采用认知方法检测威胁业务挑战转型成效案例之业务挑战篇-IBM.PDFVIP

IBM 案例研究 解决方案：IBM Security 行业：中央政府/联邦政府 一家加拿大政府机构 采用认知方法，检测威胁 该机构采用了 IBM 的自动化安全智能和分析解决方案，摒弃了手动事件关联 流程。这样，他们的安保人员就能快速识别需要调查的安全事件，并获取更多 相关背景信息，更快速地检测出威胁，发现需要解决的漏洞。 联系 IBM 分享 业务挑战 一家加拿大政府机构需要一款先进的安全信息和事件管理 (SIEM) 解决方案来帮助他们快速 检测和应对潜在的安全威胁，但是同时他们的可用资源也相当有限。 转型 该机构采用了 IBM 的自动化安全智能和分析解决方案，摒弃了手动事件关联流程。这样，他 们就能快速检测出安全威胁，并发现漏洞。 成效 100,000 个问题/警报 7 天 10,000 个漏洞 从 100,000 个问题/警报减 7 天完成解决方案的部署，并 扫描 10,000 个漏洞，发现安 少至每天只有 10 到 20 次 开始实现价值和投资回报 全缺口，划分主动响应措施的 攻击，并且还对这些攻击进行 优先级 了动态地排序 案例之业务挑战篇 一个“大海捞针”的故事 如何分析并解读数以百万计的事件，以发现对其机构的攻击，这是全球安全团队面临的共同 挑战。一家加拿大政府机构发现，随着网络日志、服务器日志和防火墙日志的与日俱增，由 一个小型的安全专家团队来处理事件关联流程已经完全不现实。 “与其提供的功能集相比，QRadar 提供了一个卓越的价值主张。” — 一家加拿大政府机构的架构和安全总监 该机构安保人员的当务之急是，部署一款安全信息和事件管理解决方案，来自动分析数百万 事件、提供上下文，并划分潜在安全威胁的优先级。 该机构的架构和安全总监表示，“我们没有一个简单的方式来审查和关联我们收到的所有安全 警报和日志。我们从不同的设备中获取许多种不同的日志，这些日志都需要审查。这种情况 下，我们几乎不可能读取完所有的日志以检测出异常情况，就更不用说作出快速的响应了。 其中的难度就好比大海捞针。” 面对有限的资源和事件，该机构必须简化部署，这一点至关重要。 “我们评估了许多不同的解决方案，希望从中找到满足以下条件的解决方案：能快速上线运 行；能与不同设备兼容；并且很灵活，”该架构和安全总监说道。“我们没有足够的人力和时 间来组建一支大型团队部署解决方案。” “QRadar 帮助我们提高了工作效率。我们不用再筛选日志，而是能 专注于关键问题。” — 一家加拿大政府机构的架构和安全总监 案例之转型篇 借助高级分析应用，网络犯罪提前知 IBM® QRadar® Security Intelligence Platform 能够感知给该机构带来最大风险的威胁， 并划分这些威胁的优先级，从而帮助该机构提前洞悉网络威胁。 现在，他们的安全团队每天都能收到一个安全优先事项表，从而在出现任何风吹草动时能快 速作出响应，将威胁扼杀在摇篮。事实上，QRadar 已将该团队的近 10,0000 个潜在的日常 问题减少至 10 到 20 个日常优先事项。 比如，在以下任何一种情况下，安全分析师都能快速收到警报，立即采取响应措施：创建和 修改账户；大量数据流出企业；与命令和控制服务器通信；与匿名器（掩盖连接行为的主机） 通信；出现可疑的网络行为模式；与已知的垃圾邮件发送者、钓鱼攻击网站和鱼叉式钓鱼网 站通信。 为了提供这些情报，QRadar 平台中内置的高级分析工具每天会关联和解读机构架构中的近 2.