Segundo o relatório “Cost of a Data Breach Report 2021”1, desenvolvido pelo Instituto Ponemon a pedido da IBM, o custo de uma violação de dados em 2021 foi de US$ 1,08 milhão, em média, para as empresas brasileiras. Os desafios para as equipes de segurança cibernética são cada vez maiores, com o aumento do volume de dados, a sofisticação e a disseminação dos ataques maliciosos, uma superfície de ataque em constante expansão, ferramentas de segurança insuficientes e falta de pessoal qualificado em segurança cibernética.
Apesar de investir um número elevado de horas na investigação de alertas suspeitos, cerca de 17% dos alertas não estão sendo investigados, segundo o IDC2, abrindo oportunidades para ataques maliciosos e expondo dados pessoais e corporativos, ativos físicos, financeiros e intelectuais e com alto potencial de disrupção das operações. É preciso que as organizações monitorem proativamente seus ambientes, para que possam detectar ameaças rapidamente e responder com precisão, antes que os invasores possam causar danos.
O IBM QRadar
O IBM® Security QRadar® é uma solução de Security Information and Event Management (SIEM) líder de mercado, para ambientes on-premises ou nuvem, desenvolvida para ajudar a defender as organizações contra essas ameaças, enquanto moderniza e dimensiona as operações de segurança por meio de visibilidade, detecção, investigação e resposta integradas.
O QRadar detecta anomalias, revela ameaças avançadas e remove falsos positivos, através da consolidação de dados de eventos de log e de fluxo de rede dos dispositivos, endpoints e aplicativos distribuídos em uma rede. Fornece às equipes de segurança visibilidade centralizada dos dados de toda a empresa e insights acionáveis sobre as ameaças mais prioritárias. Os analistas de segurança podem trabalhar em um painel de controle, que permite entender rapidamente sua postura de segurança, identificar as ameaças mais críticas e se aprofundar para obter mais detalhes, ajudando a otimizar os fluxos de trabalho e eliminar a necessidade de alternar entre diferentes ferramentas.
Mudanças no comportamento dos usuários, que podem ser indicadores de uma ameaça desconhecida, são identificadas com os recursos de detecção de anomalias do QRadar.
O QRadar foi desenvolvido especificamente para abordar um amplo espectro de casos de uso de segurança e escalar facilmente com um mínimo esforço de customização necessário.
As principais funcionalidades do QRadar são:
Visibilidade centralizada - O QRadar permite que as organizações obtenham visibilidade centralizada e abrangente em ambientes isolados, por meio da coleta, análise e normalização de dados de log e de fluxo. Em um único painel, os analistas de segurança podem monitorar ambientes locais, em nuvem e híbridos. A plataforma oferece suporte a uma ampla variedade de tecnologias, aplicativos e serviços em nuvem para ajudar a obter uma visibilidade abrangente da atividade corporativa. Depois que os dados são centralizados, podem ser analisados automaticamente para identificar ameaças conhecidas, anomalias que podem indicar ameaças desconhecidas e riscos críticos, que podem deixar dados confidenciais expostos.
Automação inteligente para detectar ameaças - O QRadar analisa e correlaciona automaticamente a atividade de uma variedade de tipos de dados de uma ampla variedade de fontes de dados, incluindo logs, eventos, fluxos de rede, atividades dos usuários, informações de vulnerabilidade e inteligência de ameaças para identificar ameaças conhecidas e desconhecidas.
Identificar anormalidades no comportamento da rede, usuários e atividades de aplicativos - À medida que os invasores se tornam mais sofisticados em suas técnicas, a detecção de ameaças conhecidas não é mais suficiente por si só. As organizações também devem ter a capacidade de detectar pequenas mudanças no comportamento da rede, dos usuários ou dos sistemas que podem indicar ameaças desconhecidas, como usuários internos mal-intencionados, credenciais comprometidas ou malware sem arquivo.
Reduzir o tempo de investigação com IA e automação - O QRadar Advisor utiliza o Watson™, a plataforma de serviços cognitivos da IBM para negócios e automação, para reduzir drasticamente o tempo gasto na investigação de alertas de ameaças. O Advisor realiza pesquisas priorizadas de alertas e de dados correlacionados, para ajudar os analistas a se concentrarem em análises estratégicas de maior valor e na identificação de ameaças, ao mesmo tempo em que usa o mapeamento MITRE ATT&CK®, uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real, padrão da indústria, para melhorar a análise da causa raiz de cada evento. Isso facilita correções mais rápidas, tempos de permanência mais curtos, menos incidentes críticos perdidos, menos tempo e maior eficiência dos analistas.
Acelerar os tempos de resposta com ações guiadas e gerenciamento de caso - A integração do IBM Security QRadar com o as soluções IBM Security SOAR de orquestração, automação e resposta de segurança, permite que as equipes de segurança acelerem os tempos de resposta a incidentes com playbooks passo a passo, automação de tarefas manuais e colaboração e coordenação consistentes com gerenciamento de caso.
Gerenciar melhor a conformidade com conteúdo, regras e relatórios predefinidos - A capacidade da solução de correlacionar e integrar feeds de inteligência de ameaças produz métricas mais completas para relatórios sobre riscos de TI para auditoria. Centenas de relatórios predefinidos e modelos de regras podem ajudar as organizações a atender com mais facilidade aos requisitos de conformidade do seu setor de atividade.
Escale facilmente com as mudanças necessárias
A arquitetura flexível e escalável do QRadar é projetada para apoiar organizações de todos os portes em uma variedade de necessidades. Organizações de menor porte podem começar com uma solução multifuncional integrada, que pode ser facilmente atualizada para uma implantação distribuída, conforme as necessidades evoluírem. Organizações maiores podem implantar componentes dedicados, para oferecer suporte a redes globais distribuídas, com grandes volumes de dados.
O IBM Security QRadar inclui os seguintes componentes:
• Coletores de eventos,
• Processadores de eventos,
• Coletores de fluxo,
• Processadores de fluxo,
• Nós de dados (para armazenamento de baixo custo e melhor desempenho), e
• Console central.
Todos os componentes estão disponíveis em hardware, software ou dispositivos virtuais. As opções de software e dispositivo virtual podem ser implantadas no local, em ambientes IaaS ou distribuídas em ambientes híbridos.
Detectando ameaças à medida que sua empresa cresce
Enfrentar pressões para gerenciar novos regulamentos, aumentar a visibilidade ou lidar com alertas contínuos são apenas alguns dos desafios que as organizações enfrentam atualmente. No entanto, detectar essas ameaças nem sempre é realizada por meio de uma abordagem única para todos.
O IBM Security QRadar é um grande aliado da pequena empresa, da organização de médio porte pronta para escalar ou da empresa de maior porte, ajudando a enfrentar os desafios de segurança específicos de organizações de todos os portes e setores de atuação.
Veja também o artigo “IBM FLASHSYSTEM: MAXIMIZE A EFICIÊNCIA DE SUA INFRAESTRUTURA DE ARMAZENAMENTO DE DADOS” aqui em nosso blog.
Veja o artigo