IBM QRadar Network Insights (QNI)
下面幾項(xiàng)有什么共同點(diǎn)?
99%的網(wǎng)絡(luò)攻擊以某種方式穿透網(wǎng)絡(luò)����。內(nèi)部攻擊收集本地系統(tǒng)數(shù)據(jù)- Enterprise Management Associates
將網(wǎng)絡(luò)分析更進(jìn)一步
QRadar事件取證和網(wǎng)絡(luò)數(shù)據(jù)包捕獲(QRadar Incident Forensics and Network Packet Capture)可以捕獲,重建并回放整個(gè)會(huì)話
事件響應(yīng)
事件偵察
QRadar 網(wǎng)絡(luò)洞察( QRadar Network Insights)也會(huì)讓你發(fā)現(xiàn)����,在會(huì)話中任何時(shí)候是否有可疑主題或你關(guān)注的主題
QFlow 提供網(wǎng)絡(luò)流分析的所有優(yōu)勢(shì),可以識(shí)別7層流中的應(yīng)用程序����,并可以捕獲進(jìn)程的包頭。
“網(wǎng)絡(luò)流量實(shí)質(zhì)上是網(wǎng)絡(luò)上兩個(gè)主機(jī)之間的對(duì)話記錄……這個(gè)信息很像電話賬單:你不能說(shuō)出談話中所說(shuō)的話��,但你可以用它來(lái)證明誰(shuí)和誰(shuí)說(shuō)話”。 – SANS Institute
QRadar網(wǎng)絡(luò)流分析
連續(xù)分析資產(chǎn):收集和監(jiān)視網(wǎng)絡(luò)通信����,自動(dòng)識(shí)別和分類新資產(chǎn),并發(fā)現(xiàn)他們正在運(yùn)行的服務(wù)和端口���。識(shí)別影子IT和他們?cè)诓渴鸬男略O(shè)備�����。
成功的通信/傳輸:通過(guò)觀察可見(jiàn)的下載/上傳量�����,了解可疑通信是否真的發(fā)生���。
異常檢測(cè):詳細(xì)分析時(shí)間活動(dòng),以提供對(duì)新的或意外行為的可見(jiàn)性�。
應(yīng)用監(jiān)測(cè)
未授權(quán)的流量:告警違反策略的行為和交通,例如�,發(fā)送到不可信的地理區(qū)域或不安全協(xié)議
協(xié)議誤用和濫用
可見(jiàn)性和合規(guī)
高級(jí)威脅檢測(cè):通過(guò)所有網(wǎng)絡(luò)流量(應(yīng)用程序、主機(jī)��、協(xié)議、網(wǎng)絡(luò)區(qū)域)的行為分析和異常檢測(cè)來(lái)檢測(cè)惡意軟件和病毒/蠕蟲(chóng)活動(dòng)
QRadar 網(wǎng)絡(luò)洞察(QRadar Network Insights)
QRadar QNI – 完善整個(gè)場(chǎng)景
填補(bǔ)重要空白
那是什么?
• 誰(shuí)和誰(shuí)在通信?
• 什么文件和數(shù)據(jù)在交換 ?
• 像惡意活動(dòng)嗎 ?
• 是否包含重要或敏感數(shù)據(jù)?
• 是否使用了惡意應(yīng)用?
• 這是我們網(wǎng)絡(luò)中的新威脅嗎 ?
• 如果是����,它在哪里,它做了什么?
威脅檢測(cè)全覆蓋
為今天的網(wǎng)絡(luò)安全挑戰(zhàn)帶來(lái)可見(jiàn)性
實(shí)時(shí)分析網(wǎng)絡(luò)流量
進(jìn)程重建和應(yīng)用程序分析
提取關(guān)鍵元數(shù)據(jù)和內(nèi)容
全數(shù)據(jù)包荷載和應(yīng)用程序內(nèi)容分析
內(nèi)部可疑內(nèi)容檢測(cè)
覆蓋網(wǎng)絡(luò)威脅的整個(gè)周期:網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú)
“95%的企業(yè)網(wǎng)絡(luò)攻擊都是成功的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的結(jié)果���。” - SANS Institute
在用戶有機(jī)會(huì)打開(kāi)網(wǎng)絡(luò)釣魚(yú)郵件之前檢測(cè)它們
檢測(cè)和提取可疑的電子郵件的主題�、內(nèi)容及附件讓Qradar可以在用戶訪問(wèn)他們的收件箱之前檢測(cè)到攻擊�����。
又有人被釣魚(yú)了……
快速確定誰(shuí)被釣魚(yú)�,他們?nèi)绾位貞?yīng),是誰(shuí)泄露信息���。
主要用例:數(shù)據(jù)泄露
秘密被暴露
“50%的組織機(jī)構(gòu)認(rèn)為他們有定期機(jī)密數(shù)據(jù)泄露”- Enterprise Management Associates
我的專有數(shù)據(jù)被發(fā)送到哪里??��?����?
