Der IT-Dienstleistungsriese IBM mit Hauptsitz in Armonk im US-Bundesstaat New York hat ein Cloud-natives SIEM (Security Information and Event Management) System angekündigt. SIEM-Systeme zentralisieren, korrelieren und analysieren Daten im gesamten IT-Netzwerk, um Sicherheitsprobleme zu erkennen.
IBMs Sicherheitsanalyse-System QRadar SIEM basiert gemäss Mitteilung auf einer offenen Grundlage und ergänzt die QRadar Suite, dem integrierten Portfolio von IBM Software zur Erkennung und Abwehr von Sicherheitsbedrohungen. QRadar wurde den Angaben zufolge entwickelt, um die tägliche Arbeit von Sicherheitsanalysten zu ergänzen und aufzuwerten. Künstliche Intelligenz (KI) helfe ihnen dabei, zeitaufwendige und sich wiederholende Aufgaben zu bewältigen und reiche ihnen gleichzeitig die Möglichkeit zur Hand, hoch priorisierte Bedrohungen effektiver zu finden und darauf zu reagieren.
Das neue Cloud-native QRadar SIEM soll als SaaS noch im 4. Quartal dieses Jahres verfügbar werden. Und es sei geplant, entsprechende Software-Lösungen für die On-Premises- und Multi-Cloud-Implementierung im Jahr 2024 anzubieten.
Basierend auf Red Hat OpenShift sei QRadar SIEM bereits auf grundlegender Ebene offen und ermögliche damit eine tiefere Interoperabilität mit Tools und Clouds verschiedener Anbieter. Es nutzt demnach Open-Source und offene Standards für Kernfunktionen wie Erkennungsregeln und Suchsprache. So könnten Unternehmen es über ihren umfassenderen Sicherheits- und Technologiestacks hinweg einsetzen.
Konkret nutzt das Cloud-native SIEM von Big Blue eine gemeinsame Sprache für Erkennungsregeln (Sigma). Damit ermögliche es Anwenderfirmen neue, von der Sicherheitscommunity bereitgestellte Erkennungsregeln ("crowdsourced detections") schnell und direkt zu importieren, während sich Bedrohungen entwickeln. Zudem biete das System Funktionen für föderierte Suche und Threat-Hunting, die auf Open-Source-Technologien basieren und es Analysten ermöglichten, aktiv nach Bedrohungen in Cloud- und lokal gespeicherten Datenquellen auf einheitliche Weise zu suchen, ohne Daten aus ihrer ursprünglichen Quelle zu verschieben. Letztlich basiert das Cloud-native SIEM auf dem QRadar-Ökosystem, einem der grössten Partnernetzwerke der Branche mit mehr als 700 vordefinierten Integrationen.
Mit der QRadar Suite können Unternehmen über ASM-Funktionen (Attack Surface Management) einen Einblick in ihre gefährdeten Ressourcen gewinnen, toolübergreifend nach Bedrohungen suchen, sich mit EDR am Endpunkt schützen und eine Verbindung zu automatisierten Playbooks herstellen, um die Reaktion zu beschleunigen (SOAR). QRadar SIEM verspricht Anwendern übergreifende Einblicke und automatisierte Aktionen über ihre wichtigsten Tools hinweg. Der Zugriff erfolgt direkt über die primäre Benutzeroberfläche, ohne dass zwischen den verschiedenen Tools gewechselt werden muss.
QRadar SIEM wendet den Infos gemäss mehrere Ebenen von KI und Automatisierung an, um die Qualität von Alerts und die Effizienz von Sicherheitsanalysten zu verbessern. Diese ausgereiften KI-Funktionen seien auf Millionen von Alerts aus dem weitreichenden IBM Kundennetz vortrainiert und nach der Implementierung weiter optimiert worden, um die Umgebung jedes Kunden zu berücksichtigen. Beispielsweise verfüge QRadar SIEM über eine KI-Funktionalität, die automatisch föderierte Suchen über verbundene Systeme hinweg ausführt, um eine visuelle Zeitachse für Angriffe, MITRE ATT&CK-Zuordnungen und empfohlene Aktionen zu generieren. Analysten sollen daduch einen erheblichen Vorsprung bei den Untersuchungsaufgaben erhalten. Zudem würden die Analysen von QRadar SIEM kontinuierlich und automatisch mit neuen Erkennungsregeln und Bedrohungsdaten aktualisiert, um mit sich entwickelnden Bedrohungen Schritt zu halten.
IBM plant die Veröffentlichung generativer KI-Sicherheitsfunktionen für die QRadar Suite Anfang 2024 basierend auf Watsonx, der KI- und Datenplattform des Unternehmens. Dadurch soll der Zeitaufwand und die Ressourcen von Sicherheitsteams optimiert werden, indem die Suite bestimmte zeitintensive Aufgaben für die Analysten erledigt und es ihnen gleichzeitig erleichtert, anspruchsvollere und höherwertige Arbeiten durchzuführen. Beispiele sind laut dem Armonker Konzern:
- Automatisierung der Berichterstellung: Erstellung einfacher Zusammenfassungen von Sicherheitsfällen und -vorfällen, die mit einem einzigen Klick mit verschiedenen Stakeholdern geteilt werden können.
- Beschleunigung des Threat-Huntings: Automatische Generierung von Suchen zur Erkennung von Bedrohungen auf der Basis von Beschreibungen von Angriffsverhalten und -mustern in natürlicher Sprache. Das ermögliche Unternehmen eine schnellere Reaktion auf neue Bedrohungskampagnen.
- Interpretation maschinengenerierter Daten: Unterstützung der Analysten beim schnelleren Verständnis von Sicherheitsprotokolldaten, indem einfache Erläuterungen zu Ereignissen bereitgestellt werden, die auf einem System aufgetreten sind – hierdurch würden technische Barrieren abgebaut und die Untersuchungen von Ereignissen beschleunigt.
- Bedrohungsdaten kuratieren: Relevante Bedrohungsdaten interpretieren und zusammenfassen, um sich auf Kampagnen zu konzentrieren, bei denen die Wahrscheinlichkeit höher ist, dass sie Anwenderunternehmen aufgrund ihres individuellen Risikoprofils betreffen.
IBM entwickelt ausserdem vorausschauende Sicherheitsfunktionen für generative KI, die darauf trainiert werden, aktive Antworten zu erstellen, die im Laufe der Zeit optimiert werden. Beispielsweise helfe das Sicherheitsteams ähnliche Vorfälle zu finden, betroffene Systeme zu aktualisieren und anfälligen Code zu korrigieren.
Über diese Anwendungsfälle hinaus plant IBM zudem, generativer KI im gesamten Portfolio der Sicherheitssoftware und -services einzubetten. Diese Funktionen sollen die Watsonx-Infrastruktur sowie Watsonx-KI-Modelle nutzen. Diese seien mit kuratierten, domänenspezifischen Datensätzen trainiert worden, um mehr Vertrauen, Transparenz und Genauigkeit zu bieten, heisst es aus Armonk.
