IBM ha annunciato un’importante evoluzione della sua tecnologia QRadar SIEM, progettata su una nuova architettura cloud-native e sviluppata per incrementare la scalabilità, la flessibilità e velocità di utilizzo nei vari ambienti.
L’azienda ha inoltre condiviso i propri piani per il rilascio di funzionalità basate su intelligenza artificiale di tipo generativo all’interno del proprio portafoglio di threat detection and incident response, sfruttando watsonx, la piattaforma di dati e intelligenza artificiale pronta per l’uso aziendale.
Gli ambienti cloud ibridi di oggi – sottolinea IBM – si stanno evolvendo rapidamente, creando una superficie di attacco più ampia e complessa da proteggere. A causa dell’elevata quantità di dati da analizzare, delle tecnologie non integrate, del lavoro manuale e del sovraccarico di alert, è sempre più difficile individuare rapidamente le effettive minacce.
Secondo un recente sondaggio globale (Global Security Operations Center Study, 2022 condotto da Morning Consult e sponsorizzato da IBM), i professionisti delle aziende che operano nei Security Operation Center (SOC) riescono ad analizzare meno della metà (49%) degli avvisi che dovrebbero esaminare in una tipica giornata lavorativa.
“Il nostro nuovo SIEM cloud-native è un elemento fondamentale della strategia IBM per far evolvere tutta la sua piattaforma di sicurezza verso l’utilizzo di modelli di cloud ibrido e di pieno sfruttamento degli algoritmi di AI”, ha dichiarato Kevin Skapinetz, Vice President, Strategy and Product Management, IBM Security. “Invece di costringere gli analisti ad aggirare la complessità delle tecnologie di sicurezza, stiamo progettando una tecnologia per rimuovere la complessità, eliminando il rumore, semplificando l’esperienza utente e consentendo agli analisti di affrontare le minacce urgenti con maggiore velocità e fiducia”.
Basato su standard aperti, il nuovo IBM QRadar SIEM cloud-native, con un’architettura riprogettata per l’ingestione dei dati altamente efficiente, la ricerca rapida e l’analisi su larga scala, è l’ultima novità di QRadar Suite, il portafoglio integrato di software di IBM per il threat detection and incident response. QRadar è stato progettato per aumentare e migliorare il lavoro quotidiano degli analisti di sicurezza, utilizzando l’AI per gestire le attività ripetitive e dispendiose in termini di tempo, consentendo loro di individuare e rispondere in modo più efficiente alle minacce ad alta priorità.
Il SIEM cloud-native sarà inizialmente disponibile in SaaS a partire dal quarto trimestre del 2023, con successive release on-premise e multi-cloud nel 2024.
Open design: basato su Red Hat OpenShift, QRadar SIEM è progettato per essere un sistema aperto, che consente una maggiore interoperabilità con cloud e strumenti di diversi fornitori. Utilizza l’open source e gli standard aperti per le principali funzioni, incluse le regole di rilevamento e il linguaggio di ricerca, consentendogli di lavorare in modo trasversale rispetto agli stack tecnologici e di sicurezza delle aziende.
- Sfrutta un Linguaggio Comune e Condiviso per le Regole di Rilevamento (SIGMA) che consente ai clienti di importare rapidamente nuove regole sviluppate dalle community di sicurezza in base all’evoluzione delle minacce.
- Offre esclusive funzionalità di ricerca federate e di ricerca delle minacce basate su tecnologie open source, che consentono agli analisti di ricercare e analizzare in modo proattivo le minacce tra le fonti di dati cloud e on-premise indipendentemente dalla tecnologia, senza spostare i dati dalla loro fonte originale.
- Si basa sull’ecosistema QRadar, una delle più grandi reti di partner del settore con oltre 700 integrazioni già disponibili.
Rilevamento, Indagine e Risposta integrati: come parte di QRadar Suite, evidenzia IBM, il nuovo SIEM cloud-native offre ai clienti l’accesso a una vasta gamma di funzionalità integrate che possono consentire il rilevamento, l’indagine e la risposta più rapidi tra i vari strumenti. Con QRadar Suite, le aziende possono ottenere visibilità sulle risorse esposte tramite funzionalità di gestione delle superfici di attacco (ASM), ricercare le minacce tra i vari insiemi di strumenti, proteggere gli endpoint con l’EDR e connettersi ai playbook automatizzati per accelerare la risposta (SOAR). QRadar SIEM consente agli utenti di avere informazioni condivise e azioni automatizzate attraverso i principali strumenti, a cui si accede direttamente da un’unica interfaccia, senza dover passare da uno strumento all’altro.
