九連霸：IBM名列2017年 Gartner 安全資訊與事件管理 (SIEM) 魔力象限領導者

分享文章:

在全球著名研究機構 Gartner 近日最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中，IBM 再度名列「領導者 (Leader)」，這已是 IBM QRadar 連續第九年在 Gartner 的 SIEM 魔力象限獲選為領導者。

Gartner 定義 SIEM 市場需求為：即時分析事件資料，以便早期偵測蓄意攻擊與資料洩露，並且收集、儲存、分析、調查、回報事件資料，提供事件回應、鑑識、合規所用。

IBM QRadar 提供多項進階功能，包括使用者行為分析 (User Behavior Analytics, UBA) 、網路活動與異常檢測分析 (Network Insights)、機器學習 (Machine Learning) 分析應用、認知安全 (Watson CyberSecurity) 應用等。並且透過 QRadar App Exchange，大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合 IBM X-Force 威脅情資，並納入 IBM Resilient 安全事件回應平台，將偵測與事後回應工作密切結合，提供完整的處理機制。

Gartner 評鑑 IBM 的 SIEM 旗艦產品QRadar 的優勢在於：

• 支援中大型企業所需的 SIEM核心能力，並提供一套能涵蓋多種安全監控與維運技術的整合平台
• 提供能支援多重環境 (on-premises與 IaaS雲端) 監控的靈活架構.
• QRadar App Exchange 可將多方內容與資源整合進入 QRadar Console 中控台，提升使用體驗
• 免費的使用者行為分析 (UBA) 與機器學習 (Machine Learning) 應用，有助於企業進行進階的分析與針對使用者行為的監控
• 整合並關聯多重的網路事件來源，提供單一視圖

IBM QRadar 扮演「安全免疫系統」的指揮中樞

辨識威脅行為當下提出告警，已是SIEM基本功能。目前企業更關注於聯合防禦機制，也就是在判斷威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備，立即執行阻斷，藉此降低資安事件造成的損害。

為了協助企業建立資安關鍵的預防、偵測、回應能力，IBM提出「安全免疫系統」架構，統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊，以IBM QRadar作為核心中樞，建置資安智慧平台執行大數據分析，提供網路、使用者、資料(庫)及應用程式等活動的深度可視性，協助快速偵測威脅，並依據風險等級排列事件處理的優先順序，協助關鍵問題答案、更有效管理資安威脅。

SIEM 未來發展在 3C

全球資安攻擊事件層出不窮，新型態的網路攻擊日新月異，加上全球資安人才短缺日益嚴重，對企業資安整體策略帶來重大挑戰。從 SIEM 解決方案持續演進的趨勢來看，以下三點是關鍵方向，亦為 IBM整體安全架構及 IBM QRadar 發展的重點：

• Cloud 雲端安全 — 利用雲端資源提供簡單、隨時可得的安全防護
• Collaboration協同合作 — 分享與善用威脅情資、分析與最佳實踐，減輕人才缺乏的壓力
• Cognitive認知運算/人工智慧 — 面對資安資料爆炸性成長與資安知識落差，運用智慧達成自動化，做出更好、更快的決策