IBM藉认知安全技术 启发企业的数码免疫能量
经IBM调查发现,现今企业认为信息安全的最大挑战,乃是基于威胁的速度愈来愈快、复杂性愈来愈高,故而急需减少事件回应及解决的时间,并有效改进安全威胁分析能力,如此才可望将网络安全风险降到最低,一来避免企业营运中断,二来避免后果更加严重的品牌信誉损失。
持平而论,尽管企业普遍期望争取事故的回应与解决时效,并增强分析能力,但要想顺利实现这些目标,并不容易,只因多数企业不论在「情报」、「速度」与「准确性」等面向,都明显暴露弱点;台湾IBM企业信息安全事业处资深技术顾问曾心天认为,若仅靠人力介入,哪怕专业能力再强,都不易弭平前述三大差距,唯一突破之道,便是与智能挂钩。
为此,IBM安全事业部门持续对认知技术进行投资,因为认知安全不仅仅提供解开及使用所有数据的能力,更可连接模糊数据点,帮助企业挖掘过往难以发现的真相,快速准确地检测与应对威胁。
据调查,93%的SOC经理无法分析所有潜在威胁,31%的企业组织由于无法处理而被迫忽略逾半数的安全警报,显见大多数企业安全单位,难以持续有效跟进广大无穷的安全知识。
曾心天表示,IBM基于认知安全所设计的解决方案,首先是今年(2017)首季发布的Watson for Cyber Security,它相当于云端上的安全顾问,可凭藉持续性自动化能力,获取外部公开可用的安全内容,接着进行自然语言处理,从中学习与吸收安全概念并建立关联性,再透过机器学习获得新知识,设定一组指标深入探索其知识库、以提供洞察,继而以相关指标的形式提出证据,终至接受回馈以改进其知识分析,形成生生不息的正面循环。
妙用云端安全顾问 抵御进阶威胁
至于Watson for Cyber Security所学习的知识范围,包括指标、安全弱点、恶意软件名称等等结构性安全数据,及从博客、网站或新闻爬找关键的非结构化安全数据。针对每小时数十亿数据元素、每周数百万份文件,经由过滤与机器学习删除不必要信息,减量后再以机器学习、自然语言处理等技术提取与注解蒐集的数据,最终描绘出数十亿的节点与面,形成大规模的安全知识图。
换言之,Watson for Cyber Security可透过汲取新的安全知识,不断增长与调适其智能,更有能力认知探索可疑活动,及识别安全事件原因与其他的指标行为,建立及找出人工容易错过的路径与关联;更重要的,任何学习、调适成果,皆永不遗忘。
曾心天补充道,IBM一并推出QRadar Watson Advisor,它是一个外挂的小App,旨在让企业部署的IBM QRadar SIEM得以连结Watson,藉助Watson所获得的庞大安全知识,裨益安全分析师可升级SOC作业,解决技术短缺、过多的告警、事件回应的延迟,乃至当前安全信息与程序风险的应对能力等种种挑战,迅速精确地对安全事件调查取样工作;影响所及,原本透过手动威胁分析所需数日到数周的冗长时程,可望急遽缩短为数分钟至数小时,大幅节省宝贵的时间与资源。
附带一提,IBM也善用认知技术,在2017年首季期间,正式为其BigFix安全管理平台增添侦测新功能,有别于传统偏向静态佐证的IoC(Indicator of Compromise),堪称是一种基于恶意软件启发式、动态性质的IoA(Indication of Attack),具备探知零日攻击的能力,足以令黑客无从回避、无所遁形。