IBM劉璐瑩:信息安全,快人一步——IBM安全免疫系統
責編:mhshi |2017-06-15 15:21:56
上世紀70年代,IBM為了主機的安全開始研究安全的技術。2005年開始,IBM收購了15家相關的安全公司,形成了IBM的安全體系。2012年,IBM成立了安全系統部,形成了安全體系的整個框架。
IBM的安全是什么?這個數據來自于一個真實的客戶。在它的IT環境里,總共有85款安全相關的工具,來自于45個安全廠商。我們知道安全是一個很大的領域。這些是我們平時常見的每個企業都會部署的安全解決方案。也就是我們的安全運維人員、安全分析師每天至少面對這么多的工具、產品、方法,阻止安全威脅,運維安全生產。
在安全領域,每一款工具都可能完成單獨的使命。安全的運維人員用不同的工具、不同的手段,以自己的知識運維這樣的安全工具。我們會發現在今天的環境里,云、移動、物聯網、大數據都是新的話題。同時,這些新技術也給安全帶來了更多的威脅和挑戰。單獨的安全的豎井式的運維方式已經沒有辦法支撐目前的安全運維保障。
安全運維慢慢地從檢查清單式的合規式的防御措施變成了安全框架,或者叫安全平臺,或者叫安全體系的安全運維場景。更多的場景下,需要不同的安全領域的工具,來協同合作。基于這樣的理念,IBM提出安全的免疫系統。
在現在的大環境下,移動的安全、大數據的安全、云的安全、物聯網的安全等等,都有各自不同的領域,由于它有不同的安全特點,可能需要特殊的工具來完成這部分的內容。根據不同層面的安全機制。同時,也把整個體系框架進行了劃分。上半部分主要是指在日常的安全運維和響應體系里運用到的話題。主要包括端點管理、網絡管理、中樞大腦。這個大腦就像人體的大腦一樣,它能夠總控身體各個部件的運轉。在我們看來,問題不僅僅是這樣簡單的話題。對于漏洞補丁攻擊熟悉的同行可能會知道,以數字去說明的話,絕大部分的漏洞是沒有補丁的。下次再遇到這樣的攻擊,通過打補丁的方式不能解決勒索軟件的問題。你需要的是什么?你需要的是一套完整的防護體系。比如,當你再遇到類似情況,如何獲得通知。現在又有一個新的病毒出現了,到底有沒有補丁。如果沒有補丁,它的防護措施是什么。
為了讓我們領先于惡意攻擊,這需要更多的知識。比如,威脅情報。情報平臺可以幫助你第一時間獲得最新的知識。哪里有了新病毒的爆發,你可以第一時間獲得這樣的知識。同時,這樣的知識不僅僅是條目,它還會有相關的信息,以及你需要采取的行動。
除了終端和網絡之外,我們還有其他的解決方案,我們稱之為信息的風險和保護,包括各個領域不同的解決方案。比如,防欺詐、云安全、大數據,也是全部由“大腦”進行支配。這就是框架的底梁。當出現這個事件的時候,“大腦”會收集所有信息,增加安全的可見性。在安全運維工程師的眼里,他看到的是一款款的工具,是登錄一個個攻擊的界面,看到這個工具正在做什么,然而缺乏對于企業的可見性。“大腦”會收集事件的信息、網絡流量的信息、端點的信息、漏洞的信息,增加對安全運維的可見性,我會看見企業里正在發生什么樣的事情。當發現了某些異常,“大腦”可以驅動相應的組建啟動響應。
在這一整套的安全免疫系統,我們重點介紹兩個特點,一個是集成,一個是智能。剛剛提到了集成的一個方面,各個安全的解決方案不再像以前一樣是獨立的產品,或者獨立的工具,它們之間可以互聯互通,雙向的互聯。向上可以反映數據,向下可以執行動作。這是IBM自己的框架,在收購了很多公司以后,把它們集成在一起。實際上不是這樣,IBM一直是一個開放的公司,在我們的整個框架里有著大量對外的集成方式。由于這個框架的產生,就形成了防御檢測和響應為主體的解決方案。
這種集成的能力并不是IBM產品內部互相集成的關系,我們也非常重視外部的集成關系。我們有安全智能合作的新平臺,相當于蘋果的應用軟件,它是基于安全智能平臺的一套APP。如果你想跟安全系統做集成,尤其是跟“大腦”做安全互動,你就可以利用“大腦”提供的API,開發一個APP,這個時候你的信息就可以跟“大腦”技術互動。
這里舉兩個例子。第一個例子是威脅情報的例子。IBM有自己的威脅情報平臺,并且是免費向公眾開放的。如果大家有情報的需求,都可以到我們的平臺上查詢。這個是我們的威脅情報的APP,你有一個“大腦”,你希望它越來越聰明,你從不同情報的數據源得到了一些信息,請“大腦”幫你分析。當你引入這些情報源的時候,只要用到這個APP,它就可以把標準格式的情報直接引入進來,你不需要做更多的定制或者是編程。