Automazione e intelligenza artificiale: QRadar SIEM applica più livelli di intelligenza artificiale e automazione per migliorare la qualità degli avvisi e l’efficienza degli analisti di sicurezza. Queste funzionalità di intelligenza artificiale sono state pre-addestrate su milioni di avvisi e perfezionate ulteriormente per tenere conto delle unicità di ciascun cliente. Ad esempio:
- Impostazione delle priorità degli avvisi: utilizza l’intelligenza artificiale per ridurre il rumore e migliorare la qualità degli avvisi. Il sistema elimina automaticamente gli avvisi a bassa priorità, mentre raggruppa, contestualizza e scala automaticamente gli avvisi ad alta priorità, tenendo conto del contesto di rischio derivante dalle fonti di threat intelligence e dai modelli di risposta degli analisti. Questa funzionalità ha consentito a IBM Consulting Cybersecurity Services di automatizzare l’85% della gestione degli alert e di accelerare le tempistiche di valutazione delle minacce del 55% nel primo anno di utilizzo.
- Investigazione assistita: funzionalità di intelligenza artificiale che esegue automaticamente le ricerche federate tra i sistemi connessi, generando un grafico della sequenza temporale degli attacchi, mappature MITRE ATT&CK e azioni consigliate, offrendo agli analisti un notevole vantaggio nelle attività di indagine.
- Rilevamento adattivo: l’analisi di QRadar SIEM viene aggiornata automaticamente con nuove regole di rilevamento e di threat intelligence su base continua, per stare al passo con le minacce in evoluzione.
Le funzionalità di sicurezza AI di IBM sono integrate nativamente nell’interfaccia di QRadar Suite, fornendo informazioni contestuali a portata di mano degli analisti e aiutandoli a trarre vantaggio dall’intelligenza artificiale in modo più intuitivo all’interno dei loro normali flussi di lavoro.
AI generativa per incrementare la produttività del SOC
IBM prevede anche di mettere a disposizione dei suoi clienti all’inizio del 2024 funzionalità di sicurezza con generative AI per QRadar Suite, basate su watsonx, la piattaforma di dati e AI dell’azienda.
IBM sta progettando modelli di generative AI per aiutare a ottimizzare il tempo e l’efficacia dei team di sicurezza nell’esecuzione di alcune attività ripetitive, per consentire agli analisti di concentrarsi su attività ad alto valore aggiunto. Ad esempio:
- Automatizza la creazione di report: crea riepiloghi di casi e di incidenti di sicurezza che possono essere facilmente condivisi con le parti interessate.
- Accelera la ricerca delle minacce: genera automaticamente le ricerche per rilevare le minacce in base alle descrizioni in linguaggio naturale dei comportamenti e dei modelli di attacco, aiutando ad accelerare le risposte a nuove minacce.
- Interpreta i dati generati automaticamente: aiuta gli analisti a comprendere rapidamente i dati dei log di sicurezza, fornendo spiegazioni degli eventi che si sono verificati su un sistema e accelerando le relative indagini.
- Migliora i dati di threat intelligence: interpreta e riepiloga le informazioni sulle minacce prioritarie, concentrandosi sulle campagne che hanno maggiori probabilità di colpire i clienti in base al loro profilo di rischio.
IBM sta, inoltre, sviluppando funzionalità di sicurezza basate su modelli di generative AI di tipo predittivo che verranno addestrate per creare risposte che si ottimizzano nel tempo, ad esempio, aiutando il team di sicurezza a trovare incidenti simili, aggiornare i sistemi interessati e correggere il codice vulnerabile.
Oltre a questi casi di uso, IBM prevede di integrare l’intelligenza artificiale generativa nel suo più ampio portafoglio di software e servizi di sicurezza. Queste funzionalità sfrutteranno l’infrastruttura watsonx e i modelli di AI watsonx, che sono stati addestrati su set di dati selezionati e specifici del dominio, progettati per offrire maggiore affidabilità, trasparenza e precisione.
