这 2023 年数据泄露成本全球调查 发现广泛使用 人工智能(AI) 和 自动化 使组织受益于节省近 180 万美元的数据泄露成本,并将数据泄露识别和遏制速度平均加快 100 多天。 虽然调查显示几乎所有组织都使用或希望使用人工智能进行网络安全运营,但其中只有 28% 广泛使用人工智能,这意味着大多数组织 (72%) 尚未广泛或充分部署人工智能以实现其显着优势。
根据单独的 2023 年全球安全运营中心研究,SOC 专业人士表示,他们每天浪费近 33% 的时间来调查和验证误报。 此外,手动调查威胁会减慢他们的整体威胁响应时间(80% 的受访者),其中 38% 的受访者表示手动调查“大大”减慢了他们的速度。
组织面临的其他安全挑战包括:
- 网络技能差距和能力因团队紧张和员工流动而受到限制。
- 网络安全的预算限制以及组织受到充分保护的看法。
- 部署不足的工具和解决方案只能做到“足够好”,或者面临其他障碍,例如对完全自动化流程的风险厌恶,这可能会产生意想不到的后果。
这些研究的结果描绘了大多数安全运营团队面临的巨大压力。 显然,当今的组织需要新技术和方法来领先于攻击者和最新威胁。
需要利用人工智能和自动化采取更主动的网络安全方法
幸运的是,有一些解决方案已经显示出真正的好处,可以帮助克服这些挑战。 然而,人工智能和自动化通常以有限的方式使用,或者仅在某些安全工具中使用。 由于团队、数据和工具在孤岛中运行,威胁和数据泄露被遗漏或变得更加严重。 因此,许多组织无法更广泛地应用人工智能和自动化来更好地检测、调查和响应整个事件生命周期中的威胁。
新推出的 IBM 安全 QRadar 套件 提供人工智能, 机器学习(ML) 以及其集成的自动化能力 威胁检测和响应组合, 包括 EDR、日志管理和可观察性、 SIEM 和翱翔。 作为最成熟的之一 威胁管理 凭借可用的解决方案,QRadar 成熟的 AI/ML 技术可提供准确性、有效性和透明度,帮助消除偏见和盲点。 QRadar EDR 和 QRadar SIEM 使用这些高级功能可以帮助分析人员更准确地快速检测新威胁,并更有效地对安全警报进行上下文分析和分类。
为了提供更加统一的分析师体验,QRadar 套件集成了核心安全技术,以实现无缝工作流程和共享见解,并使用威胁情报报告进行模式识别和威胁可见性。 让我们仔细看看 QRadar EDR 和 QRadar SIEM,以展示如何使用 AI、ML 和自动化。
近乎实时的端点安全可预防和修复更多威胁
QRadar EDR 的网络助手功能是一种人工智能驱动的警报管理系统,它使用机器学习来自主处理警报,从而减少分析师的工作量。 网络助手从分析师的决策中学习,然后保留智力资本和学到的行为来提出建议并帮助减少误报。 QRadar EDR 的网络助手平均将误报数量减少了 90%。 [1]
这种持续学习的人工智能可以近乎实时地自主检测和响应以前未见过的威胁,甚至可以帮助最缺乏经验的分析师进行指导性修复和自动警报处理。 这样做可以为分析师腾出宝贵的时间来专注于更高级别的分析、威胁搜寻和其他重要的安全任务。
借助 QRadar EDR,安全分析师可以利用攻击可视化故事板做出快速、明智的决策。 这种人工智能驱动的方法可以通过易于使用的智能自动化来修复已知和未知的端点威胁,几乎不需要人工交互。 自动警报管理可帮助分析师专注于重要的威胁,帮助安全人员重新掌控并保障业务连续性。
指数级提升您的威胁检测和调查工作
