Temat Numeru | Bezpieczeństwo Instytucji Finansowych – IT Solution Factor | Z IBM QRadar SIEM skuteczniej wykrywaj zagrożenia i ustalaj ich priorytety
Nowoczesne organizacje, w tym banki, powinny dążyć do tego, by ich infrastruktura obliczeniowa była bezpieczna, zgodna z przepisami regulacyjnymi i dobrze zarządzana. Badania przeprowadzone przez firmę analityczną Aberdeen wykazały, że taka kolejność w nadaniu priorytetu tym trzem celom jest skorelowana z osiąganiem przez organizacje największej wydajności. Platformowe podejście do monitorowania bezpieczeństwa i prowadzenia analiz pomaga też w pełniejszym wykorzystaniu bardzo dużej liczby danych generowane przez istniejącą już infrastrukturę obliczeniową firmy. Włączenie w analizę zdarzeń dotyczących bezpieczeństwa technologii związanych ze sztuczną inteligencją (AI) i uczeniem maszynowym (ML) automatyzuje w trakcie ataków: gromadzenie, korelację, ocenę i rozpowszechnianie informacji „kto, co, gdzie, kiedy i jak”. To pozwala analitykom zajmującym się bezpieczeństwem np. w banku, poświęcać więcej czasu na przeprowadzenie dokładniejszych analiz.
Te nowoczesne technologie i platformowe podejście do monitorowania bezpieczeństwa oraz prowadzenia analiz zagrożeń, wykorzystują obecnie tylko najlepsi dostawcy rozwiązań SIEM, w tym koncern IBM. W ocenie analityków z firmy Aberdeen, jeśli chodzi o wpływ szybkiego podejmowania działań w trakcie naruszeń bezpieczeństwa na prowadzony biznes, to w przypadku ataków na dostępność infrastruktury 2x szybsze działanie to o 75% mniejszy, a 10x szybsze to o 95% mniejszy wpływ na prowadzoną działalność. W przypadku ataków na poufność 2x szybsze działanie podejmowane przez firmę to o 25% mniejszy, a 10x szybsze to o 75% mniejszy wpływ ataków na jej działalność biznesową.
Dlaczego warto wybrać sprawdzonego producenta oraz doświadczonego dostawcę?
Jedną z podstaw bezpieczeństwa w organizacjach jest identyfikacja zdarzeń, które mają dla niej największe znaczenie. IBM QRadar pomaga zespołom ds. bezpieczeństwa dokładniej wykrywać zagrożenia i ustalać ich priorytety w całej organizacji, a także zapewnia inteligentne monitorowanie, umożliwiające szybką reakcję w celu zmniejszenia wpływu incydentów na prowadzoną działalność. Dzięki konsolidacji zdarzeń dziennika i danych z tysięcy urządzeń, punktów końcowych i aplikacji rozproszonych w całej sieci firmy, QRadar koreluje wszystkie te informacje i agreguje powiązane zdarzenia w pojedyncze alerty. Pozwala to przyspieszyć analizę incydentów i dzięki temu ich usuwanie. Jakość rozwiązań SIEM ocenia się z punktu widzenia korzyści, jakie przynoszą organizacjom. Można je podzielić na trzy główne działy: bezpieczeństwo, analityka IT oraz korzyści finansowe i operacyjne. Warto też dodać, że IBM QRadar SIEM jest dostępny lokalnie oraz w nowoczesnym środowisku chmurowym. Nie mniej od samego rozwiązania ważne jest powierzenie projektu dostawcy, który ma doświadczonych inżynierów oraz możliwość oferowania szerokiego spektrum usług, które sprawią, że rozwiązanie będzie uszyte na miarę potrzeb konkretnej organizacji. Przykładem takiego właśnie integratora może być firma IT Solution Factor.
Bezpieczeństwo
IBM QRadar SIEM jest nowoczesnym rozwiązaniem do rozpoznawania zagrożeń. Wykorzystuje się w nim dobrze identyfikowane wzorce ataków z wykorzystaniem reguł, jak też wykrywanie symptomów ataków, takich jak: anomalie w działaniu aplikacji, odstępstwa od normy w ruchu sieciowym lub w zachowaniu się pracowników. Rozwiązanie IBM QRadar standardowo oferuje ponad 350 reguł identyfikacji zagrożeń z możliwością dodatkowego ich uzupełnienia o 1200 reguł opracowywanych przez społeczność i dostępnych za darmo przez stronę IBM X-Force App Exchange.
