特稿 >

行业洞察 >

专访林泽芬:人工智能应用于安全,是信息安全未来的发展方向

专访林泽芬:人工智能应用于安全,是信息安全未来的发展方向

FreeBuf 丨 行业洞察

12588
211

2017-04-10

赵逸禅

Xtecher特稿作者

关注

在去年的CSS大会上,IBM Security全球首席资讯安全架构师李承达举过一个有趣的例子,某个企业安全管理人员发现企业内部出现一个可疑文件,这个可疑文件来自某未知IP。于是他去用搜索引擎搜这个文件的MD5,什么也没有找到,就认为这个文件应该是安全的。


但实际上,早在此事发生的3个月前,美国就已经有安全研究人员公布了相关此恶意程序的样本分析,也在博客里放出了该文件的MD5值。可是搜索引擎却居然没有搜到。后来发现是因为这名研究人员在博客上是以图片的方式贴出了MD5,搜索引擎自然也就没能抓取到。而IBM近两年在推的认知安全,着力的就是解决这类问题。


前不久,IBM大中华区信息安全总经理林泽芬接受FreeBuf专访,和我们谈了谈IBM的认知安全技术,及其核心所在的Watson人工智能。或许以认知安全为代表的人工智能很快就会成为信息安全的未来。


14914577177621.jpg


企业SOC遭遇的难题


林泽芬在对谈起初就开玩笑说:“很多时候我们开玩笑说,你们做安全的,是不是把电源拔掉就可以了?然而并不是这样的,企业不能承担这种风险。”这其中的解决之道并不简单:前不久IBM发布了《认知时代网络安全白皮书》,其中总结了现如今CSO、CIO这样一些安全高层的困惑。而这些困惑和难题大约也是认知安全技术诞生的原因所在。


“IBM去年5、6月份的时候,和伦敦牛津大学合作研究,访问了35个国家、18个不同行业、700多个CIO、CSO和这个领域的领导。其中发现的结论和我们在国内看到的CIO、CSO遇到的问题一样,包括人才和能力的缺乏;对威胁情报掌控落后;响应速度慢;准确性较差。”


除了人才匮乏这一点本身就是安全行业的常态,对企业SOC而言,这份白皮书总结的企业遭遇的安全难题,如林泽芬所说,主要在于情报、速度和准确性。


14914570673646.jpg


其中所谓的情报就是指威胁情报,或者叫威胁智能。《认知时代网络安全白皮书》的调查提到,65%的受访者表示由于资源不足而承受最严峻挑战的方面是威胁研究;40%的受访者认为,跟上新威胁和漏洞步伐是重大的网络安全挑战。


相关速度问题,“当企业发生了网络攻击,公司内部的安全专家很难以最快的速度判断问题的严重程度, 找到相应的办法.,。他们从准确找到漏洞所在,倒找到正确的补救措施, 这个周期都需要很长的时间, 但是时间越久,对企业造成的危害就越大, 所以速度一定是安全官们需要着重关注的问题。”


至于准确性,“比如外界爆发一个漏洞,但企业安全人员无法确定企业内部有没有这个漏洞,这就是准确性问题。”现如今的误报太多,所以优化警报的准确性对安全专家而言就是个大问题了。


认知系统所着力的就是“帮助整个企业提高情报、速度和准确性的问题。我们希望通过认知系统为企业内部的人员提供一些有用的资讯。另外,有700多个CIO、CSO说希望这两年能够通过工具来提高他们的响应速度,去做更准确的情报和响应,缩短解决问题的时间。”


借力人工智能


实际上,这些问题对许多企业安全从业人员来说都是由来已久的,最直观的解决方案在于引进更多安全人才、投入巨量安全方面的预算。由现状看来,这两点都不够现实,这个问题似乎变得难以解决。更深入地分析会发现,以更新的技术着眼可能会是个不错的突破口。


每天涌现的安全资源是非常巨量的,从IBM的数据来看,“每年有10000份安全研究论文发表,每个月有6万份安全博客发布”,如同FreeBuf每天更新的安全行业新情报。如果算上YouTube视频资源、Podcast音频资源,以及文首所述以图片为呈现方式的资源,人类拥有的“安全信息池”是巨大的。但这些资源都是用自然语言编写出来的,甚至是以多媒体的方式呈现的,也就是IBM所说的“非结构化数据”。它们绝大部分情况下对于企业SOC而言并不具备太大的实用价值,这些资源也就浪费了。


