Watson for Cyber Security

Firma IBM trzy dni po rekordowym ataku hakerskim WannaCry zaprezentowała na Watson Warsaw Summit 2017 najnowsze narzędzia informatyczne przeciwdziałające cyberatakom

Watson to powszechnie znane narzędzie informatyczne firmy IBM, które miało już okazję sprawdzić się przy wygrywaniu turniejów telewizyjnych (Jeopardy), rozpoznawaniu tekstu, emocji i rekomendowaniu terapii dla chorych na raka. Umożliwia ono analizę danych z wykorzystaniem możliwości rozumowania oraz uczenia się z nieustrukturyzowanych danych, reprezentujących około 80 proc. wszystkich dostępnych informacji. Te nieustrukturyzowane dane to m.in. obrazy, filmy, nagrania i inne źródła niemożliwe do przetworzenia przez tradycyjne systemy.

Marcin Spychała, ekspert ds. bezpieczeństwa w IBM:

Watson for Cyber Security to najnowsze zastosowanie technologii kognitywnych, tym razem dla centrów zarządzania bezpieczeństwem w sieci – Security Operations Center (SOC). Przez ostatni rok, w ramach projektu badawczego, Watson był uczony języka specyficznego dla cyberbezpieczeństwa poprzez przetworzenie ponad miliona dokumentów na temat rodzajów zagrożeń i sposobów zabezpieczeń. Dzięki temu Watson for Cyber Security jest w stanie korzystać z wyników badań naukowych z obszaru bezpieczeństwa,  odkrywać schematy cyberataków i dowody ich wystąpienia oraz nowe zagrożenia, które inaczej nie zostałyby wykryte. Wspomagają go w tym także dotychczasowe możliwości Watsona, np. techniki eksploracji danych dla wykrywania przypadków nietypowych, narzędzia do prezentacji graficznej oraz techniki poszukiwania powiązań między różnymi źródłami danych i dokumentami.

Dla przykładu Watson może znaleźć informacje o nowej formie złośliwego oprogramowania w biuletynie on-line, a rekomendacje dotyczące zwalczania na specjalistycznym blogu. To wszystko ma zwiększyć możliwości specjalistów, zapewniając im systemy automatyzujące kojarzenie dostępnych danych, pojawiających się zagrożeń i dostępnych strategii zapobiegania.

IBM Cognitive SOC
Nowe rozwiązanie zostało zintegrowane w ramach platformy IBM Cognitive SOC, pozwalającej na identyfikowanie i reagowanie na zdarzenia na urządzeniach końcowych, w sieci, na kontach użytkowników oraz w chmurze obliczeniowej. Jej sercem jest IBM QRadar Advisor with Watson – aplikacja zapewniająca dostęp do wiedzy o zagrożeniach w cyberprzestrzeni. Już dziś jest ona używana m.in. przez Avnet, Uniwersytet Nowego Brunszwiku oraz 40 innych klientów IBM z całego świata, pozwalając analitykom na lepszy wgląd w incydenty związane z bezpieczeństwem.

Według danych IBM Research zespoły zajmujące się bezpieczeństwem ponad 20 tys. godzin rocznie przesiewają informacje o zdarzeniach w sieci i starają się odróżnić realne zagrożenie od fałszywych alarmów. W firmie średniej wielkości może być ich dziennie nawet 200 tys. Potrzeba wprowadzenia inteligentnych rozwiązań do centrów zarządzania bezpieczeństwem będzie więc kluczowa, by zespoły mogły opanować rosnącą liczbę incydentów, których liczba ma się podwoić w ciągu najbliższych pięciu lat. A nie jest to liczba mała, jeśli uwzględnić, że już dziś centralne repozytorium materiałów, jakim jest biblioteka IBM X-Force, w której od 20 lat są gromadzone ich opisy i na której opiera się Watson, zawiera szczegóły dotyczące 8 mln ataków spamowych i phishingowych oraz ponad 100 tys. udokumentowanych sytuacji zagrożenia bezpieczeństwa. Co więcej, co godzina powiększa się ona o 4 mln komunikatów.