實(shí)時(shí)發(fā)現(xiàn)正在通過(guò)電子郵件��、聊天信息���、文件或社交媒體向外部發(fā)送的敏感數(shù)據(jù)��。這些傳輸?shù)男畔⒆孮radar可區(qū)分授權(quán)和未授權(quán)的操作以加快事件響應(yīng)��。
覆蓋網(wǎng)絡(luò)威脅的整個(gè)周期:惡意軟件偵測(cè)和分析
惡意軟件是普遍的
“基于附件的URL惡意軟件攻擊從2014年中開(kāi)始到2015年增加了600%以上” - Proofpoint “電子郵件攻擊增加50%����,都是通過(guò)宏方式感染” - Clearswift.com
沒(méi)有文件被忽視
QRadar網(wǎng)絡(luò)洞察知道每個(gè)文件的細(xì)節(jié)����;從文件的名稱、類型�����、信息熵�����、嵌入式腳本和文件哈希�����,可以確定它是從哪里來(lái)的,被發(fā)送到哪里����。使用QRadar和X-Force Exchange威脅情報(bào),想逃避偵測(cè)的惡意軟件都會(huì)清晰可見(jiàn)
識(shí)別危險(xiǎn)內(nèi)部人員
暴露于內(nèi)部風(fēng)險(xiǎn)
“55%的攻擊都是由惡意的內(nèi)部人員或無(wú)心的內(nèi)部人員操作的��。” - IBM 2015 Cyber Security Intelligence Index “內(nèi)部風(fēng)險(xiǎn)不僅僅是對(duì)IT系統(tǒng)或數(shù)據(jù)損失的威脅�����,它還可能導(dǎo)致人身傷害或破壞活動(dòng)���。” - Carnegie Mellon SEI
識(shí)別有風(fēng)險(xiǎn)的用戶活動(dòng)并監(jiān)視負(fù)面情緒
發(fā)現(xiàn)未經(jīng)批準(zhǔn)的網(wǎng)頁(yè)瀏覽或搜索�,識(shí)別危險(xiǎn)或可疑的域名訪問(wèn)�,跟蹤反常行為之后的活動(dòng),解決因可疑內(nèi)容引發(fā)的別名和特權(quán)身份����,無(wú)縫對(duì)接QRadar用戶行為分析產(chǎn)品(UBA)
發(fā)現(xiàn)那里有什么
揭露使用情況
“50% 的組織機(jī)構(gòu)不清楚他們部署什么,哪些正在被使用”
發(fā)現(xiàn)未知
自動(dòng)發(fā)現(xiàn)資產(chǎn)�,設(shè)備�,服務(wù)器,服務(wù)�����,應(yīng)用程序,用戶�����,互聯(lián)網(wǎng)服務(wù)���,可以提高威脅偵測(cè)和安全合規(guī)的能力�。
利用附加內(nèi)容��,提高威脅偵測(cè)能力
提高精確度����,減少工作量
“42% 的公司無(wú)法處理大量的告警” - ESG research
太多噪音
缺乏重要內(nèi)容,結(jié)果就是安全團(tuán)隊(duì)困擾于誤報(bào)�。確定在網(wǎng)絡(luò)上有哪些資產(chǎn),設(shè)備��,用戶和應(yīng)用程序����,并理解行為模式。當(dāng)Qradar分析事件數(shù)據(jù)時(shí)�,可以顯著提高基于異常警報(bào)的準(zhǔn)確性
零日攻擊威脅偵測(cè)
新零日威脅比例在上升
“Zero-Day Discoveries A Once-AWeek Habit” - Dark Reading
發(fā)現(xiàn)別人錯(cuò)過(guò)的
傳統(tǒng)的檢測(cè)和預(yù)防手段可能會(huì)忽視新的零日攻擊���,但QRadar網(wǎng)絡(luò)洞察( QRadar Network Insights )可以幫助確定癥狀以便及時(shí)檢測(cè)和修復(fù)。
處理社交媒體風(fēng)險(xiǎn)
社交媒體正成為攻擊的有利工具
“每天有16萬(wàn)個(gè)臉譜網(wǎng)網(wǎng)頁(yè)被黑客攻擊” - New York Post
社交媒體很重要但對(duì)業(yè)務(wù)有風(fēng)險(xiǎn)
無(wú)論是攻擊者使用社交媒體來(lái)釣魚(yú)���,分發(fā)惡意軟件����,或獲得身份或密碼信息���,社交媒體的使用(無(wú)論是否批準(zhǔn))會(huì)對(duì)企業(yè)構(gòu)成威脅����。個(gè)人使用社交媒體很容易跨越界限����,損害公司的聲譽(yù)、資產(chǎn)和客戶���。實(shí)時(shí)上下文內(nèi)容分析是檢測(cè)過(guò)度使用社交媒體的關(guān)鍵
