Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM...

of 13 /13
Club IT am 27. Februar 2018 Watson for Cybersecurity Bringing the Power of Cognitive Security to the Security Analyst Bernhard Kammerstetter Client Technical Professional, IBM Österreich IBM Security Software © Copyright IBM Corporation 2018

Transcript of Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM...

Page 1: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Club IT am 27. Februar 2018

Watson for Cybersecurity

Bringing the Power of Cognitive Security to the Security Analyst

Bernhard KammerstetterClient Technical Professional, IBM Österreich

IBM Security Software

© Copyright IBM Corporation 2018

Page 2: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Was findet man auf Wikipedia über IBM Watson ®

Watson (Künstliche Intelligenz)

Watson ist ein Computerprogramm aus dem Bereich der Künstlichen Intelligenz. Es wurde von IBM entwickelt, um Antworten auf Fragen zu geben, die in digitaler Form in natürlicher Sprache eingegeben werden. Das nach Thomas J. Watson, einem der ersten Präsidenten von IBM, benannte Programm wurde als Teil des DeepQA-Forschungsprojektes entwickelt.[1]

Zur Demonstration seiner Leistungsfähigkeit konkurrierte das Programm in drei vom 14. bis 16. Februar 2011 ausgestrahlten Folgen der Quizsendung Jeopardy! mit zwei menschlichen Gegnern, die in der Show zuvor Rekordsummen gewonnen hatten. Die Partie, für die ein Preisgeld von einer Million Dollar ausgelobt war, wurde in den Medien daher mit dem Duell des Schachweltmeisters Garri Kasparow gegen den Computer Deep Blue verglichen.[2] Das System gewann das Spiel mit einem Endstand von $77.147 gegenüber den $24.000 bzw. $21.600 seiner menschlichen Konkurrenten.[3][4]

© Copyright IBM Corporation 2018

Page 3: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Cybersecurity ist eine globaleHerausforderung

Bis 2020 wird es …

5 Milliardenverlorengegangene Datensätzemit personenbezogenen Daten

20.8 Milliarden“things” (aka IOT’s) geben

$8 BillionenSchaden verursachtdurch Cybercrime

Derzeit werden

zu vieleTools von einer Vielzahlvon Herstellerneingesetzt

TOO MANY TOOLS

Durch GDPR/DSGVO drohen

Milliardenstrafenfür global agierendeUnternehmen

COMPLIANCEMANDATES

Bis 2022 wird es

1.8 Millionenoffene Stellen im Bereich Cybersecurity geben

SKILLSSHORTAGE

Gleichzeitig steigt der Druck auf Security

… geben.

© Copyright IBM Corporation 2018

Page 4: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Cognitive Threat Intelligence

IBM Watson for Cybersecurity

IBM QRadar Advisor with Watson

Kurzer Videoclip

Beispiel-Szenarien

© Copyright IBM Corporation 2018

Page 5: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

COGNITIVE, CLOUD,und COLLABORATION

Die nächste Security-Ära

INTELLIGENCE, INTEGRATION,und ORCHESTRATION

PERIMETER CONTROLS

© Copyright IBM Corporation 2018

Page 6: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Es existiert bereits ein riesiger Schatz an Security-Wissen und -Erfahrungen

• Industrie-Publikationen

• Forensik-Informationen

• Threat Intelligence Feeds

• Analysten-Berichte

• Konferenz-Präsentationen

Neue und aktuelle Quellen wie z. B.

• Newsletters

• Tweets

• Wikis

Ein Universum von Security-Wissen,

das derzeit noch ungenützt ist:

Im Moment werden davon nur ca. 8 % davon genützt.

Pro Jahr erscheinen ca.

Human Generated Knowledge

TraditionelleSecurity-Daten

Security-Eventspro Tag analysiert200K+

Security-Dokumenteaus der Forschung10K

Security-Blogs720K

Artikel mitSecurity-Bezug180K

gemeldete Software-Schwachstellen75K+

• Security-Events und -Alarme

• Log- und Konfigurations-Daten

• Benutzer- und Netzwerk-Aktivität

• Feeds über aktuelle Bedrohungen

Forrester Research : Can You Give The Business The Data That It Needs?