1491456896149.jpg


这个问题理应通过人工智能、机器学习、深度学习之类的方案来解决,认知安全更像是对这些新技术的结合并应用到安全领域。Watson本身是IBM的人工智能平台,而认知安全就是Watson在安全领域的应用。现在的Watson能够帮助安全分析师解析成千上万份自然语言的研究报告,这类报告以往并未被安全工具解读。


笼统地说,“认知系统能够将海量结构化和非结构化数据提炼为切实可行的知识。安全从业人员不可能消化吸收所有人类生成的安全知识,包括研究文档、行业刊物、分析报告和博客等。而认知系统有能力将上述信息与更为传统的安全数据组合在一起。”


IBM安全事业部威胁防护与认知安全首席技术官Barny Sanchez曾经介绍过Watson:“整个认知安全的过程是获取信息、学习、测试、成为经验。Watson的学习过程需要人类加以干预,就好像告诉它应该怎么去阅读文件,这是认知安全的核心;而在测试部分,则是我们对其提出问题,看看Watson能不能把有用的数据呈现出来。”林泽芬也在采访中谈到:“其实我们去年就开始培训核心的认知系统Watson,已经培训了一年多,看了大概一百多万份的博客、相关文档。”


这听来属于高端版的威胁情报,不过IBM为了解决情报之外准确性和速度的问题,推出了“认知型安全运营中心”——这个认知SOC的目的是增强SOC分析人员的能力,提高响应速度,降低企业范围的风险。说得简单些,是借由人工智能等各种技术来实现SOC的部分自动化,不需要分析人员再做诸多琐碎复杂的安全任务。


14914569463011.jpg


“我们去年第四季度开始就找了大概50个客户用我们Beta测试版。它的确能够帮助SOC在碰到一些事件的时候,指导怎么解决,做到内部和外部的关联。将发现和解决问题的时间从几天、几周缩短到几个小时、几分钟,加强准确度和速度。


“企业发现可疑事件的时候,要发现各元素之间的关联有很大难度。但如果把事件、数据放到Watson中做分析,就能够了解是否已经有博客、文章已经进行了研究,Watson会将这样的研究做成报告回传。”


在具体实现上,这套名为QRadar Advisor with Watson的方案是以QRadar组件的方式提供给企业用户,用户在APP Exchange中下载安装该组件使用。当QRadar关联到相应安全事件时,可以通过征询Watson来获得进一步的信息。


值得一提的是,如林泽芬所说,认知安全对SOC实现的指导价值并不只是建立在“蜜罐、爬虫之类的基础上,我们是实实在在地在帮助客户去做运维这件事,我们在帮助国内的一些大企业建SOC的时候也提出了很多不同的建议”,这才有了实践基础。


需要多方协力才能解决问题


Gartner很早之前就提到过,对于现如今的企业安全来说,一边倒地仅专注于“防护”早已是个过时的做法。FreeBuf先前采访的诸多企业CSO和CISO也曾经提到过,入侵总会发生,全面加强检测和响应的投入比重才是解决企业安全问题的求生之道。这一点也是《认知时代的网络安全白皮书》提到的一点,或者说是认知安全型SOC得以部署和理应着力的前提。


问题在于检测和响应需要极大投入人力资源,就企业安全而言,人才和预算都是制约因素,以技术方案来解决大概就是最经济的方式了。认知安全为之提供了一种思路。


14914570054059.png


“很多公司只有那么多人手,不可能一下就从50人增多到100人。公司CEO智能尽量将人寿的能力保持在现有的水平上,即用技术方式来增强生产力。对于IT行业来说,用同样的人员去处理更多的安全事件是个很大的挑战。所以我们需要携手,大家彼此共享才能将攻击抵挡住,单打独斗是无法保障整个企业的安全的。”


林泽芬的这番话更多的是指,利用各方威胁情报为企业安全服务,早前静态化的安全部署方式已经无法抵御现如今越来越复杂的攻击。而多方协力,协同作战原本也是这两年安全行业共同的认识。认知安全为SOC建立的就是这样一种相对更为现成的解决方案。


在IBM看来,认知安全更像是安全发展的趋势,而非一个产品或者解决方案。IBM商业价值研究院发现,在未来几年中,认知安全技术的采用量会增加3倍,也就是将已有的这种技术纳入到SOC,解决情报、速度和准确性方面的短板。


“我们会在符合中国法律法规的基础上,与合作伙伴一起把认知安全的能力落地在中国,帮助中国企业建立更好的信息安全保障。”

打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机