認(rèn)知安全:安全分析師的超級(jí)助手

責(zé)任編輯:editor005

作者:Martin

2016-08-25 15:20:01

摘自:安全牛

1997年5月,由IBM研發(fā)的并行計(jì)算機(jī)“深藍(lán)”(Deep Blue),在國際象棋領(lǐng)域第一次成功擊敗了當(dāng)時(shí)世界排名第一的人類棋手卡斯帕羅夫。

你還記得深藍(lán)么?

1997年5月,由IBM研發(fā)的并行計(jì)算機(jī)“深藍(lán)”(Deep Blue),在國際象棋領(lǐng)域第一次成功擊敗了當(dāng)時(shí)世界排名第一的人類棋手卡斯帕羅夫。這場(chǎng)時(shí)長不到一小時(shí)的“腦力”競(jìng)賽,讓人們預(yù)言,計(jì)算機(jī)某日會(huì)因其強(qiáng)大的計(jì)算和處理能力而具有超越甚至代替人類的可能。

加里·卡斯帕羅夫和深藍(lán)的對(duì)決

然而,當(dāng)時(shí)的深藍(lán)雖然在1997年就具有每秒2億步的運(yùn)算能力,但尚不具有對(duì)人類語言的學(xué)習(xí)和理解能力,他無法形成對(duì)文本的理解,更不可能回答人們用自然語言向他提出的某一個(gè)問題。但后來這一使命由IBM 的Watson完成了,今天,Watson被應(yīng)用到保護(hù)企業(yè)信息安全的領(lǐng)域。有了認(rèn)知的安全和以前又有怎樣的不同?

認(rèn)知安全是什么

起初只是作為生物學(xué)概念的“認(rèn)知”,在IT領(lǐng)域則更多的是指通過技術(shù)手段,對(duì)人類大腦學(xué)習(xí)、理解、判斷事物過程的模擬,進(jìn)而根據(jù)不斷積累的知識(shí)進(jìn)行推演和預(yù)測(cè)。當(dāng)然,我們不能簡單地將“認(rèn)知”理解為自然語言處理,而還要考慮其它的技術(shù)環(huán)節(jié),比如機(jī)器學(xué)習(xí)、圖形分析等。

除此以外,在安全領(lǐng)域的應(yīng)用上,通過人工智能的技術(shù)實(shí)現(xiàn)更友好的人機(jī)交互體驗(yàn),以及安全專家用“安全語言”對(duì)Watson進(jìn)行重復(fù)不斷的訓(xùn)練和測(cè)試,這些都讓W(xué)atson有能力理解“什么是安全”,并借助其技術(shù)優(yōu)勢(shì)協(xié)助企業(yè)安全分析師高效地完成日常的威脅檢測(cè)和應(yīng)急響應(yīng)工作。也就是說,Watson使用“認(rèn)知”的方法對(duì)安全知識(shí)進(jìn)行理解和分析。

在IBM的安全產(chǎn)品線中,從 IBM Watson 中提煉出的安全能力,即 Watson for Cyber Security ,是IBM所理解的認(rèn)知安全的最好體現(xiàn)。

 

全球企業(yè)網(wǎng)絡(luò)中每天約有20萬次安全事件發(fā)生,共計(jì)10萬+的安全漏洞被各個(gè)威脅源通報(bào);除此以外,還有大量的系統(tǒng)或應(yīng)用日志、用戶和網(wǎng)絡(luò)活動(dòng)以及安全策略的變更等數(shù)據(jù)產(chǎn)生。這些傳統(tǒng)意義的安全資料是可以被現(xiàn)有的安全系統(tǒng),例如SIEM,所利用和分析。但是,這些夠了么?

現(xiàn)實(shí)網(wǎng)絡(luò)世界,黑客的攻擊目標(biāo)和方法無時(shí)無刻不在變化。企業(yè)需要持續(xù)進(jìn)行監(jiān)視并最大程度的使用數(shù)據(jù)分析來查找攻擊和異常行為,以盡量避免安全事件的發(fā)生以及其對(duì)企業(yè)的業(yè)務(wù)和聲譽(yù)造成不可挽回的損失。除了傳統(tǒng)的安全資料外,還有許多專供人類理解分析的智慧,而企業(yè)能利用到的僅有這些智慧的8%。

三大核心技術(shù)成就認(rèn)知安全

Watson for Cyber Security 的三個(gè)強(qiáng)大之處,其中一點(diǎn)是在于自然語言處理能力,一點(diǎn)是對(duì)文本文檔、圖像、語音等非結(jié)構(gòu)化數(shù)據(jù)的分析和理解能力。這是因?yàn)镮BM本身就是一家在語音識(shí)別和自然語言處理領(lǐng)域全球領(lǐng)先的企業(yè)。最有代表性的實(shí)例就是Watson在美國著名智力問答節(jié)目Jeopardy!中戰(zhàn)勝兩位冠軍選手。

除了這兩點(diǎn)外,與 IBM X-Force 智庫的聯(lián)動(dòng),以及其對(duì)安全行業(yè)的理解能力,也是成就認(rèn)知安全的三個(gè)重要原因之一。