Za mało sztucznej inteligencji
Największym wyzwaniem dla biznesu jest obecnie bycie na bieżąco ze stale zmieniającymi się metodami cyberataków. Z ostatniego badania IBM wynika, że dziś zaledwie 7 proc. specjalistów korzysta w swojej pracy z narzędzi kognitywnych, jednak w najbliższych dwóch–trzech latach ta liczba może wzrosnąć nawet trzykrotnie. W uzupełnieniu wiedzy oraz szybszym i bardziej precyzyjnym reagowaniu może im pomóc platforma IBM Cognitive SOC, a aplikacja IBM QRadar Advisor with Watson wesprze w badaniu zagrożeń, skanując blogi, strony internetowe i publikacje naukowe przy wykorzystaniu możliwości przetwarzania języka naturalnego oraz zestawiając je z danymi QRadar, pokazującymi ujawnione incydenty bezpieczeństwa. Dzięki temu czas potrzebny na zdefiniowanie zagrożenia skróci się z kilku godzin do kilku minut.

Kognitywne narzędzia bezpieczeństwa
IBM wspiera klientów na całym świecie w projektowaniu, budowie i zarządzaniu centrami bezpieczeństwa. Przez ostatnie pięć lat IBM zbudował ich ponad 300, m.in. dla firm z branży bankowej, handlowej i edukacyjnej. Są wśród nich centra zarówno w siedzibie klienta, jak i zarządzane wirtualnie przez IBM Cloud w ramach IBM X-Force Command Center, m.in. Centrum X-Force we Wrocławiu. Centra X-Force już dziś używają QRadar Advisor with Watson, by lepiej  zrozumieć incydenty bezpieczeństwa. Dzięki chatbotowi wkrótce specjaliści zajmujący się bezpieczeństwem uzyskają możliwość zadania pytania i otrzymania rekomendacji działania w czasie rzeczywistym. Bot może na przykład informować na bieżąco o pojawiających się zagrożeniach, analizować je w kontekście narzędzi bezpieczeństwa możliwych do zastosowania w konkretnym przypadku i zestawiać je z danymi określonej organizacji. Teraz bot jest testowany przez naukowców z IBM Managed Security Services i wybranych klientów pod kątem odpowiadania w formie chatu na typowe zapytania, np. jaka jest konfiguracja
danej sieci czy jaki status ma wybrane zgłoszenie incydentu.

Jednym z ważniejszych obszarów w systemie ochrony przed cyberatakami jest ochrona urządzeń końcowych. Dlatego IBM wprowadził na rynek także BigFx Detect – rozwiązanie pozwalające organizacjom na wgląd i natychmiastową reakcję w urządzeniu z poziomu platformy. Pozwoli to na szybsze dochodzenie i lepsze zrozumienie natury i rodzaju zagrożenia, a w połączeniu z innymi technologiami IBM – np. i2 czy IBM X-Force Exchange – na bardziej zautomatyzowane, a przez to dokładniejsze reakcje.

Niedostatek kadr
Dodatkowym ograniczeniem w walce z cyberterroryzmem jest ogólnoświatowy deficyt kadrowy. Mimo że IBM współpracuje w Polsce z wieloma uczelniami w dziedzinie analityki danych i kształcenia studentów (m.in. z UJ, SGH, Politechniką Wrocławską i AGH), w naszym kraju brakuje ok. 50 tys. specjalistów ds. cyberbezpieczeństwa. Ta luka kompetencyjna będzie się powiększać, tym bardziej że nie jest to dziedzina, która jest zamknięta i skończona. Wręcz przeciwnie, będzie stale wzbogacana o nowe rodzaje ataków i sposoby działania cyberprzestępców.

fot.: Materiały prasowe IBM