Die meisten Informationen werden von Menschen für Menschen erstellt!

© Copyright IBM Corporation 2018

Page 7: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Cognitive Threat Intelligence

IBM Watson for Cybersecurity

IBM QRadar Advisor with Watson

Kurzer Videoclip

Beispiel-Szenarien

© Copyright IBM Corporation 2018

Page 8: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Das Fundament für Cognitive Security

wöchentliche Updatesstündliche AktualisierungAktualisierung alle 5 Minuten

strukturierteSecurity-Informationen

X-Force Exchange Virus total

Open sourcePaid data

- Indicators- Vulnerabilities

- Malware names, …

- New actors- Campaigns- Malware outbreaks- Indicators, …

- Course of action- Actors

- Trends- Indicators, …

Crawling von kritischen, un-strukturierten Security-Daten

Crawling von Security-bezogenen Daten aus dem Web

Breach repliesAttack write-ups

Best practices

BlogsWebsitesNews, …

Filtering + Machine Learning

Entfernen von unnötigen oder doppelten Daten

Machine Learning / Natural Language Processing

Extrahieren und Anreichern der gesammelten Daten

Milliarden vonDaten-Elementen

Millionen von Dokumenten

5-10 Updates / Stunde! 100K Updates / Woche!

Refinement

gewaltiger Knowledge-

Graph für SecurityMilliarden von Nodes / Edges

IBM Watson for Cybersecurity - die Basis für IT-Security von morgen!© Copyright IBM Corporation 2018

Page 9: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

2017 - Evolution des Security-Paradigmas zu Cognitive Security

Das IBM Watson Knowledge Studio wird von IBM und achtPartnern (Unis) dazu verwendet, um in Watson for Cybersecurity Dokumente entsprechend zu interpretieren und z. B. Kontext zuTTP (Tactics, Techniques and Procedures), URLs etc. herzustellen.© Copyright IBM Corporation 2018

Page 10: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Cognitive Threat Intelligence

IBM Watson for Cybersecurity

IBM QRadar Advisor with Watson

Kurzer Videoclip

Beispiel-Szenarien

© Copyright IBM Corporation 2018

Page 11: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

Schritte bei der Abwehr von Cyber-Angriffen

SuspectedIncidents

Servers and mainframes

Data activity

Network & virtual activity

Application activity

Configuration information

Security devices

Users and identities

Vulnerabilities and threats

Global threat intelligence

Embedded Intelligence

Prioritized Incidents

Endpoint Intelligense

Instrumented Alerting and Security Analytics

Threat & Risk Detection Investigation & Qualification Incident Response

Cognitive Analysis

Manual security assessment requiring skilled resources

Guided or automated response processes

Advanced Orchestration

IBM Cognitive SOC (Security Operation Center).© Copyright IBM Corporation 2018

Page 12: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

QRadarAdvisor with

Watson

IBM QRadarEvent/Flow Correlation

IBM QRadarOffenses

IBM Watson forCybersecurity

IBM QRadar Platform

Stage 1: Visualisierung der Ereignisse und Zusammenhänge innerhalb einersogenannten IBM QRadar Offense

Stage 2: Anreicherung durch Information von Watson for Cybersecurity

Prozess-Schritt: Untersuchung auf Basis von Event/Flow-Relationen,Impact etc.

IBM QRadarAdvisor with Watson App

Übergabe an Watson

Zuweiseneines

Analysten

Event-Korrelation

Prozess-Schritt : Entscheiden und reagieren mitUnterstützung durchWatson

Events

IBM QRadar Advisor unterstützt den Analysten beim Untersuchen und

Einschätzen von kritischen ‘Offenses’

© Copyright IBM Corporation 2018

Page 13: Watson for Cybersecurity - WKO.at · IBM QRadar Event/Flow Correlation IBM QRadar Offenses IBM Watson for Cybersecurity IBM QRadar Platform Stage 1: Visualisierung der Ereignisse

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective.

IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

FOLLOW US ON:

THANK YOU