Abonnieren Sie unseren NEWSLETTER

Heutige Hybrid-Cloud-Umgebungen entwickeln sich weiter und skalieren mit exponentieller Geschwindigkeit, wodurch eine größere und komplexere Angriffsfläche entsteht, die Unternehmen schützen müssen. Die stetig wachsende IT-Umgebung macht es für Sicherheitsteams schwieriger, ernsthafte Bedrohungen unter der Vielzahl an Meldungen zu finden. Zusätzlich werden ihre Anstregungen durch isolierte Technologien, manuelle Suchvorgänge und eine Flut von Warnmeldungen ohne klaren Kontext oder verständliche Visualisierungen erschwert. Laut einer kürzlich durchgeführten weltweiten Umfrage schaffen SOC-Fachleute an einem normalen Arbeitstag weniger als die Hälfte (49 %) der Alerts, die sie überprüfen sollen.

Das neue Cloud-native IBM QRadar SIEM baut auf QRadars 13-jähriger Marktführerschaft und Anerkennung durch Analysten für tiefgehende Sicherheitsanalysen auf. Die Cloud-native Lösung zeichnet sich durch eine neu gestaltete Architektur für die hocheffiziente Datenaufnahme, eine schnelle Suche und eine Analyse im großen Maßstab aus. Die Security-Lösung basiert auf einer offenen Grundlage und ist die neueste Ergänzung der QRadar Suite, dem integrierten Portfolio von IBM Software zur Erkennung und Abwehr von Sicherheitsbedrohungen. QRadar wurde entwickelt, um die tägliche Arbeit von Sicherheitsanalysten zu ergänzen und aufzuwerten. KI hilft ihnen dabei, zeitaufwendige und sich wiederholende Aufgaben zu bewältigen und gibt ihnen gleichzeitig die Möglichkeit, hoch priorisierte Bedrohungen effektiver zu finden und darauf zu reagieren.

Das neue Cloud-native QRadar SIEM wird als SaaS im 4. Quartal 2023 verfügbar sein. Es ist geplant, entsprechende Software-Lösungen für die On-Premises- und Multi-Cloud-Implementierung im Jahr 2024 anzubieten.

