你还记得深蓝么?
1997年5月,由IBM研发的并行计算机“深蓝”(Deep Blue),在国际象棋领域第一次成功击败了当时世界排名第一的人类棋手卡斯帕罗夫。这场时长不到一小时的“脑力”竞赛,让人们预言,计算机某日会因其强大的计算和处理能力而具有超越甚至代替人类的可能。
加里·卡斯帕罗夫和深蓝的对决
然而,当时的深蓝虽然在1997年就具有每秒2亿步的运算能力,但尚不具有对人类语言的学习和理解能力,他无法形成对文本的理解,更不可能回答人们用自然语言向他提出的某一个问题。但后来这一使命由IBM 的Watson完成了,今天,Watson被应用到保护企业信息安全的领域。有了认知的安全和以前又有怎样的不同?
认知安全是什么
起初只是作为生物学概念的“认知”,在IT领域则更多的是指通过技术手段,对人类大脑学习、理解、判断事物过程的模拟,进而根据不断积累的知识进行推演和预测。当然,我们不能简单地将“认知”理解为自然语言处理,而还要考虑其它的技术环节,比如机器学习、图形分析等。
除此以外,在安全领域的应用上,通过人工智能的技术实现更友好的人机交互体验,以及安全专家用“安全语言”对Watson进行重复不断的训练和测试,这些都让Watson有能力理解“什么是安全”,并借助其技术优势协助企业安全分析师高效地完成日常的威胁检测和应急响应工作。也就是说,Watson使用“认知”的方法对安全知识进行理解和分析。
在IBM的安全产品线中,从 IBM Watson 中提炼出的安全能力,即 Watson for Cyber Security ,是IBM所理解的认知安全的最好体现。
全球企业网络中每天约有20万次安全事件发生,共计10万+的安全漏洞被各个威胁源通报;除此以外,还有大量的系统或应用日志、用户和网络活动以及安全策略的变更等数据产生。这些传统意义的安全资料是可以被现有的安全系统,例如SIEM,所利用和分析。但是,这些够了么?
现实网络世界,***的***目标和方法无时无刻不在变化。企业需要持续进行监视并最大程度的使用数据分析来查找***和异常行为,以尽量避免安全事件的发生以及其对企业的业务和声誉造成不可挽回的损失。除了传统的安全资料外,还有许多专供人类理解分析的智慧,而企业能利用到的仅有这些智慧的8%。
三大核心技术成就认知安全
Watson for Cyber Security 的三个强大之处,其中一点是在于自然语言处理能力,一点是对文本文档、图像、语音等非结构化数据的分析和理解能力。这是因为IBM本身就是一家在语音识别和自然语言处理领域全球领先的企业。最有代表性的实例就是Watson在美国著名智力问答节目Jeopardy!中战胜两位冠军选手。
Jeopardy!的 IBM Watson 挑战现场
除了这两点外,与 IBM X-Force 智库的联动,以及其对安全行业的理解能力,也是成就认知安全的三个重要原因之一。
我们特意采访了IBM安全事业部威胁防护与认知安全首席技术官 Barny Sanchez 先生,以期深入了解认知安全背后的技术奥秘。
Barny Sanchez 先生向记者介绍,为了训练 IBM Watson 在信息安全领域的能力,IBM内部已经有上百位相关专家正在培养 IBM Watson 对安全方面的理解能力。
同时,IBM资深安全研究专家也正在与加州州立理工大学、宾夕法尼亚州立大学、麻省理工大学、纽约大学、马里兰大学、新不伦瑞克大学、渥太华大学和滑铁卢大学等全球知名大学学生/学者展开合作,对Watson进行训练,帮助增加其系统中安全知识库的数据,并通过“安全语言”对系统输出结果进行修正,使Watson持续不断地进行安全知识的学习和积累。
“我们在训练 IBM Watson 学习的时候采用了三步走的战略。第一是让Watson收集相关信息;第二是让Watson解读相关信息;最后是通过不停地提问来挑战Watson,让Watson能进一步梳理有用信息,并最终进行吸收学习。
认知安全对于企业安全分析师的价值
IBM安全以2015年作为一个分界点,认为2015年以前是静态防御和安全情报的时代,而之后会慢慢进入“认知安全“的时代。
在安全情报的时代,企业所使用的SIEM平台通常集成IDS、IPS、防火墙等安全设备的数据并结合一些基本的漏洞情报做关联性分析。Barny Sanchez 认为,未来10年,安全分析的方法将会改变,高级分析和外部威胁情报的收集将会被引入,企业安全分析师会将分析的注意力集中到用户行为的观察、不同系统间互联方式的了解、用户权限和角色的控制以及系统敏感资源的保护上。
认知安全,Watson for Cyber Security,其最大的价值在于减少安全分析师进行威胁研究和应急响应工作所需的时间成本,也即意味着安全分析团队在同样的时间内可以进行更多的调研工作,以最大程度地减少企业误判和遗漏风险情况的发生。