我們特意采訪了IBM安全事業(yè)部威脅防護(hù)與認(rèn)知安全首席技術(shù)官 Barny Sanchez 先生,以期深入了解認(rèn)知安全背后的技術(shù)奧秘。

Barny Sanchez 先生向記者介紹,為了訓(xùn)練 IBM Watson 在信息安全領(lǐng)域的能力,IBM內(nèi)部已經(jīng)有上百位相關(guān)專家正在培養(yǎng) IBM Watson 對(duì)安全方面的理解能力。

同時(shí),IBM資深安全研究專家也正在與加州州立理工大學(xué)、賓夕法尼亞州立大學(xué)、麻省理工大學(xué)、紐約大學(xué)、馬里蘭大學(xué)、新不倫瑞克大學(xué)、渥太華大學(xué)和滑鐵盧大學(xué)等全球知名大學(xué)學(xué)生/學(xué)者展開合作,對(duì)Watson進(jìn)行訓(xùn)練,幫助增加其系統(tǒng)中安全知識(shí)庫的數(shù)據(jù),并通過“安全語言”對(duì)系統(tǒng)輸出結(jié)果進(jìn)行修正,使Watson持續(xù)不斷地進(jìn)行安全知識(shí)的學(xué)習(xí)和積累。

我們?cè)谟?xùn)練 IBM Watson 學(xué)習(xí)的時(shí)候采用了三步走的戰(zhàn)略。第一是讓W(xué)atson收集相關(guān)信息;第二是讓W(xué)atson解讀相關(guān)信息;最后是通過不停地提問來挑戰(zhàn)Watson,讓W(xué)atson能進(jìn)一步梳理有用信息,并最終進(jìn)行吸收學(xué)習(xí)。

認(rèn)知安全對(duì)于企業(yè)安全分析師的價(jià)值

IBM安全以2015年作為一個(gè)分界點(diǎn),認(rèn)為2015年以前是靜態(tài)防御和安全情報(bào)的時(shí)代,而之后會(huì)慢慢進(jìn)入“認(rèn)知安全“的時(shí)代。

在安全情報(bào)的時(shí)代,企業(yè)所使用的SIEM平臺(tái)通常集成IDS、IPS、防火墻等安全設(shè)備的數(shù)據(jù)并結(jié)合一些基本的漏洞情報(bào)做關(guān)聯(lián)性分析。Barny Sanchez 認(rèn)為,未來10年,安全分析的方法將會(huì)改變,高級(jí)分析和外部威脅情報(bào)的收集將會(huì)被引入,企業(yè)安全分析師會(huì)將分析的注意力集中到用戶行為的觀察、不同系統(tǒng)間互聯(lián)方式的了解、用戶權(quán)限和角色的控制以及系統(tǒng)敏感資源的保護(hù)上。

認(rèn)知安全,Watson for Cyber Security,其最大的價(jià)值在于減少安全分析師進(jìn)行威脅研究和應(yīng)急響應(yīng)工作所需的時(shí)間成本,也即意味著安全分析團(tuán)隊(duì)在同樣的時(shí)間內(nèi)可以進(jìn)行更多的調(diào)研工作,以最大程度地減少企業(yè)誤判和遺漏風(fēng)險(xiǎn)情況的發(fā)生。

安全分析師的日常工作,包括對(duì)安全社區(qū)和線上資源(如新聞、博客等)的檢測(cè),以獲取一手的安全威脅情報(bào),幫助企業(yè)發(fā)現(xiàn)潛在威脅,并通過人工進(jìn)行資料的關(guān)聯(lián)分析。這些可供企業(yè)利用的數(shù)據(jù)來源包括博客(微博)、相關(guān)新聞文章、研究論文、企業(yè)訂閱的威脅情報(bào)源、推特、維基百科。除了這些文本文檔外,還有專家在行業(yè)論壇分享時(shí)所使用的ppt、播客以及大量的內(nèi)嵌的圖形文件。

據(jù)統(tǒng)計(jì),全球每年有72萬篇安全博客、18萬篇新聞報(bào)道以及1萬篇研究論文。這些對(duì)于分析師或者分析團(tuán)隊(duì)來講,都是海量的非傳統(tǒng)安全資料,不借助工具的力量根本無法完全利用。

另外,Barny Sanchez 還提到專業(yè)安全分析師的匱乏也將是行業(yè)面臨的難題,“安全行業(yè)面臨的問題除了缺乏相關(guān)技術(shù)以外,還缺乏專業(yè)人才?,F(xiàn)在市場(chǎng)對(duì)于信息安全領(lǐng)域的專業(yè)人才需求是20萬人,到2020年,這個(gè)數(shù)字將達(dá)到150萬。”

毫無疑問,在企業(yè)安全人才缺口和安全技術(shù)水平差異的情況下,海量安全知識(shí)難以被企業(yè)利用,這大大增加了企業(yè)內(nèi)部安全分析師的工作難度,使分析師很難對(duì)目前企業(yè)所面臨的整體安全態(tài)勢(shì)有個(gè)清晰明確的認(rèn)識(shí)。同時(shí),安全分析師也很難對(duì)企業(yè)的CSO或者CISO,提供行之有效的決策建議。