Open at its Core: Basierend auf Red Hat OpenShift ist QRadar SIEM so konzipiert, dass es bereits auf grundlegender Ebene offen ist und damit eine tiefere Interoperabilität mit Tools und Clouds verschiedener Anbieter ermöglicht. Es nutzt Open-Source und offene Standards für Kernfunktionen wie Erkennungsregeln und Suchsprache. So können Unternehmen es über ihren umfassenderen Sicherheits- und Technologiestacks hinweg einsetzen.
Das Cloud-native SIEM
• Nutzt eine gemeinsame Sprache für Erkennungsregeln (SIGMA). Damit ermöglicht es Kunden neue, von der Sicherheitscommunity bereitgestellte Erkennungsregeln („crowdsourced detections“) schnell und direkt zu importieren, während sich Bedrohungen entwickeln.
• Bietet einzigartige Funktionen für föderierte Suche und Threat-Hunting, die auf Open-Source-Technologien basieren und es Analysten ermöglichten, proaktiv nach Bedrohungen in Cloud- und lokal gespeicherten Datenquellen auf einheitliche Weise zu suchen, ohne Daten aus ihrer ursprünglichen Quelle zu verschieben.
• Basiert auf dem QRadar-Ökosystem, einem der größten Partnernetzwerke der Branche mit mehr als 700 vordefinierten Integrationen.
Verbundene Erkennung, Untersuchung & Reaktion: Als Teil der QRadar Suite bietet das neue Cloud-native SIEM Kunden Zugriff auf eine Vielzahl von integrierten Funktionen, die eine proaktivere Erkennung, Untersuchung und Reaktion über verschiedene Tools hinweg ermöglichen. Mit der QRadar Suite können Unternehmen über ASM-Funktionen (Attack Surface Management) einen Einblick in ihre gefährdeten Ressourcen gewinnen, toolübergreifend nach Bedrohungen suchen, sich mit EDR am Endpunkt schützen und eine Verbindung zu automatisierten Playbooks herstellen, um die Reaktion zu beschleunigen (SOAR). QRadar SIEM bietet Anwendern übergreifende Einblicke und automatisierte Aktionen über ihre wichtigsten Tools hinweg. Der Zugriff erfolgt direkt über die primäre Benutzeroberfläche, ohne dass zwischen den verschiedenen Tools gewechselt werden muss.
Auf Unternehmen abgestimmte KI und Automatisierung: QRadar SIEM wendet mehrere Ebenen von KI und Automatisierung an, um die Qualität von Alerts und die Effizienz von Sicherheitsanalysten zu verbessern. Diese ausgereiften KI-Funktionen wurden auf Millionen von Alerts aus dem weitreichenden IBM Kundennetz vortrainiert und nach der Implementierung weiter optimiert, um die einzigartige Umgebung jedes Kunden zu berücksichtigen. Beispiele:
• Priorisierung von Alerts: Verwendet KI, um auftretende Meldungen zu reduzieren und die Qualität von Alerts zu verbessern. Automatische Depriorisierung von Alerts mit niedrigem Risikopotenzial, während Alerts mit hoher Priorität automatisch gruppiert, kontextualisiert und eskaliert werden. Dies erfolgt unter Berücksichtigung des Risikokontexts aus laufender Information zur Bedrohungslage und Antwortmustern der Analysten. Diese Funktionalität ermöglichte es IBM Consulting Cybersecurity Services 85 % des Alert-Managements für Kunden zu automatisieren[3] und die Triage von Sicherheitsbedrohungen im ersten Jahr der Nutzung um 55 % zu beschleunigen.[4]
• Untersuchung von Sicherheitsbedrohungen: KI-Funktionalität, die automatisch föderierte Suchen über verbundene Systeme hinweg ausführt, um eine visuelle Zeitachse für Angriffe, MITRE ATT&CK-Zuordnungen und empfohlene Aktionen zu generieren. Analysten erhalten so einen erheblichen Vorsprung bei den Untersuchungsaufgaben.
• Adaptive Erkennung: Die Analysen von QRadar SIEM werden kontinuierlich und automatisch mit neuen Erkennungsregeln und Bedrohungsdaten aktualisiert, um mit sich entwickelnden Bedrohungen Schritt zu halten.
Die KI-Sicherheitsfunktionen von IBM sind nativ in die Benutzeroberfläche der QRadar Suite integriert. Sie bieten Analysten kontextbezogene Einblicke und helfen ihnen, KI intuitiver in ihren regulären Workflows zu nutzen.
Generative KI zur Beschleunigung der SOC-Produktivität
IBM plant die Veröffentlichung generativer KI-Sicherheitsfunktionen für die QRadar Suite Anfang 2024 basierend auf watsonx, der KI- und Datenplattform des Unternehmens. IBM entwickelt generative KI, um Zeitaufwand und Ressourcen von Sicherheitsteams zu optimieren, indem sie bestimmte zeitintensive Aufgaben für die Analysten erledigt und es ihnen gleichzeitig erleichtert, anspruchsvollere und höherwertige Arbeiten durchzuführen. Beispiele sind:
• Automatisierung der Berichterstellung: Erstellung einfacher Zusammenfassungen von Sicherheitsfällen und -vorfällen, die mit einem einzigen Klick mit verschiedenen Stakeholdern geteilt werden können.
• Beschleunigung des Threat-Huntings: Automatische Generierung von Suchen zur Erkennung von Bedrohungen auf der Basis von Beschreibungen von Angriffsverhalten und -mustern in natürlicher Sprache. Das ermöglicht Unternehmen eine schnellere Reaktion auf neue Bedrohungskampagnen.
• Interpretation maschinengenerierter Daten: Unterstützung der Analysten beim schnelleren Verständnis von Sicherheitsprotokolldaten, indem einfache Erläuterungen zu Ereignissen bereitgestellt werden, die auf einem System aufgetreten sind – hierdurch werden technische Barrieren abgebaut und die Untersuchungen von Ereignissen beschleunigt.
• Bedrohungsdaten kuratieren: Relevante Bedrohungsdaten interpretieren und zusammenfassen, um sich auf Kampagnen zu konzentrieren, bei denen die Wahrscheinlichkeit höher ist, dass sie Kunden aufgrund ihres individuellen Risikoprofils betreffen.
IBM entwickelt außerdem vorausschauende Sicherheitsfunktionen für generative KI, die darauf trainiert werden, aktive Antworten zu erstellen, die im Laufe der Zeit optimiert werden. Beispielsweise hilft das Sicherheitsteams ähnliche Vorfälle zu finden, betroffene Systeme zu aktualisieren und anfälligen Code zu korrigieren.
Über diese Anwendungsfälle hinaus plant IBM generativer KI im gesamten Portfolio der Sicherheitssoftware und -services einzubetten. Diese Funktionen werden die watsonx-Infrastruktur sowie watsonx-KI-Modelle nutzen. Diese wurden mit kuratierten, domänenspezifischen Datensätzen trainiert, um mehr Vertrauen, Transparenz und Genauigkeit zu bieten.