IBM voegt het MITRE-framework aan QRadar Advisor toe

IBM Security breidt de mogelijkheden van de QRadar Advisor met Watson uit met het MITRE-framework. Dat machine learning systeem zal helpen bij het opsporen van cyberaanvallen, en “leert van de reacties van de beveiliging binnen een organisatie”.

Het AI-platform zal werken met behulp van de open-source MITRE ATT&CK kennisdatabank, die voorzien is van een archief met informatie over echte cyberaanvallen, technieken en exploits die misbruikt zijn om zakelijke beveiligingsmaatregelen te omzeilen. Binnen het overzicht is ook veel verschillende informatie te vinden, van http-aanvallen, tot de Dynamic Data Exchange, welke delen gehackt zijn, de gevolgen van een infectie en wat de securityteams in de toekomst kunnen verwachten.

Learning loops

IBM heeft de nieuwste versie van QRadar Advisor voorzien van wat het zelf ‘learning loops’ noemt. Dat zijn nieuwe analytische modellen en algoritmes die QRadar Advisor ertoe in staat stellen meer aanvalspatronen te herkennen. De kennis hierover kan het dan aanpassen aan de lokale omgeving. Daarnaast is er een systeem toegevoegd dat gebruikers een indicatie geeft van hoe waarschijnlijk een incident overeenkomsten vertoont met eerdere incidenten.

Volgens Chris Meenan, directeur van Security Intelligence Offering Management and Strategy bij IBM Security, zijn standaarden als MITRE ATT&CK cruciaal om de beveiliging van netwerken en apparaten te verbeteren. Aanvallers beschikken over steeds verfijndere technieken en om die een stap voor te blijven, moet de verdediging de best mogelijke zijn. “QRadar Advisor kan analisten van alle niveaus voorzien van de kennis die ze nodig hebben om beter te reageren op de bedreigingen waar ze mee te maken hebben.”

Handelingen aanraden

QRadar Advisor met Watson maakt gebruik van MITRE ATT&CK om die kennis een stap verder te nemen. QRadar Advisor biedt een weergave van hoe een aanval kan verlopen en IBM wil die objectieve data gebruiken om ook echt een aantal handelingen aan te kunnen raden.

Zo zou QRadar Advisor in het geval van een malwareinfectie kunnen aangeven welke delen van een netwerk waarschijnlijk geïnfecteerd zijn en welke informatie gestolen is. “Deze aanvullende inzichten van QRadar Advisor kunnen de vaardigheden van analisten vergroten en hen helpen de volledige grootte van een aanval te zien”.