米IBMセキュリティーは11月28日(現地時間)、AIベースのセキュリティー・プラットフォーム「IBM QRadar Advisor with Watson」向けに、サイバー犯罪行為に関するプラットフォームの知識を拡充し、組織内のセキュリティー対応の活動から学習することが可能になる機能を発表した。
あわせて、MITRE ATT&CKオープンソース・フレームワークも導入することを発表された。このフレームワークは、セキュリティー・コミュニティから提供される現実世界の観察に基づき、攻撃がどのように進行し、次に何が起こり得るかをアナリストが理解できるようにするプレーブックで、脅威の進行に応じて利用される可能性のあるパターンと行動を段階的に定義している。
ATT&CKフレームワークを利用するIBM QRadar Advisor with Watsonは、脅威の識別と脅威に関する外部リサーチの内容を提供するだけではなく、さらに、外部からの攻撃や内部の脅威がクライアントのインフラ内でどのように進行してきたかも解明できるようになった。
例えば、マルウェアが組織に侵入したばかりなのか、またはマルウェアがパスワードやクレジット・カード情報などのデータをすでに収集したのかという状況の解明が可能で、今回追加されたコンテキストには、信頼度や、攻撃の各段階に関連する証拠も含まれる。
この機能により、アナリストは攻撃がどのように進行してきたのかを視覚化できるようになり、インシデントが脅威のライフサイクルにおいてどの段階にあるのか、また、次に何が起こり得るのかを即座に理解できるようになるため、大幅に対応の時間を短縮し、有効性を向上させることが可能になるとしている。