我們也可以集成大量的第三方的軟硬件產品。如果你的終端不是IBM的,我們也提供這樣的APP,或者終端廠商可以基于我們的API做一個APP。第三方廠商的終端信息就可以到你的“大腦”里面來。同時,你的“大腦”也可以向第三方的產品發出指令,告訴它現在要做什么樣的事情。
目前這個平臺上已經有數十個外掛的APP,分別是不同廠家的產品。基于這樣的集成工作,使得IBM的安全免疫系統形成了一套開放的框架,可以適應不同客戶的需求。
下面聊一聊安全免疫系統的第二個特點—智能。到底什么是智能?對于IBM來說,我們的商用化的AI平臺是沃森。我們把安全分成幾類,人類有自己的智慧,“大腦”其實是很智能的,我們把它叫做安全性的智能分析,它適合做什么。另外,我們把沃森放進來,認知安全又適合做什么。人類的專家,他的智能適合做什么。
安全的技能需要大量的安全人才,在這個場景下,人類的安全專家更適合做一般的常識,利用他自己本身的經驗,去判斷一些模棱兩可的、進退兩難的知識。
“大腦”的能力在哪里?它比較擅長的是資料的關聯,我把事件收起來了,很多企業的事件都是以每秒數十萬來計算的,數據的動態關聯是它比較擅長的。找出模式,正常和異常的模式、異常的檢測。排定優先順序、數據的可視化、工作流程。這些都是現有的安全工具所擅長的。
人工智能擅長的是什么?在人工智能領域,它最擅長的是非結構化的對于自然語言的處理,它更擅長的是問題與回答。如果說現在的“大腦”的關聯分析、異常檢測、模式的檢出更適合的是以固定的模式,或者非固定的模式,找出一些規律、規則、異常、告警這樣的一些行為。對于認知安全來說,它更能夠體現的是對于非結構化的數據、沒有整理好的數據、一些問答式的、針對特定問題的反饋知識,是它最擅長的。
目前IBM有幾十個方向,把沃森的技術能力放到安全領域。目前已經商用化了一個實例。第一個事例是安全建議官。它可以幫助安全分析師甄別異常的活動。對于安全分析師來說,他每天要做的事情是什么。這里舉了非常簡單的例子。一個安全分析師,他每天用一個小時的時間,通過各種各樣的網絡、討論區獲得最新的安全威脅知識。接下來,他會進行內部的安全分析,可能要花三個小時的時間,通過網上的資源,去找相關的知識。他用四個小時的時間,把他從網絡上搜集到的知識跟內部資料進行關聯。他需要分析企業內部是不是受到了相關感染,是不是有相關的IP連接,是不是要采取什么行動。
沃森的第一個版本,我們希望能夠幫助安全的分析師去縮短時間。獲取知識、進行機器學習、測試和經驗,像剛剛的安全分析師一樣,通過到網上搜索相關信息來獲取知識。他搜索的對象是威脅的數據庫、研究的報告、安全的教材、漏洞披露網站、熱門網站、博客。我們把這些叫做人類衍生的安全性智慧,而這些都是非結構化的數據,都是用自然語言表達的,他需要花大量的時間,自己去分析這些數據。對于沃森來說,第一步獲取的知識就來自于這里,他的一部分知識來自于企業已有的安全分析知識。比如,事件的信息、用戶活動的信息、弱點類漏洞的信息。同時,他也去網上學習人類衍生的安全性智慧。
對這些知識進行分析。我們已經教會了沃森如何判別一個安全類的知識。當你提到惡意軟件的時候,你要了解這個惡意軟件的哪些信息。當你提到蠕蟲的時候,我怎么知道這是網絡上的蠕蟲,而不是身體疾病的蠕蟲。我們訓練沃森了解安全的語言、安全的范疇、安全的知識。
通過自然語言描述的非結構化的數據,沃森會建立自己的知識圖譜。針對這樣的惡意軟件,要獲得哪些信息。同時,我們可以用這種自然語言的方式來進行表達。
這些知識圖譜還會進行測試,也解決他會給出知識的有效性,通過什么樣的語言獲得了這個知識,這個知識的可信度是多少。
這張圖是產品化的截圖,IBM的“大腦”已經分析出你的網絡里有一些異樣。哪些主機、通過哪些IP獲得了相關的惡意軟件。沃森可以直接把這些信息推送給安全分析師。他完成調查安全分析師需要哪些知識。將企業內部的相關數據和外部的數據進行關聯,告訴你現在這個惡意軟件的歷史是什么、溯源是什么、有多少種變形、各種變形的Hashes值是什么、各類廠商針對這類惡意軟件有哪些解決方案,他會把一系列知識都推送給安全分析師。他可以幫助安全分析師獲得更多的信息和洞察。
以前針對一個安全事件,安全分析師要通過幾個小時的時間進行分析響應。現在這個過程變成分鐘級的,他可以把你需要的知識推送到桌面上,也會給你可信度和外部的鏈接,供你進行認證。我們還會把更多的智能信息引入到安全運維領域。
