14年上映的科幻电影《超验骇客》,男主角将自我的意识数据化上传到互联网,入侵所有联网设备,并借此在知识的储备和处理能力上得到了难以想象的提升。
虽然最后电影结局离不开“人类胜利”的必然,但设想一下,如果真实存在这样一个系统,汇集了互联网上无法计量且仍在不断生成的庞大数据,拥有类似人类的“认知能力”以及现有的硬件设备对海量数据的存储和分析能力,并将此运用到信息安全领域,那么我们对待安全的态度和处理安全问题的方式又会发生怎样的颠覆性改变?
事实上,“认知安全”这个概念已经不再是纸上谈兵。
什么是“认知安全”
“认知”(Cognition)在生物学上是指一个生物个体获得知识(学习)、理解、训练并最终在一定概率上实现对事物的发展进行预测的过程。人类是具备认知能力的高等生物。我们通过对记载前人智慧的书本的阅读,通过和老师、父母以及工作中的前辈交流接触,进行学习,并不断修正自己对于某个领域甚至整个世界的认识,最终形成自己的解决问题和做决定(判断)能力。但是,一个人或者是一群人的分析能力,是非常有限的,尤其是涉及到庞大的数据。安全亦是如此。除了本地网络环境下实时的日志、网络流数据以及外部不断更新的威胁情报(漏洞、恶意IP等信息)外,还有各大公司发布的安全报告,学术论文,众多的第三方漏洞收集平台的安全事件预警,以及我们的新浪微博、知乎中安全大V们的技术问答和微信朋友圈“猝不及防”的安全事件刷屏……
这些信息,即使是想要做到及时全面的收集,也是颇有难度的,更不要说一个安全分析团队要在一定时间内进行分析并将分析结果运用到实际安全运维工作中。因为攻击者不会给你充足的时间,而且你所要处理的数据总量,每天仍在不断的增加。
我们利用漏扫、SIEM等工具,利用SOC,实现对“可机读”数据的“自动化安全”;我们利用STIX和TAXII等标准,实现最新的威胁情报源的接入。但是,对于更多的“非结构化”数据,却无法进行有效的处理和应用。
据统计,全球每天生产约2.5艾字节(EB)数据,而其中仅有20%是我们可以直接利用的结构化数据。能否将剩下的80%的数据用起来,很大程度上决定各企业的安全分析人员面对安全威胁时的应急响应能力,这也直接关系到企业因为安全问题而导致的业务损失。
除此以外,安全分析人员从发现攻击,到追踪、确认安全事件,再到做出响应、消除威胁,这个时间窗,有可能是几个小时,有可能是几天,甚至是几周。安全从业人员普遍匮乏、水平参差不齐、缺乏有效的工具,这些都是难以实现快速分析和及时响应的重要原因。
事实上,早在14年末15年初,当“威胁情报”这个概念在中国安全圈还是个“陌生面孔”的时候,企业安全的“隐形巨人”IBM已经开始利用其在“数据”、“技术”以及“安全专家”等方面的积累和优势,率先开始在“认知安全”领域发力,并将在今年末推出 Watson for Cyber Security。
认知系统本质上是自学习系统,可以使用数据挖掘、机器学习、自然语言处理和人机交互来模仿人脑的工作方式。
IBM Watson 接入了全球近80万博客,所有的个人推特推文以及互联网上各式各样的文档数据。实现对全网的结构化和非结构化数据进行主动搜索和爬取,并利用自然语言处理技术,将文本数据进行预处理,转化为可机读的数据;同时借其庞大的“安全专家团队”优势以及机器学习技术,通过提问和回答的方式,教会 IBM Watson “什么是安全”。
IBM Watson 在安全事件发生的同时不断在学习和修正对于安全的认识,而这个过程中最困难的可能就是如何理解这些词汇,这就需要安全专家不断的对 IBM Watson 输出的结果进行修正并将修正后的结果重新输入到 IBM Watson。例如“蜜罐”与“装满蜂蜜的罐子”的区别。当 IBM Watson 对于“安全的理解”有了一定的基础后,再在这个“基线”上用“安全”的语言对 IBM Watson 做进一步的训练。
对于“认知安全”,IBM认为最重要的是以下三点:理解能力(Understand)、推理能力(Reason)以及学习能力(Learn)。而这三点则主要表现在了 IBM Watson 对文本数据的处理能力和对“安全”的认知能力上。安全分析人员经常会“迷失”在各种对事件的监控和工具的使用中,一连串的误报也会给真正的异常行为制造“噪声”,使潜在威胁被安全人员遗漏。而借由 IBM Watson 的威胁识别能力,结合嵌有X-Force模块的QRadar平台的数据分析和威胁检测能力,以及IBM近期以1亿美金收购的 Resilient System 所提供的“事件响应”流程,企业的安全分析人员在处理安全事件和安全威胁方面有了从“检测”到“识别”再到“响应”的完整解决方案。
IBM大中华区的信息安全总经理林泽芬曾对媒体表示,“安全情报+大数据分析+认知安全,这便是IBM所能给企业提供的最大的安全性保障”。而这也就是“X – Force” + “QRadar” + “Watson for Cyber Security”,IBM进行资源整合后的能力。
Watson for Cyber Security 如何应用
Watson for Cyber Security 目前还不作为单独产品提供,而是作为一个能力整合进 IBM QRadar 平台,类似于一个App部署在云端。
QRadar检测到异常和潜在威胁后,IBM Watson 则利用QRadar反馈的本地网络环境数据做关联分析,快速给出某个异常行为的相关信息,如异常行为发生次数,涉及的文件、域名和资产等,同时 IBM Watson 自身根据自己所学习到的“安全知识”生成自己的“判断观点”(Watson Insight)以及支撑这个观点细节信息(Supporting Details)。
本地安全分析人员根据 IBM Watson 所给出的信息并结合QRadar所提供的本地实时网络数据分析确认安全事件后,一键提交到Resilient并获得即时的事件响应方案。这极大程度上节省了安全人员的分析和响应时间,为企业在一定程度上降低风险、挽回损失。
Watson for Cyber Security 除了结合自己的认知能力(Cognitive)以及和QRadar平台整合提供SaaS服务外(Cloud),开放协作(Cooperation)也是 IBM Watson 强调的“3C”之一。通过公开的标准和接口,与国内外的厂商和威胁情报上通过API连接起来,赋予 IBM Watson 更精准的识别能力。而加入“携手计划”的国内安全企业也可能经 IBM Security 的相关平台向国外有需求的企业做推荐。
除此以外,目前IBM计划在今年Q4推出的 Watson for Cyber Security 的目标客户更多的是金融行业,因为金融行业对安全能力的需求最为强烈,面临的安全风险最为直接,对安全方面的投入也最多。
“认知安全”是一个非常新的领域,几乎全球所有的安全企业都鲜有涉及,而它现在已被IBM这个“蓝色巨人”打上了自己的标签。等到今年年末 Watson for Cyber Security 正式发布后,具体效果如何?是否足够“接地气”?我们拭目以待!