IBM藉认知安全技术 启发企业的数码免疫能量

台湾IBM企业信息安全事业处资深技术顾问曾心天。

经IBM调查发现，现今企业认为信息安全的最大挑战，乃是基于威胁的速度愈来愈快、复杂性愈来愈高，故而急需减少事件回应及解决的时间，并有效改进安全威胁分析能力，如此才可望将网络安全风险降到最低，一来避免企业营运中断，二来避免后果更加严重的品牌信誉损失。

持平而论，尽管企业普遍期望争取事故的回应与解决时效，并增强分析能力，但要想顺利实现这些目标，并不容易，只因多数企业不论在「情报」、「速度」与「准确性」等面向，都明显暴露弱点；台湾IBM企业信息安全事业处资深技术顾问曾心天认为，若仅靠人力介入，哪怕专业能力再强，都不易弭平前述三大差距，唯一突破之道，便是与智能挂钩。

为此，IBM安全事业部门持续对认知技术进行投资，因为认知安全不仅仅提供解开及使用所有数据的能力，更可连接模糊数据点，帮助企业挖掘过往难以发现的真相，快速准确地检测与应对威胁。

据调查，93%的SOC经理无法分析所有潜在威胁，31%的企业组织由于无法处理而被迫忽略逾半数的安全警报，显见大多数企业安全单位，难以持续有效跟进广大无穷的安全知识。

曾心天表示，IBM基于认知安全所设计的解决方案，首先是今年(2017)首季发布的Watson for Cyber Security，它相当于云端上的安全顾问，可凭藉持续性自动化能力，获取外部公开可用的安全内容，接着进行自然语言处理，从中学习与吸收安全概念并建立关联性，再透过机器学习获得新知识，设定一组指标深入探索其知识库、以提供洞察，继而以相关指标的形式提出证据，终至接受回馈以改进其知识分析，形成生生不息的正面循环。

妙用云端安全顾问  抵御进阶威胁

至于Watson for Cyber Security所学习的知识范围，包括指标、安全弱点、恶意软件名称等等结构性安全数据，及从博客、网站或新闻爬找关键的非结构化安全数据。针对每小时数十亿数据元素、每周数百万份文件，经由过滤与机器学习删除不必要信息，减量后再以机器学习、自然语言处理等技术提取与注解蒐集的数据，最终描绘出数十亿的节点与面，形成大规模的安全知识图。

换言之，Watson for Cyber Security可透过汲取新的安全知识，不断增长与调适其智能，更有能力认知探索可疑活动，及识别安全事件原因与其他的指标行为，建立及找出人工容易错过的路径与关联；更重要的，任何学习、调适成果，皆永不遗忘。

曾心天补充道，IBM一并推出QRadar Watson Advisor，它是一个外挂的小App，旨在让企业部署的IBM QRadar SIEM得以连结Watson，藉助Watson所获得的庞大安全知识，裨益安全分析师可升级SOC作业，解决技术短缺、过多的告警、事件回应的延迟，乃至当前安全信息与程序风险的应对能力等种种挑战，迅速精确地对安全事件调查取样工作；影响所及，原本透过手动威胁分析所需数日到数周的冗长时程，可望急遽缩短为数分钟至数小时，大幅节省宝贵的时间与资源。

附带一提，IBM也善用认知技术，在2017年首季期间，正式为其BigFix安全管理平台增添侦测新功能，有别于传统偏向静态佐证的IoC(Indicator of Compromise)，堪称是一种基于恶意软件启发式、动态性质的IoA(Indication of Attack)，具备探知零日攻击的能力，足以令黑客无从回避、无所遁形。