“安全分析師需要更人性化的體驗(yàn),需要經(jīng)驗(yàn)豐富且值得信賴的咨詢顧問。而這一點(diǎn)正是 QRadar Advisor 和 Watson for Cyber Security 所擅長的”, Barny Sanchez說道。

QRadar與Watson的聯(lián)動(dòng)

QRadar作為IBM整個(gè)安全免疫體系中真正的核心和大腦,統(tǒng)領(lǐng)著數(shù)據(jù)庫安全、SIEM、移動(dòng)安全、應(yīng)用安全、終端安全、訪問控制和威脅情報(bào)等領(lǐng)域的安全設(shè)備;數(shù)據(jù)回傳的同時(shí),也可以反過來給各聯(lián)動(dòng)設(shè)備下達(dá)策略變更指令,以期動(dòng)態(tài)的應(yīng)對(duì)未知安全威脅。QRadar Advisor 和 Watson for Cyber Security 的聯(lián)動(dòng),是實(shí)現(xiàn)認(rèn)知安全“理解、推理和學(xué)習(xí)”這三項(xiàng)能力的關(guān)鍵。

當(dāng)QRadar發(fā)現(xiàn)某個(gè)文檔存在可疑行為,QRadar Advisor 會(huì)通過網(wǎng)絡(luò)活動(dòng)開始進(jìn)行包括某個(gè)主機(jī)的可疑通信情況、之前沒有交集的域、對(duì)網(wǎng)站的訪問,ip地址變化以及異常行為等數(shù)據(jù)的挖掘,并模仿分析師運(yùn)用其直覺所開展的日常工作;安全分析師將QRadar Advisor 分析的本地網(wǎng)絡(luò)狀態(tài)的信息匯總到本地?cái)?shù)據(jù)庫并提交到提供SaaS服務(wù)的 Watson for Cyber Security,并在很短的時(shí)間內(nèi)接收到由Watson根據(jù)其儲(chǔ)備信息進(jìn)行關(guān)聯(lián)分析后得到的所有可能結(jié)果,并提示“存在某可疑文件的執(zhí)行操作,但不確定具體原因,需要進(jìn)一步調(diào)查”。

同時(shí),QRadar Advisor 也會(huì)構(gòu)建一個(gè)全面反映運(yùn)行狀態(tài)的視圖。如果安全分析師認(rèn)為企業(yè)已經(jīng)面臨一個(gè)高危的狀況時(shí),可以一鍵將 Watson for Cyber Security 的反饋和 QRadar Advisor 的本地分析結(jié)果提交到Resilient系統(tǒng)并獲得具有針對(duì)性的應(yīng)急響應(yīng)流程。

它們對(duì)于安全分析師的最大幫助在于快速的調(diào)查,即從大量不同的信息源搜索并提取相關(guān)信息,以及兩個(gè)系統(tǒng)間極快的交互,甚至在分析師意識(shí)到問題之前,系統(tǒng)已經(jīng)開展了大量的工作,并幫助重新劃分問題嚴(yán)重性的優(yōu)先級(jí)并建立相關(guān)流程。

雖然IBM安全的 Watson for Cyber Security 產(chǎn)品還未正式發(fā)布(預(yù)計(jì)今年第四季度),但據(jù) Barny Sanchez 透露,目前IBM安全的計(jì)劃是利用 X-Force Exchange 作為切入點(diǎn)來集成QRadar和Watson這兩項(xiàng)解決方案。

認(rèn)知安全的未來

在今年8月舉行的中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2016)上, Barny Sanchez 還發(fā)表了以“認(rèn)知安全”為主題的演講,并介紹了Watson在正式涉足安全領(lǐng)域后,認(rèn)知安全未來的三個(gè)發(fā)展方向:“第一個(gè)方向是,我們要讓W(xué)atson具有預(yù)測(cè)分析的能力,讓W(xué)atson能夠提前預(yù)測(cè)惡意軟件和入侵威脅;第二個(gè)方向是讓W(xué)atson學(xué)習(xí)企業(yè)在安全領(lǐng)域的法規(guī)框架,幫助其企業(yè)判斷企業(yè)的風(fēng)險(xiǎn)框架是否合規(guī);第三個(gè)方向是培養(yǎng)Watson了解不同的行業(yè)和客戶,真正成為各個(gè)行業(yè)的安全專家,助力準(zhǔn)確決策。”

安全能力的本質(zhì)是人,作為企業(yè)安全分析師的“高級(jí)”輔助工具的Watson亦是如此。在安全這樣一個(gè)特殊的行業(yè),對(duì)于已經(jīng)踏入半步的我們,認(rèn)知安全帶來的不僅是人力的解放和替代,更是安全分析時(shí)間和技術(shù)成本的降低,以及企業(yè)安全能力的提升。它對(duì)于早已無地緣限制的全球互聯(lián)網(wǎng)來講,無疑將會(huì)是一個(gè)對(duì)抗黑客攻擊并盡可能減少企業(yè)損失的利器。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)