安全分析师的日常工作,包括对安全社区和线上资源(如新闻、博客等)的检测,以获取一手的安全威胁情报,帮助企业发现潜在威胁,并通过人工进行资料的关联分析。这些可供企业利用的数据来源包括博客(微博)、相关新闻文章、研究论文、企业订阅的威胁情报源、推特、维基百科。除了这些文本文档外,还有专家在行业论坛分享时所使用的ppt、播客以及大量的内嵌的图形文件。
据统计,全球每年有72万篇安全博客、18万篇新闻报道以及1万篇研究论文。这些对于分析师或者分析团队来讲,都是海量的非传统安全资料,不借助工具的力量根本无法完全利用。
另外,Barny Sanchez 还提到专业安全分析师的匮乏也将是行业面临的难题,“安全行业面临的问题除了缺乏相关技术以外,还缺乏专业人才。现在市场对于信息安全领域的专业人才需求是20万人,到2020年,这个数字将达到150万。”
毫无疑问,在企业安全人才缺口和安全技术水平差异的情况下,海量安全知识难以被企业利用,这大大增加了企业内部安全分析师的工作难度,使分析师很难对目前企业所面临的整体安全态势有个清晰明确的认识。同时,安全分析师也很难对企业的CSO或者CISO,提供行之有效的决策建议。
“安全分析师需要更人性化的体验,需要经验丰富且值得信赖的咨询顾问。而这一点正是 QRadar Advisor 和 Watson for Cyber Security 所擅长的”, Barny Sanchez说道。
QRadar与Watson的联动
QRadar作为IBM整个安全免疫体系中真正的核心和大脑,统领着数据库安全、SIEM、移动安全、应用安全、终端安全、访问控制和威胁情报等领域的安全设备;数据回传的同时,也可以反过来给各联动设备下达策略变更指令,以期动态的应对未知安全威胁。QRadar Advisor 和 Watson for Cyber Security 的联动,是实现认知安全“理解、推理和学习”这三项能力的关键。
当QRadar发现某个文档存在可疑行为,QRadar Advisor 会通过网络活动开始进行包括某个主机的可疑通信情况、之前没有交集的域、对网站的访问,ip地址变化以及异常行为等数据的挖掘,并模仿分析师运用其直觉所开展的日常工作;安全分析师将QRadar Advisor 分析的本地网络状态的信息汇总到本地数据库并提交到提供SaaS服务的 Watson for Cyber Security,并在很短的时间内接收到由Watson根据其储备信息进行关联分析后得到的所有可能结果,并提示“存在某可疑文件的执行操作,但不确定具体原因,需要进一步调查”。
同时,QRadar Advisor 也会构建一个全面反映运行状态的视图。如果安全分析师认为企业已经面临一个高危的状况时,可以一键将 Watson for Cyber Security 的反馈和 QRadar Advisor 的本地分析结果提交到Resilient系统并获得具有针对性的应急响应流程。
“它们对于安全分析师的最大帮助在于快速的调查,即从大量不同的信息源搜索并提取相关信息,以及两个系统间极快的交互,甚至在分析师意识到问题之前,系统已经开展了大量的工作,并帮助重新划分问题严重性的优先级并建立相关流程。
虽然IBM安全的 Watson for Cyber Security 产品还未正式发布(预计今年第四季度),但据 Barny Sanchez 透露,目前IBM安全的计划是利用 X-Force Exchange 作为切入点来集成QRadar和Watson这两项解决方案。
认知安全的未来
在今年8月举行的中国互联网安全大会(ISC 2016)上, Barny Sanchez 还发表了以“认知安全”为主题的演讲,并介绍了Watson在正式涉足安全领域后,认知安全未来的三个发展方向:“第一个方向是,我们要让Watson具有预测分析的能力,让Watson能够提前预测恶意软件和***威胁;第二个方向是让Watson学习企业在安全领域的法规框架,帮助其企业判断企业的风险框架是否合规;第三个方向是培养Watson了解不同的行业和客户,真正成为各个行业的安全专家,助力准确决策。”
IBM安全事业部威胁防护与认知安全首席技术官Barny Sanchez
安全能力的本质是人,作为企业安全分析师的“高级”辅助工具的Watson亦是如此。在安全这样一个特殊的行业,对于已经踏入半步的我们,认知安全带来的不仅是人力的解放和替代,更是安全分析时间和技术成本的降低,以及企业安全能力的提升。它对于早已无地缘限制的全球互联网来讲,无疑将会是一个对抗******并尽可能减少企业损失的利器。