La nuova app User Behavior Analytics di IBM estende le capacità analitiche della piattaforma Qradar per la protezione contro furti di credenziali e violazioni interne.

Secondo l’IBM X-Force Cyber Threat Index 2016 le violazioni interne rappresentano oggi la causa del 60% degli attacchi verso le aziende, ma circa un quarto di tali attacchi è il risultato dell’appropriazione da parte degli hacker di credenziali degli utenti ottenute da dipendenti, appaltatori o partner ingannati da attacchi di phishing, malware o altre tecniche.

In questo scenario IBM Security ha annunciato una nuova app per IBM QRadar che analizza i pattern d’uso degli utenti interni, inclusi dipendenti, collaboratori e partner, al fine di rilevare l’eventuale compromissione di credenziali o sistemi ad opera di criminali informatici. Disponibile gratuitamente tramite IBM Security App Exchange, IBM QRadar User Behavior Analytics amplia la piattaforma di security intelligence di IBM QRadar per offrire una panoramica tempestiva sulle minacce interne potenziali prima che possano danneggiare più gravemente un’azienda.

L’app, grazie al modello di comportamento standard, segnala agli analisti ogni eventuale deviazione dalla norma come, ad esempio, il primo accesso di un utente a un server ad alto valore da una nuova location e con un account privilegiato. User Behavior Analytics utilizza a questo fine i dati utenti presenti in Qradar, integrandoli in una piattaforma singola che consente di analizzare e gestire eventi e dati di sicurezza.

L’app segnala agli analisti ogni eventuale deviazione dalla norma

Questa integrazione evita agli analisti della sicurezza di importare nuovamente e smistare i dati da diverse piattaforme, per identificare e confrontare il comportamento degli utenti con altri indicatori di anomalie rilevati da QRadar. Sono tre i modi con cui l’app aiuta i tecnici a stroncare sul nascere qualsiasi violazione.

  • L’app analizza le azioni più rischiose degli utenti assegnando un punteggio ai comportamenti anomali, aiutando a identificare sia le minacce interne potenziali che l’uso di credenziali rubate da parte di criminali informatici.
  • Gli analisti possono accedere a una migliore visibilità e comprensione delle azioni che hanno condotto un utente ad aprire un documento sospetto, o delle modalità con cui un utente ha ottenuto dei privilegi di accesso. Ad esempio, un singolo clic del mouse, un allegato o un link in un messaggio e-mail di phishing possono aggiungersi all’elenco di attività sospette di un utente, o consentire all’analista la redazione di un’annotazione di testo per spiegare le proprie osservazioni.
  • Grazie alle informazioni sugli utenti rilevate dall’intero ambiente IT, i team di sicurezza saranno in grado di consultare gli ampi set di sorgenti di dati e di security intelligence di QRadar per rilevare le minacce su tutto il bacino di utenti e asset.