Eksperci firmy IT Solution Factor, która ma status Złotego Partnera IBM, również pomagają przygotować dodatkowe reguły, biorąc pod uwagę specyfikę danej organizacji. QRadar wspiera elementy infrastruktury, z której zbierane są zdarzenia, analizę ruchu sieciowego oraz wykorzystanie innych zewnętrznych źródeł informacji (np. takich, jak Threat Feed). To daje pełną widoczność zagrożeń występujących w infrastrukturze np. banku. Obecnie system zapewnia wsparcie automatycznej identyfikacji i parsowania logów dla około 400 różnych urządzeń oraz dostawców. Dzięki dużej liczbie systemów, dla których są parsery, gotowych reguł oraz dzięki zaawansowanym silnikom wykrywania anomalii jest stawiany wśród konkurencyjnych rozwiązań jako najlepsze narzędzie do identyfikacji i obsługi zagrożeń. Uznana światowa firma analityczna Gertner przez ostatnie pięć lat wśród rozwiązań SIEM najwyżej oceniała rozwiązanie IBM QRadar.
Analityka IT
Filtrowanie i wizualizacja danych to jedna z unikalnych cech rozwiązania IBM. Umożliwia ono stosowanie wielu wyspecjalizowanych filtrów, mechanizmów agregujących, znaczników czasowych, operatorów logicznych i znaków wieloznacznych, co pozwala operatorowi konsoli w prosty sposób wyszukiwać oraz czytelnie prezentować gromadzone w systemie dane. Rozwiązanie IBM QRadar zbiera i analizuje informacje z wielu elementów infrastruktury firmy, dlatego dodatkowo można je wykorzystać do innych, nie tylko związanych z bezpieczeństwem działań operacyjnych i analitycznych.
Szeroki zakres zbieranych i analizowanych danych pozwala na budowanie zaawansowanych pulpitów prezentujących zagrożenia oraz ich wpływ na ciągłość świadczenia usług. Natomiast analityk bezpieczeństwa ma do dyspozycji zestaw narzędzi, dzięki którym może w prosty sposób sprawdzić źródło incydentu bezpieczeństwa, jego skalę, elementy składowe wektora ataku, oraz przeprowadzić analizę ich wpływu na działania operacyjne firmy. W ramach rozwiązania IBM możliwe jest skorzystanie z darmowej aplikacji UBA (User Behavioru Analysis). Dzięki niej możliwa jest identyfikacja ryzykownych, ze względu na bezpieczeństwo, zachowań użytkowników wewnątrz organizacji. Opcjonalnie IBM QRadar może być wyposażone w unikalną sztuczną inteligencję – Watson for Cyber Security, która wspomaga analitykę śledczą i umożliwia automatyczną analizę incydentów bezpieczeństwa dosłownie w ciągu kilku minut.
Korzyści finansowe i operacyjne
Firma analityczna Forrester oceniła korzyści biznesowe, jakie daje organizacji wdrożenie IBM QRadar SIEM. Jak stwierdzono, wpływa ono bezpośrednio na czas i efektywność wykrywania zagrożeń, co pozwala na ich szybszą identyfikację i w efekcie obniża ryzyko operacyjne oraz zmniejsza prawdopodobieństwo wystąpienia dużego incydentu bezpieczeństwa. Z kolei jak dobrze wiadomo, duże incydenty bezpieczeństwa w firmach, a tym bardziej w bankach, mają bezpośredni wpływ na reputację organizacji oraz jej wyniki finansowe. Zgodnie z wynikami raportu, wdrożenie IBM QRadar pozwalało uzyskać o 75% większą skuteczność w identyfikowaniu zagrożeń niż poprzednie rozwiązania stosowane w badanej organizacji. Podkreślono też lepszą w rozwiązaniu IBM identyfikację faktycznych incydentów oraz minimalizację tzw. fałszywych alarmów lub tzw. False-Positive. Dzięki temu operatorzy systemu i analitycy tracili znacznie mniej czasu na analizę fałszywych incydentów, co pozwalało wysoko wykwalifikowanym pracownikom działów bezpieczeństwa zająć się wykonywaniem innych zadań. IBM QRadar SIEM wspiera też raportowanie zgodności z politykami bezpieczeństwa oraz regulacjami prawnymi. Wykorzystanie zaawansowanych raportów i reguł korelacyjnych informujących o możliwych naruszeniach polityk bezpieczeństwa oszczędza w istotny sposób czas potrzebny na przygotowywanie raportów zarówno dla audytorów, jak i na potrzeby wewnętrznych działów bezpieczeństwa.
Najwyższy czas przejść w zakresie SIEM od stosowania tylko prostych narzędzi do spełnienia wymagań związanych z bezpieczeństwem oraz raportowania incydentów, a przyjąć bardziej strategiczne, proaktywne podejście do monitorowania bezpieczeństwa i prowadzenia jego nowoczesnych analiz. Dzięki IBM QRadar zyskujemy też narzędzie do sprzężenia zwrotnego, które pozwala proaktywnie poprawiać wykrywanie zagrożeń i automatyzować procesy ich powstrzymywania.
