Blog de Seguridad

QRadar y la seguridad cognitiva: grandes soluciones a grandes problemas

Escrito por Logicalis | 17/11/20 11:00

La ciberseguridad cognitiva no es parte del argumento de una novela de ciencia ficción ni el título del último estreno en cartelera. QRadar de IBM se basa en Watson, a la cabeza de las soluciones de computación cognitiva, para desarrollar un producto que, a día de hoy, es el único capaz de hacer frente a la creciente sofisticación y volumen de las amenazas a la seguridad de la información.

QRadar Advisor: las capacidades que el negocio necesita

La plataforma de inteligencia de seguridad de IBM se centra en mejorar las capacidades de los analistas para cubrir los vacíos de inteligencia y permitirles actuar con mayor precisión y rapidez. Es lo que necesitan hoy día las empresas, que a diario se deben enfrentar a brechas que sólo pueden salvarse si se cuenta con:

- Información actualizada, confiable y útil, no sólo de su propia infraestructura de seguridad, sino también de fuentes externas.

- Una perspectiva más completa sobre cada incidente de seguridad, que haga posible aumentar la consistencia de sus evaluaciones de riesgos y la confianza en la toma de decisiones, mejorando la gestión de vulnerabilidades. 

- Las capacidades necesarias para elaborar una respuesta contundente ante los riesgos de seguridad cibernética.

QRadar Advisor, el elemento nuclear de la plataforma IBM Cognitive SOC se especializa en la seguridad cognitiva, a la que tiene acceso mediante Watson.

 

Su misión es hacer posible la integración de tecnologías cognitivas avanzadas con la habilidad para responder a través de la nube, las redes, los end points y los usuarios y, para ello, incluye capacidades tan importantes como las de:

 a) Recogida de información procedente de la propia amenaza y de datos no estructurados de redes sociales, sitios web o blogs, entre otros.

b) Descubrimiento de relaciones ocultas en la información que consume.

c) Aprendizaje en tiempo real, para investigar y calificar automáticamente los incidentes de seguridad y asesorar a los analistas sobre la naturaleza y el alcance de un incidente.

Watson y QRadar Advisor: la seguridad de la unión en funcionamiento

Independientemente de la experiencia que hayan acumulado los analistas de seguridad a lo largo de su carrera y a pesar del esfuerzo que se invierta en el análisis, hay lugares a los que un ordenador puede llegar mucho más rápido y de forma mucho más exhaustiva, sobre todo si cuenta con una solución cognitiva.

Tal y como apuntan en SecurityIntelligence.com, al estudiar una infracción cometida por un usuario al tratar de conectarse a una IP de botnet y alertada por QRadar, un analista de seguridad halló 5 indicadores correlacionados de forma manual. En el mismo tiempo, Watson descubrió 50.

En el mismo artículo, exponen otro caso real en el que los analistas de seguridad, tras evaluar distintos indicios, concluyen que no se trata de un incidente de seguridad. Afortunadamente, la compañía contaba con los servicios de Watson que, en pocos minutos, averiguó que uno de los host estaba comprometido por un ataque DDoS.

El trabajo de QRadar Advisor con Watson se puede desgranar en las siguientes etapas:

  1. La plataforma QRadar Security Intelligence detecta un incidente de seguridad.
  2. El analista de la compañía decide asignarlo a QRadar Advisor con Watson para su investigación, después de buscar datos que ayuden a contextualizar el incidente empleando las funcionalidades de minería de datos que permite la misma plataforma.
  3. Se procede a lanzar a Watson la consulta que pondrá en marcha su labor de descubrimiento y recopilación de conocimiento en relación con el incidente, para lo que recurrirá a fuentes internas y externas.
  4. Watson utiliza el razonamiento cognitivo para descubrir información adicional y otras entidades de amenaza relacionadas con el incidente original, como archivos maliciosos, direcciones IP sospechosas, entidades deshonestas y las relaciones entre ellas.
  5. QRadar Advisor afina la información que recibe de Watson, en especial, en lo que respecta a los puntos clave relevantes para el incidente en cuestión.
  6. El analista se encuentra en disposición de tomar acción en base a este conocimiento, compartiendo con el equipo de respuesta evidencias e información acerca del incidente.
    QRadar unido al potencial de Watson aumenta la capacidad de la empresa para actuar a la velocidad necesaria y empodera a los analistas para tomar decisiones confiables, con el respaldo que la computación cognitiva aplicada a la seguridad les brinda.
    ¿Están seguros todos los end points del negocio? ¿Cuentan los analistas de seguridad de la organización con las soluciones punteras que les permitirán ser infalibles y elaborar respuestas puntales ante la amenaza?