 IBM Security
Утечки данных
продолжаются,
не смотря на
принимаемые усилия
Отсутствие
своевременной и
действенной
информации
становится проклятием
безопасников
Огромные пробелы
в экспертизе команд
ИБ по всему миру
IBM X-Force Threat Intelligence Index 2017
54 миллиона
событий
кибербезопасности
на одну компанию
4 миллиарда
записей персональных
данных скомпрометированы
по официальным отчетам
Основные проблемы отдела ИБ
4. 4 IBM Security
Криминальный БОСС
Помощник босса
Поставка троянов и
серверов управления и
контроля
Владельцы инструментария для взлома
Распространение троянов через
“легитимные” сайты
Управляющие
компаниями
Аффилированные
сети
Продавцы
украденных
данных
Внешние источники
аналитики по угрозам
Внутренний обмен
Центры Анализа и Обмена
Информацией
Частный / Публичный обмен
Глобальные центры
Состояние по аналитике ИБ в 2016
Защищающие имеют большие проблемы с обменом
информацией об угрозах и атаках, в то время как
атакующие активно обмениваются знаниями
5. 5 IBM Security
Традиционные
данные ИБ
Примеры
включают:
• Исследовательские
документы
• Публикации по
индустрии
• Информация о
расследованиях
• Комментарии по
угрозам и
аналитике ИБ
• Презентации на
конференциях
• Отчёты аналитиков
• Веб страницы
• Вики
• Блоги
• Новостные
источники
• Новостные
рассылки
• Микроблоги/
твиттер/ВК…
Целая вселенная знаний ИБ выпадает из поля
зрения средств защиты
Типичная организация видит только 8% данных знаний
Знания, генерируемые
людьми
• События ИБ
• Данные логов и конфигураций
• Активность пользователей и сети
• Подписки на угрозы и уязвимости
но большая часть этих знаний
не охвачена инструментами
Огромное количество знаний об информационной
безопасности создаётся для прочтения людьми…
6. 6 IBM Security
Человеческая экспертиза
Когнитивная
безопасность
Аналитика ИБ
• Корреляция данных
• Идентификация паттернов
• Детектирование аномалий
• Приоретизация
• Визуализация данных
• Рабочие процессы
• Анализ
неструктурированных
данных
• Натуральный язык
• Вопросы и ответы
• Машинное обучение
• Устранение
человеческого фактора
• Аналитика по
компромиссам
• Здравый смысл
• Мораль
• Сострадание
• Абстракции
• Дилеммы
• Обобщения АНАЛИТИКИ
ИБ
АНАЛИТИКА
ИБ
КОГНИТИВНАЯ
ИБ
Когнитивные системы устраняют этот разрыв и открывают
новые возможности партнёрства между аналитиками ИБ и
поддерживающими их технологиями
7. 7 IBM Security
Я расследую потенциальные угрозы…
Как и почему
это отличается
от обычного
поведения систем?ВНЕШНЯЯ АНАЛИТИКА ПО УГРОЗАМ
Знания о бизнесе и релевантных трендов ИБ для индустрии
ВНУТРЕННЯЯ АНАЛИТИКА ИБ
Расследования о потенциальных сетевых проблемах
МОНИТОРИНГ
Очереди оповещений и потенциальных угроз
ОТЧЁТНОСТЬ
Уязвимости и проблемы
НАСТРОЙКА
Улучшение правил корреляции
Информируется
о…
Консультирует
по…
Подотчётен
по …
Отвечает
за…
Насколько это может
повредить компании?
Надо ли мне
разобраться с этим
сейчас?
Откуда поступила
эта информация?
Можно ли доверять
источнику?
Работа аналитика в отделе ИБ
8. 8 IBM Security
Просматривает
инциденты ИБ в консоли
SIEM
Решает, каким следующим
инцидентом заняться
Просматривает данные
(события / потоки, из
которых состоит инцидент)
Расширяет поиск для
захвата большего
количества данных по
инциденту
Рассматривает данные с
разных сторон для
нахождения аномалий
(например необычные
домены, IP адреса,
доступы к файлам…)
Проверяет содержимое соседних
событий на наличие чего-либо
интересного
(домены, хэши и т.д.)
Ищет в X-Force Exchange + Google +
Virus Total + любом другом месте
данные аномалии и индикаторы.
Находит новый тип вредоносного ПО,
который может быть причастен к
данному поведению.
Находит название
вредоносного ПО
Ищет ещё сайты с информацией о индикаторах
компрометации систем данным вредоносным ПО,
собирает информацию из интернета
Находит статью,
описывающую индикаторы
компрометации в интернете,
и ищет данные индикаторы
в SIEM
Находит другие внутренние
IP адреса, которые могут
быть потенциально
заражены данным
вредоносомНачинает расследование
вокруг этих
подозрительных
IP адресов
Работа аналитика в отделе ИБ
9. 9 IBM Security
УЗНАТЬ О НОВЫХ
АСПЕКТАХ СИТУАЦИИ
УМЕНЬШИТЬ НЕДОСТАТОК
ЗНАНИЙ ИБ
АНАЛИТИК ИБ и ИИАНАЛИТИК ИБ
Знания о ИБ
созданные
Человеком
• Использовать огромные массивы
существующих данных для
обнаружения новых шаблонов атак
• Становиться умнее и построить
“инстинкты ИБ”
!!!
