Analityka i BigData w służbie cyberbezpieczeństa

Date Venue

Next generation SOC Analityka i BigData w służbie cyberbezpieczeństa Tomasz Rostkowski Architekt - IBM Analytics

Zagrożenia cyberprzestępczości...złe wieści Ewolucja centrów operacji bezpieczeństwa (SOC) jest wyścigiem zbrojeń, w którym agresorzy są bezwzlędni i nie mogą zostać zlikwidowani. Dzisiejszyagresor (threat actor) jest bardzo inteligentny, dobrze zorganizowany, mocno zmotywowany i skupiony na celu... Dzisiejszy wektor ataku (threat vector) sposób i środki, przy pomocy których nieznany ktośwykonuje na wielu poziomach działania zaczepne oraz właściwy atak

Jak podnieść efektywność SOC 1 Więcej źródeł 3 Analityka predykcyjna 2 Wizualizacja powiązań

Narzędzia bezpieczeństwa + analityka = nowe możliwości Bezpieczeństwo Big Data Ciągły monitoring Normalizacja logów Korelacja danych Detekcja anomalii Zarządzanie incydentami Zintegrowane podejście Przetwarzanie dużych wolumentów danych Zaawansowane wizualizacja Repozytoria BigData Modele predykcyjne Mechanizmy self-learning Skupione na bezpieczeństwie Rozwiązanie pudełkowe Gotowe konektory Gotowe mechanizmy detekcji Parametryzacja Skupione na analityce Peta Bajty Dowolny typ danych Dowolne mechanizmy analityczne Modelowanie

Telefony Dostęp fizyczny Dane HR Media Szeroki kontekst analizy incydentów bezpieczeństwa Dane przestrzenne Dane IT? Dokumenty

Platforma IBM Big Data Analityka danych w ruchu Analityka danych w repozytorium Eksploracja danych

Integracja SIEM z BigData Platform Źródła danych Detekcja SOC igła w stogu siana 1 2 Netflow 1 Web/Email Proxy 5 Repozytorium Big Data 2 3 Analiza Big Data i śledztwo 1 Nowe dane Hadoop igła w stogu siana 4 Proces Logi i przepływy przesyłane do SIEMa Procesowanie SIEM Incydenty analizowane przez SOC Nowe dane ciągle ładowane do BigData Platform Zdarzenia i przepływy wysyłane do BigData Platform Przeszukiwanie informacji Analiza wizualna Zapis danych w repozytorium śledczym Wnioskowanie i aktualizacja reguł SIEM

Wizualizacja powiązań Tradycyjny SOC SOC nowej generacji Wizualizacja schematu symptomów Analiza powiązań danych Łączenie danych z różnych repozytoriów Wyszukiwanie, filtrowanie, analiza sieci Dokumentacja przypadku

https://www.youtube.com/watch?v=fznxhqdq47o

Globalna organizacja rynku instrumentów finansowych Cel Przestawić działania SOC z koncetracji na przetwarzaniu danych bezpieczeństwa i analizie alarmów na aktywne polowanie na cyber-przestępców Rozwiązanie IBM QRadar SIEM InfoSphere BigInsights repozytorium Hadoop I2 Intelligence Analysis Platform Nowe możliwości Analiza większego zakresu danych (historia) oraz nowych typów poczta, transakcje finansowe, media społecznościowe, procesy Wizualizacja powiązań i usprawnienie działań śledczych 12

Analityka pomaga specjalistom bezpieczeństwa Klasyfikacja Segmentacja Anomalie Szeregi czasowe Asocjacje Budowa modelu analitycznego Wybór najlepszego modelu Użycie modelu do detekcji Uczenie się modelu

Cognitive Cyber Defence (CCD) Tradycyjne rozwiązania bezpieczeństwa skupiają się na prewencji (Known-knowns), detekcji (Unknown-knowns)... CCD jest zaprojektowane aby wykrywać w czasie rzeczywistym zawansowane ataki APT (Unknown-unknowns) CCD to detektor z wytrenowanymi modelami predykcji z funkcją samo-uczenia się Podłącza się do istniejącej infrastruktury SIEM, BigData Modele automatycznie się aktualizują podążając za nowymi wektorami ataku Analizuje dane NetFlow i DNS w czasie rzeczywistym Może się skalować do 32TB przetwarzanych dziennie Zaawansowane raporty Rekonstrukcja topologii botnetu w I2 Zawansowane drążenie danych do celów śledczych Wspierane modele samo-uczące się: DNS Fast Fluxing (Predictive Black List) DNS Adaptive Profiling DNS Domain Profiling DNS Amplification Attack DNS Tunneling Cluster Based Multivariate Anomaly Detection Univariate Anomaly Detection Employing Fast Flux to create APT list and compare to real-time and/or historical outbound traffic

Dziękuję! SOC nowej generacji Tomasz Rostkowski tomasz.rostkowski@pl.ibm.com Tel: 601 606 955