I oktober 2011 kjøpte IBM en spesialist på håndtering av hendelser og sikkerhetsinformasjon, Q1 Labs. I dag melder IBM at de har bygget en ny plattform for IT-sikkerhet, QRadar Security Intelligence.
Den nye plattformen bygger vesentlig på teknologi fra Q1 Labs-produktet QRadar, på IBMs teknologi innen analyse og på sikkerhetsdatabasen til X-Force, forskningsavdelingen til sikkerhetsselskapet ISS som IBM kjøpte i august 2006.
Spesialområdet til Q1 Labs er kjent som «security information and event management», forkortet SIEM, og er gjenstand for en årlig analyse fra Gartner av typen «magic quadrant» der leverandørene vurderes og rangeres etter leveringsevne og funksjonalitet. Q1 Labs har de siste årene havnet i den aller gjeveste «kvadranten», den som er forbeholdt «lederne», sammen med blant annet ArcSight, RSA og Symantec. IBM har havnet i kategorien «utfordrere».
Gartners nyeste analyse av SIEM-leverandører er fra mai i fjor. Sammenlikningen med SIEM-kvadranten fra mai 2010 viser at Q1 Labs og ArcSight – som i september 2010 ble kjøpt av HP – drar fra de andre. NitroSecurity – nylig kjøp av McAfee – hever seg fra «visjonær» til «leder».
IBMs kjøp av Q1 Labs ble vurderte slik at Gartner (se IBM Reboots SIEM Effort With Acquisition of Q1 Labs):
– Oppkjøpet vil avgjort bedre IBMs evne til å konkurrere innen SIEM, særlig sett i lys av HPs kjøp av ArcSight og McAfees nylige kjøp av NitroSecurity… IBM vil sannsynligvis følge opp ved å utvide og utdype integrasjonen mellom QRadar og IBMs egen teknologi innen sikkerhet og IT-drift.
Ifølge IBM tilbyr deres nye sikkerhetsplattform proaktivt vern mot dagens stadig mer avanserte og komplekse trusler og angrep. Organisasjoner skal kunne bygge et omfattende forsvarssystem som verner mot tyveri av alle slags følsom informasjon, som kundedata, kredittkortdata og immaterielle verdier.
Plattformen skal forene innsikt fra verktøy som tar for seg alle risikokilder: infrastruktur, ID-håndtering, applikasjoner og data. Den skal sørge for at informasjon fra alle kilder sammenstilles og presenteres slik at brukeren skal kunne handle raskt og effektivt når det trengs
QRadar skal fungere som et kontrollsenter der sikkerhetsdata fra over 400 ulike kilder samordnes og analyseres i sanntid. Tilkoplingen til X-Force gjør at brukere får sanntidstilgang til den globale situasjonen innen IT-sikkerhet: X-Force registrerer daglig 13 milliarder hendelser innen IT-sikkerhet per dag, hos 4000 kunder fordelt på 130 land. Dette er første gang informasjon fra X-Forces overvåkingsvirksomhet integreres i en sikkerhetsløsning av denne typen.
– Å anvende analyse og kunnskap om de siste truslene i det fri er den eneste muligheten et selskap har til å beskytte sine viktigste ressurser, sier Brendan Hannigan, ansvarlig for IBM Security Systems.
Et eksempel som gis er at QRadar vil avdekke og straks varsle dersom en serie med mislykkede pålogginger til en database plutselig følges opp av en vellykket pålogging, med påfølgende oppslag i kredittkortdata og deretter en opplasting til et mistenkelig nettsted.
IBM beskriver produktintegrasjonen på QRadar-plattformen slik, per risikoområde:
Kontroll over hvem som har tilgang til hva: QRadar gir anledning til å analysere hvordan tilgangsberettigede faktisk opptrer, og kan danne seg en oppfatning av i hvilken utstrekning disse svarer til vedkommendes rolle og rettigheter. Dette er i tråd med anbefalingen fra eksperter innen adgangskontroll: Hensikten med et adgangskontrollsystem er ikke selve kontrollen som utføres, men dataene som genereres om hvem som gis tilgang til hva og når. (Se for eksempel Gartner-analytiker Earl Perkins’ blogg om IBMs overtakelse av Q1 Labs.) Her følger IBM opp anbefalingen om å integrere QRadar med adgangskontroll, nærmere bestemt IBM Security Identity Manager og IBM Security Access Manager.
Kontroll over data: Her skjer i prinsippet det samme som med adgangskontroll: Integrasjon med IBM Guardium Database Security gjør det mulig for QRadar-brukere å sammenstille uautorisert eller mistenkelig virksomhet i databaselaget med unormal virksomhet i nettverkslaget, for eksempel dataforsendelse til ukjent nettadresse.
Innen applikasjonsovervåking suppleres QRadars eksisterende kontroll med blant annet WebSphere og SAP, med kontroll av sårbarheter i andre applikasjoner oppdaget gjennom IBM Security AppScan.
Innen infrastruktur sier IBM at integrasjonen av IBM Endpoint Manager med QRadar gir en sikrere implementering av den pågående tendensen der ansatte bruker privat teknologi – smartmobiler, pc-er, nettbrett – på jobb.
QRadar samler opp store mengder sikkerhetsrelaterte data. IBM tilbyr løsninger for å lagre og analysere, som dedikerte bokser for SIEM, og teknologi – «Instant Search» – for raske spørringer i fritekst mot loggdata og trafikkdata.