Аналитики ИБ
одной компании
Когнитивные технологии,
эмулирующие человеческий
интеллект при работе со
сложными угрозами
• Приоретизировать угрозы и
подготовить рекомендации по их
устранению, с уверенностью,
масштабируемостью и скоростью
Чем может помочь искусственный интеллект
в работе аналитиков ИБ
10. 10 IBM Security
Устранение
Расследывание и
анализ влияния
Приоретиза
ция
инцидентов
ИИ помогает анализировать угрозы
Быстрый и точный анализ
угроз ИБ, для экономии
времени и ресурсов
От
минут
до
часов
УстранениеРасследывание и анализ влияния
Приоретизация
инцидентов
От
дней
до
недель
ИИ значительно уменьшает время расследования угроз,
конкретных инцидентов и время реакции на инцидент
11. 11 IBM Security
ИИ
для кибербезопасности
Собрание знаний
Базы угроз
Отчеты исследований
Книги по ИБ
Раскрытые уязвимости
Популярные сайты
Блоги и соцсети
Другое
События ИБ
Активность пользователей
Информация о конфигурациях
Данные сканирования
Логи систем и ПО
Политики ИБ
Другое
ПРОВЕРКА
ОБУЧЕНИЕ
АНАЛИЗ
Созданные Человеком
Знания в области ИБ Инструменты
Аналитики ИБ
ИИ позволяет больше проникать в суть через усвоение
обширного числа источников данных
12. 12 IBM Security
Обширные словари позволяют ИИ
объединять отдельные элементы единой сущности
Машинное обучение позволяет ИИ
самообучаться со временем
ИИ создает
графы знаний
ИИ применяет
аннотации к тексту
Логика
аннотаций
ПРОВЕРКА
АНАЛИЗ
ОБУЧЕНИЕ
Хэш
Индикаторы
Компрометации
Метод
Заражения
Имя Угрозы
Не просто поиск, важно научить ИИ понимать и
интерпретировать язык ИБ
13. 13 IBM Security
Оценка
и Вес
Извлечение
Доказательств
Объекты
Поиска
Вопрос
• Количество
• Близость
• Отношения
• Истины домена /
бизнес правила
Какие
уязвимости
относятся к
этому типу
заражения?
• Отчеты по
исследованиям
• Сайты ИБ
• Публикации
• Базы угроз
• Внутреннее
сканирование
• Информация
об активах
АНАЛИЗ
ОБУЧЕНИЕ
ПРОВЕРКА
Кроме простых алгоритмов ИИ оценивает дополнительные
доказательства
14. 14 IBM Security
• Расследования быстрее
• Легче вычищать бэклог
• Улучшить возможности расследований
• Множество тяжелой работы делается
заранее
Чем помогает ИИ
15. 15 IBM Security
Искусственный интеллектИнструменты Аналитики ИБ
ВНУТРЕННИЕ СОБЫТИЯ И
ИНЦИДЕНТЫ ИБ
ВНЕШНЯЯ БАЗА ЗНАНИЙ ИБ
Send to Watson for
Security
Интеграция ИИ с Инструментами Аналитики ИБ для
внедрения когнитивной безопасности
16. 16 IBM Security
ВЫЯВИТЬ Подозрительные
активности
ПОНЯТЬ • Целевые системы
• Мотив
• Объекты атаки
• Продолжительность
ВЫЯВИТЬ Скомпрометированные
хосты
ПОНЯТЬ • Целевые уязвимости
• Объекты атаки
• Последствие атаки
• Размер атаки
ВЫЯВИТЬ Начало заражения
ПОНЯТЬ • Название
• Группу
• Источники
• Метод доставки
• Влияние
ИИ автоматизирует когнитивные задачи необходимые для обогащения
инцидентов ИБ.
Аналитики ИБ наделяются действенными вводными для выявления и
понимания сложных угроз.
ВРЕДОНОСНОЕ
ПО
ЭКСПЛОИТЫ
ПОДОЗРИТЕЛЬНЫЕ
АКУТИВНОСТИ
Выявлять и понимать сложные угрозы
17. 17 IBM Security
Усилить
аналитиков
Ускорить реакцию
через внешний
интеллект
Выявлять угрозы
через
расширенную
аналитику
Усилить
безопасность
приложений
Снизить
потенциальны
е риски
Несколько потенциальных примеров использования,
где когнитивная кибербезопасность играет ключевую роль
23. 23 IBM Security
Когнитивные технологии IBM Watson for Cyber Security
X-Force Exchange
Базы угроз
доверительных партнеров
Другие базы угроз
Open source
Ответы на бреши
Отчеты по атакам
Лучшие практики
Курс действий
Исследования
Web-сайты
Блоги
Новости
Крупнейшее собрание
знаний в области
кибербезопасности
10 Млрд элементов плюс
4 Млн добавляется ежечасно
1,25 Млн документов плюс
15 Тысяч добавляется ежедневно
Миллионы
Документов
Миллиарды
Элементов Данных
Структурированные
данные
НЕструктурированные
данные
Поисковый робот
страниц интернета
5-10 обновлений в час!
100 тысяч обновлений в
неделю!