为了增强组织紧张的安全专业知识和资源并提高其影响力,QRadar SIEM 的内置功能和附加组件使用先进的机器学习模型和 AI 来发现那些难以检测的威胁以及隐蔽的用户和网络行为。 QRadar 的机器学习模型使用根本原因分析自动化和集成来建立威胁和风险洞察的联系,显示出紧张的团队可能由于人员流动、缺乏经验以及威胁的复杂性和数量增加而错过的相互关系。 它可以确定根本原因分析,并根据模型所训练的知识和根据您的组织所面临的威胁构建的知识来协调后续步骤。 它为您提供减少平均检测时间 (MTTD) 和 平均响应时间 (MTTR),具有更快、更果断的升级过程。
高级分析有助于检测已知和未知的威胁,从而每次都推动一致且更快的调查,并使您的安全分析师能够做出数据驱动的决策。 通过进行自动 数据挖掘 通过威胁研究和情报,QRadar 使安全分析师能够在完全手动调查所需时间的一小部分时间内进行更彻底、一致的调查。 这包括识别受影响的资产、根据威胁情报源检查妥协指标 (IOC)、关联历史事件和数据以及丰富安全数据。 这使您的分析师能够将更多的时间和专业知识集中在战略威胁调查、威胁搜寻以及将威胁情报与调查相关联,以提供对每个威胁的更全面的了解。 在 Forrester Consulting 委托进行的一项研究中, 总体经济影响TM值 IBM Security QRadar SIEM 的 据估计,QRadar SIEM 减少了分析师调查事件的时间,价值达 280 万美元。 [2]
使用 QRadar SIEM 中的现有数据, 用户行为分析 应用程序 (UBA) 利用机器学习和自动化为网络内的用户建立风险概况,以便您可以更快地对可疑活动做出反应,无论是身份盗窃、黑客攻击、 网络钓鱼 或者 恶意软件 以便您可以更好地检测和预测组织面临的威胁。 UBA 的机器学习分析插件 通过添加 ML 分析用例来扩展 QRadar 的功能。 借助机器学习分析模型,您的组织可以通过预测建模和用户正常行为的基线来进一步了解用户行为。 ML 应用程序可帮助您的系统了解网络中用户的预期行为。
随着攻击者的技术变得更加复杂,IOC 和基于签名的威胁检测本身已不再足够。 组织还必须能够使用高级分析来检测网络行为的细微变化,这些变化可能表明现有的未知威胁,同时最大限度地减少误报。 QRadar 的网络威胁分析应用程序利用网络可见性来支持创新的机器学习分析,帮助自动发现环境中可能被忽视的威胁。 它了解网络上的典型行为,然后通过网络基线将实时传入流量与预期行为进行比较。 识别并监控异常网络活动,以提供最新的见解和检测。 该功能还为您的网络流量提供可视化分析叠加,使您的安全团队能够通过快速了解、调查和响应网络中的异常行为来节省时间。
了解有关 IBM Security QRadar Suite 的更多信息
虽然网络安全团队今天面临的挑战和复杂性确实令人畏惧且真实,但组织有一些选择可以帮助他们领先于攻击者。 越来越多的企业正在体验采用威胁检测和响应解决方案的好处,这些解决方案结合了经过验证的人工智能、机器学习和自动化功能,可以在整个事件生命周期中为分析师提供帮助。 依靠传统的工具和流程已不足以防范日益复杂和组织化的攻击者。
详细了解如何 IBM 安全 QRadar 套件 通过请求现场演示,我们可以了解利用人工智能和自动化以及 SIEM、EDR、SOAR 等许多其他功能的威胁检测和响应产品。
[1] 这一减少基于 IBM 在 2022 年 7 月至 2022 年 12 月期间为均匀分布在欧洲、中东和亚太地区的九个不同客户内部收集的数据。实际性能和结果可能会因具体配置和操作条件而异。 [2] 总体经济影响TM值 IBM Security QRadar SIEM 是 Forrester Consulting 代表 IBM 于 2023 年 4 月委托进行的一项研究。基于对四位受访 IBM 客户建模的复合组织的预测结果。 实际结果将根据客户端配置和条件而有所不同,因此无法提供通常预期的结果。
