Durch einen Auftritt in der Quizsendung »Jeopardy« war IBMs KI-Anwendung »Watson« vor sechs Jahren bekannt geworden, mittlerweile hilft sie längst auch bei Datenanalysen und im Kundenservice. Neuester Einsatzbereich ist das Security-Business, wo kognitive Technologien durch die automatisierte Auswertung großer Datenmengen bei der Bewertung von Sicherheitsvorfällen helfen sollen. Seit Anfang 2016 wurde Watson von den IBM-Experten dafür mit mehr als einer Million Dokumenten zu Sicherheitsthemen gefüttert und in die SIEM-Produktfamilie »Qradar« integriert. In den über 300 SOCs des Herstellers steht »Watson for Security« nunmehr bereit, um Sicherheitsexperten zu unterstützen. Im einfachsten Fall können diese über die »IBM Qradar Watson Advisor«-App auf die KI zugreifen und sich eine Einschätzung zu sicherheitsrelevanten Ereignissen holen, für die Watson auch Informationen aus Security-Feeds und Datenbanken, Blogs und sozialen Netzwerken heranzieht.

Auf diese Weise soll der Zeitaufwand für die Untersuchung von Vorfällen erheblich reduziert werden. Darüber hinaus hilft Watson aber auch bei der Priorisierung und kann Empfehlungen geben, wie zu reagieren ist, etwa ob die betroffenen Systeme isoliert werden sollten oder wer benachrichtigt werden muss. Auch die IBM-Partner sollen von Watson profitieren und die KI in ihren SOCs nutzen. »Watson for Security kann von jedem Partner verkauft und eingesetzt werden«, betont Christian Nern, Head of Security Software DACH bei IBM. Damit könnten sie die Effizienz ihrer SOCs erhöhen und mehr Kunden betreuen – ein erheblicher Vorteil, wo es derzeit doch schwierig sei, Fachkräfte zu finden.

Für einen einfachen Einstieg hat IBM ein Starterpaket geschnürt, das eine Appliance mit Qradar-Softwarepaket und Watson kombiniert. Wartung und Support für ein Jahr sind ebenso enthalten wie die Verarbeitung von maximal 5.000 Events pro Sekunde – mehr sind gegen Aufpreis möglich, wobei die Appliance für bis zu 50.000 Events pro Sekunde ausgelegt ist. Sie soll IBM zufolge direkt einsatzbereit sein. Nur wenn eine Verknüpfung mit bestehenden Systemen notwendig ist, etwa um basierend auf den Watson-Meldungen automatisiert Gegenmaßnahmen einzuleiten, sind einige Anpassungen erforderlich.