IBM lanza QRadar Suite

En la conferencia RSA, IBM presentó una expansión centrada en la plataforma de su producto de seguridad QRadar, diseñada para ser una solución integral que acelere la respuesta y ofrezca un marco unificado para los centros de operaciones de seguridad. Llamada QRadar Suite, este servicio nativo de la nube expande las capacidades en la detección de amenazas, investigaciones y tecnologías de respuesta, según la compañía.

IBM lanza QRadar Suite - Seguridad | Imagen 1 Newsmatic

El servicio tiene una experiencia de usuario en forma de panel de control integrado y automatización de inteligencia artificial para analizar amenazas y respuestas. Está diseñado para abordar el constante problema que suponen los centros de operaciones de seguridad: un panorama de amenazas que solo se expande, atacantes más sofisticados y la falta de personal para proteger los perímetros y cadenas de ataque de las empresas.

"Los equipos de los centros de operaciones de seguridad de hoy en día están protegiendo una huella digital en rápida expansión que se extiende por entornos de nube híbrida, lo que crea complejidad y dificulta mantenerse al ritmo de la aceleración de los ataques", según IBM, que también afirmó que los productos están diseñados específicamente para ayudar a reforzar los equipos de los centros de operaciones de seguridad que se enfrentan a investigaciones y procesos de respuesta intensivos en mano de obra, análisis manual y a la proliferación de herramientas, datos, puntos de contacto, APIs y otras posibles vulnerabilidades.

Índice de Contenido
  1. XDR, SIEM y SOAR
  2. AI, ¿el sine qua non de la seguridad?
  3. Plataformas versus vendedores individuales: ¿una dicotomía falsa?

XDR, SIEM y SOAR

En línea con una de las principales tendencias de RSA 2023 -plataformas unificadas en lugar de múltiples vendedores en seguridad-, IBM dijo que QRadar Suite incluye detección y respuesta ampliada (XDR), gestión de información y eventos de seguridad (SIEM) y orquestación, automatización y respuesta de seguridad (SOAR). También incluye una nueva capacidad de gestión de registros nativa de la nube, todo ello construido en torno a una interfaz de usuario común, conocimientos compartidos y flujos de trabajo conectados.

Emily Mossburg, líder mundial de ciberseguridad de Deloitte, dijo que SOAR se trata de automatizar el flujo de trabajo, mientras que SIEM es la recopilación de registros y eventos de seguridad, así como las reglas y políticas para definir el análisis sobre eso. "Consideraría que SOAR es la gestión del flujo de trabajo de seguridad. Los proveedores están tratando de simplificar toda la operación de seguridad y reducir el nivel de esfuerzo necesario para abordar los incidentes y realizar investigaciones", dijo.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Según ella, se trata de equilibrar la falta de analistas de seguridad. "Hay un elemento de equilibrar la brecha de talento y creo que la realidad es que hay un elemento de coste en esto. Las organizaciones no pueden gastar más en protegerse que los ingresos que generan. Si tuvieras ojos humanos en todo momento, no podrías permitirte la seguridad", afirmó.

IBM dijo que su SIEM QRadar tiene una nueva interfaz de analista unificada que proporciona conocimientos y flujos de trabajo compartidos con otras herramientas de operaciones de seguridad. IBM planea hacer que QRadar SIEM esté disponible como servicio en Amazon Web Services a finales del segundo trimestre de 2023.

AI, ¿el sine qua non de la seguridad?

En RSA, muchas empresas hablaron sobre las virtudes de la IA en seguridad, especialmente con el aumento de las alertas en los centros de operaciones de seguridad y la escasez de profesionales, especialmente en las empresas de tamaño mediano que son más vulnerables a ataques de phishing.

IBM Managed Security Services dice que está utilizando la IA para automatizar más del 70% del cierre de alertas y reducir los tiempos de triaje de alertas en un 55% en promedio dentro del primer año de implementación, según la compañía.

IBM dijo que QRadar utiliza la IA para:

  • Triage: La empresa dijo que, para priorizar y responder a las alertas, QRadar incluye IA entrenada en patrones de respuesta de analistas anteriores, junto con inteligencia de amenazas externas de IBM X-Force y conocimientos contextuales más amplios de todas las herramientas de detección.
  • Investigación: Modelos de IA que identifican incidentes de alta prioridad y comienzan automáticamente a investigar y generar una línea de tiempo y un gráfico de ataque del incidente basado en el marco MITRE ATT&CK, y recomendar acciones para acelerar la respuesta.
  • Hunting: QRadar utiliza un lenguaje de búsqueda de caza de amenazas de código abierto y capacidades de búsqueda federada para identificar ataques e indicadores de compromiso en entornos sin mover datos de su origen original.

