http://www.tuicool.com/articles/3iuQje2
14年上映的科幻電影《超驗駭客》,男主角将自我的意識資料化上傳到網際網路,入侵所有聯網裝置,并借此在知識的儲備和處理能力上得到了難以想象的提升。
雖然最後電影結局離不開“人類勝利”的必然,但設想一下,如果真實存在這樣一個系統,彙集了網際網路上無法計量且仍在不斷生成的龐大資料,擁有類似人類的“認知能力”以及現有的硬體裝置對海量資料的存儲和分析能力,并将此運用到資訊安全領域,那麼我們對待安全的态度和處理安全問題的方式又會發生怎樣的颠覆性改變?
事實上,“認知安全”這個概念已經不再是紙上談兵。
什麼是“認知安全”
“認知”(Cognition)在生物學上是指一個生物個體獲得知識(學習)、了解、訓練并最終在一定機率上實作對事物的發展進行預測的過程。人類是具備認知能力的高等生物。我們通過對記載前人智慧的書本的閱讀,通過和老師、父母以及工作中的前輩交流接觸,進行學習,并不斷修正自己對于某個領域甚至整個世界的認識,最終形成自己的解決問題和做決定(判斷)能力。
但是,一個人或者是一群人的分析能力,是非常有限的,尤其是涉及到龐大的資料。安全亦是如此。除了本地網絡環境下實時的日志、網絡流資料以及外部不斷更新的威脅情報(漏洞、惡意IP等資訊)外,還有各大公司釋出的安全報告,學術論文,衆多的第三方漏洞收集平台的安全事件預警,以及我們的新浪微網誌、知乎中安全大V們的技術問答和微信朋友圈“猝不及防”的安全事件刷屏……
這些資訊,即使是想要做到及時全面的收集,也是頗有難度的,更不要說一個安全分析團隊要在一定事件内進行分析并将分析結果運用到實際安全運維工作中。因為攻擊者不會給你充足的時間,而且你所要處理的資料總量,每天仍在不斷的增加。
我們利用漏掃、SIEM等工具,利用SOC,實作對“可機讀”資料的“自動化安全”;我們利用STIX和TAXII等标準,實作最新的威脅情報源的接入。但是,對于更多的“非結構化”資料,卻無法進行有效的處理和應用。
據統計,全球每天生産約2.5艾位元組(EB)資料,而其中僅有20%是我們可以直接利用的結構化資料。能否将剩下的80%的資料用起來,很大程度上決定各企業的安全分析人員面對安全威脅時的應急響應能力,這也直接關系到企業因為安全問題而導緻的業務損失。
除此以外,安全分析人員從發現攻擊,到追蹤、确認安全事件,再到做出響應、消除威脅,這個時間窗,有可能是幾個小時,有可能是幾天,甚至是幾周。安全從業人員普遍匮乏、水準參差不齊、缺乏有效的工具,這些都是難以實作快速分析和及時響應的重要原因。
事實上,早在14年末15年初,當“威脅情報”這個概念在中國安全圈還是個“陌生面孔”的時候,企業安全的“隐形巨人”IBM已經開始利用其在“資料”、“技術”以及“安全專家”等方面的積累和優勢,率先開始在“認知安全”領域發力,并将在今年末推出 Watson for Cyber Security。
認知安全的發展
認知系統本質上是自學習系統,可以使用資料挖掘、機器學習、自然語言處理和人機互動來模仿人腦的工作方式。
IBM Watson 接入了全球近80萬部落格,所有的個人推特推文以及網際網路上各式各樣的文檔資料。實作對全網的結構化和非結構化資料進行主動搜尋和爬取,并利用自然語言處理技術,将文本資料進行預處理,轉化為可機讀的資料;同時借其龐大的“安全專家團隊”優勢以及機器學習技術,通過提問和回答的方式,教會 IBM Watson “什麼是安全”。
對 IBM Watson 進行關于“安全”的訓練
IBM Watson 在安全事件發生的同時不斷在學習和修正對于安全的認識,而這個過程中最困難的可能就是如何了解這些詞彙,這就需要安全專家不斷的對 IBM Watson 輸出的結果進行修正并将修正後的結果重新輸入到 IBM Watson。例如“ 蜜罐 ”與“裝滿蜂蜜的罐子”的差別。當 IBM Watson 對于“安全的了解”有了一定的基礎後,再在這個“基線”上用“安全”的語言對 IBM Watson 做進一步的訓練。
對于“認知安全”,IBM認為最重要的是以下三點: 了解能力 (Understand)、 推理能力 (Reason)以及 學習能力 (Learn)。而這三點則主要表現在了 IBM Watson 對文本資料的處理能力和對“安全”的認知能力上。
安全分析人員經常會“迷失”在各種對事件的監控和工具的使用中,一連串的誤報也會給真正的異常行為制造“噪聲”,使潛在威脅被安全人員遺漏。而借由 IBM Watson 的威脅識别能力,結合嵌有X-Force子產品的QRadar平台的資料分析和威脅檢測能力,以及IBM近期以1億美金收購的 Resilient System 所提供的“事件響應”流程,企業的安全分析人員在處理安全事件和安全威脅方面有了從“ 檢測 ”到“ 識别 ”再到“ 響應 ”的完整解決方案。
IBM大中華區的資訊安全總經理林澤芬曾對媒體表示,“安全情報+大資料分析+認知安全,這便是IBM所能給企業提供的最大的安全性保障”。而這也就是“X – Force” + “QRadar” + “Watson for Cyber Security”,IBM進行資源整合後的能力。
IBM大中華區資訊安全總經理 林澤芬
Watson for Cyber Security 如何應用
Watson for Cyber Security 目前還不作為單獨産品提供,而是作為一個能力整合進 IBM QRadar 平台,類似于一個App部署在雲端。
QRadar檢測到異常和潛在威脅後,IBM Watson 則利用QRadar回報的本地網絡環境資料做關聯分析,快速給出某個異常行為的相關資訊,如異常行為發生次數,涉及的檔案、域名和資産等,同時 IBM Watson 自身根據自己所學習到的“安全知識”生成自己的“判斷觀點”(Watson Insight)以及支撐這個觀點細節資訊(Supporting Details)。
demo截圖
本地安全分析人員根據 IBM Watson 所給出的資訊并結合QRadar所提供的本地實時網絡資料分析确認安全事件後,一鍵送出到Resilient并獲得即時的事件響應方案。這極大程度上節省了安全人員的分析和響應時間,為企業在一定程度上降低風險、挽回損失。
Watson for Cyber Security 除了結合自己的認知能力(Cognitive)以及和QRadar平台整合提供SaaS服務外(Cloud),開放協作(Cooperation)也是 IBM Watson 強調的“3C”之一。通過公開的标準和接口,與國内外的廠商和威脅情報上通過API連接配接起來,賦予 IBM Watson 更精準的識别能力。而加入“攜手計劃”的國内安全企業也可能經 IBM Security 的相關平台向國外有需求的企業做推薦。
除此以外,目前IBM計劃在今年Q4推出的 Watson for Cyber Security 的目标客戶更多的是 金融行業 ,因為金融行業對安全能力的需求最為強烈,面臨的安全風險最為直接,對安全方面的投入也最多。
“認知安全”是一個非常新的領域,幾乎全球所有的安全企業都鮮有涉及,而它現在已被IBM這個“藍色巨人”打上了自己的标簽。等到今年年末 Watson for Cyber Security 正式釋出後,具體效果如何?是否足夠“接地氣”?我們拭目以待!