Los elementos de diseño del sistema incluyen una experiencia de usuario en todos los productos destinada a facilitar el aumento de la velocidad y eficiencia de los analistas en la cadena del ataque y sus capacidades de IA. Se basa en la nube y se ofrece en AWS e incluye una capacidad de gestión de registros nativa de la nube.

Cómo proteger tu computadora de los virus: métodos y consejos

"Ante una superficie de ataque creciente y plazos de ataque cada vez más cortos, la velocidad y la eficiencia son fundamentales para el éxito de los equipos de seguridad con recursos limitados", dijo Mary O'Brien, gerente general de IBM Security, en un comunicado. "IBM ha diseñado la nueva QRadar Suite alrededor de una experiencia de usuario simplificada, incorporando IA y automatización sofisticadas para maximizar la productividad de los analistas de seguridad y acelerar su respuesta en cada etapa de la cadena del ataque", agregó.

Matt Olney, director de inteligencia de amenazas e interdicción en la unidad de inteligencia de amenazas de Cisco, dijo que es un momento emocionante para la IA y que un sistema que apoya a los analistas humanos es ideal. Sin embargo, le preocupa que, si bien la IA será más rápida, es posible que no sea mejor, y sugiere que la IA en servicio de seguridad plantea un enigma paradójico. "Estamos entrenando a la IA en internet, por lo que estamos creando cosas que pueden resolver todos estos problemas resueltos, pero si no nos hemos molestado en resolver los problemas, no podremos usar la IA para hacerlo", dijo.

Cisco presentó en RSA una versión conceptual temprana de su modelo de IA para seguridad AMES, que se moverá hacia una interfaz de lenguaje natural. Olney expresó su preocupación de que los sistemas de IA de seguridad eventualmente podrían eliminar puestos de seguridad de nivel inferior o Nivel 1, lo que podría obstaculizar la capacidad de las empresas para cubrir puestos de analistas de SOC de nivel superior, donde los problemas se resuelven de manera creativa, generando datos que mejorarían la IA. "Entonces, cuando comenzamos a entrenar a la IA, ¿en qué vamos a entrenarla que sea nuevo, si terminamos eliminando a estas personas?"

Plataformas versus vendedores individuales: ¿una dicotomía falsa?

Mossburg dijo que la tendencia de las plataformas sigue un punto de inflexión en la industria que se mostró claramente en RSA. "Durante mucho tiempo, nos hemos centrado en el mejor producto, la mejor trampa para ratones, y se ha vuelto complejo y difícil de gestionar. ¿Tiene sentido tener 100 de las mejores trampas para ratones si no tienes tiempo para colocarlas? Necesitamos pasar a un nivel de simplicidad para poder gestionar realmente lo que tenemos. Veremos más de esto en los próximos cinco años. Veremos una consolidación significativa", predijo.

Olney dijo que hay ventajas en tener un entorno unificado. "Hay muchas cosas que debemos tener en cuenta al tomar decisiones sobre en qué invertir, por lo que realmente quieres buscar lo que te brinda la mayor visibilidad y lo que se integra bien con el nivel de sofisticación actual de tu personal de seguridad. En última instancia, las herramientas son súper importantes, útiles y necesarias, pero en última instancia, las personas serán quienes definirán el éxito de tu programa de seguridad", dijo.

Enumeró las ventajas de tener un entorno unificado. "Tienes una mejor relación con los proveedores, tienes un gran poder de negociación y es más fácil capacitar a las personas. Además, tus contratos de soporte generalmente están unificados y eso ayuda con el financiamiento", dijo Olney.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Una desventaja es cuán probable es que una empresa destaque en todas las herramientas. "Si estoy asesorando a un cliente, les diré que deben tener una comprensión sólida de cuáles son sus necesidades de seguridad antes de buscar un producto de seguridad", dijo Olney, y agregó que las empresas deberían encontrar una solución que les brinde la máxima visibilidad y los controles más seguros que puedan aplicar para proteger su red cuando estén interactuando activamente con su adversario.

La conclusión es que la seguridad es difícil, dijo.

"No puedes simplemente comprar algo a un proveedor, conectarlo y decir que ahora estás seguro. Así no funciona este juego. Tiene que haber complementariedad entre las personas con las habilidades adecuadas, las herramientas adecuadas y capacidades y ponerlo todo junto", agregó.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a IBM lanza QRadar Suite , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.