压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

大數(shù)據(jù)、智能機器和分析工具，都需要人來掌舵。

隨著高針對性網(wǎng)絡攻擊成為新常態(tài)，公司企業(yè)逐漸發(fā)現(xiàn)，以往沒什么存在感的安全運營中心(SOC)，真真切切成了公司的堅實依靠。

SOC以各種形態(tài)存在了數(shù)十年，最近幾年才因企業(yè)地理分布和技術組成的日趨復雜對集中安全監(jiān)視有需求，而蓬勃發(fā)展起來。

將專業(yè)技能集中到一個地方，或者跨區(qū)域虛擬化它們，可以很好地應對安全威脅的快速增長。但在已知安全威脅逐漸讓位于全新未知威脅的世界里，使用傳統(tǒng)工具和產(chǎn)品并不能取得曾經(jīng)的輝煌戰(zhàn)果。

盡管很多成功的安全突破案例是以相對簡單的技術和常見漏洞實現(xiàn)的，但結合了這些常用技術與未知漏洞的新型攻擊出現(xiàn)的概率也已大幅增加。

很難估測新攻擊涌現(xiàn)的規(guī)模，但未知威脅可以是非預期內(nèi)部人攻擊，也可以是內(nèi)部憑證濫用，或者是幾個零日軟件漏洞利用。從SOC的角度看，最近的例子就是2017年影響了多個行業(yè)數(shù)千家公司企業(yè)的WannaCry和NotPetya攻擊了。

面對攻擊，SOC的有效性以響應、緩解和清除來衡量。在幾分鐘甚或幾秒內(nèi)做出反應是有差別的，安全響應計劃的質(zhì)量也決定著SOC的有用程度。檢測不再是唯一的博弈；SOC需要快速響應，否則將陷入長期應付各種混亂的泥潭，難以脫身。

AI應用正當時

現(xiàn)實如此艱難，我們毫不意外頂著AI名頭的各種技術好像救世主一樣帶著不甚明朗的種種承諾漸次降臨。

傳統(tǒng)SOC依靠各層安全傳感器及系統(tǒng)，所有這些傳感器和系統(tǒng)都會產(chǎn)生日志和事件之類的信息。多年來對這些信息的處理，都是盡可能地導入安全信息及事件管理(SIEM)之類系統(tǒng)所用的存儲庫中。隨著事件和日志數(shù)據(jù)的增長，分析與決策的復雜度也在上升，進而導致威脅檢測與響應時間上的挑戰(zhàn)。

但如今響應時間就是一切，因為公司企業(yè)必須接受自己終會被攻破的事實。這就讓公司企業(yè)在可產(chǎn)生過多誤報的過度檢測與導致漏報的檢測不足之間坐立難安了。而且，檢測、分類、響應和必要時升級威脅事件的人才需求，還在進一步惡化本就極度短缺的安全人才供應現(xiàn)狀。

AI，更確切的說，機器學習和大數(shù)據(jù)分析，被認為是走出這一泥沼的通途——因為AI可以做到人們用SIEM難以做到的事，也就是自動化快速關聯(lián)并識別異常。問題在于，AI不是一種標準化技術，而是一組概念和算法，人們很難區(qū)分市面上主打AI牌的產(chǎn)品到底是不是概念炒作。

如果非要給AI重新定義一下，或許叫“增強智能”更合適。人工智能這個概念太容易被誤解了。

真正與SOC相關的部分，是大數(shù)據(jù)結合AI來輔助分析。

除了響應，AI的另一個重要好處，是可以學得更快(或者說，是可以學習)——說回到我們上面提及的未知威脅問題上了。網(wǎng)絡攻擊一直在進化，運用各種不同方法找尋并利用漏洞，但這種進化終歸是漸進式的。如果可以用AI分析器來理解這些微小改變中蘊含的深層模式，防御者就能發(fā)現(xiàn)跟上攻擊進化腳步的方法。

異常響應

究其核心，SOC安全有賴于異常識別——發(fā)現(xiàn)不正?；蚍穷A期的孤立數(shù)據(jù)點。工具、過程、人力響應等等全基于此。但異常不僅僅各網(wǎng)絡、各設備、各系統(tǒng)不同，還是不可避免的。個別用戶的大部分異常行為，或其產(chǎn)生的網(wǎng)絡流量，往往都是完全無辜的。反而正常流量中也可隱藏有攻擊者濫用被盜特權憑證所制造的異常流量。傳統(tǒng)邊界安全方法非常難以發(fā)現(xiàn)這種異常，因為此類頂著特權憑證保護傘的異常流量看起來完全合法。

想要在SOC中有效使用AI，需要建立起綜合考慮各種因素的基線以識別異常。理論上，有必要基于多個數(shù)據(jù)點而非單一用戶或資源來建立基線。AI的強大之處在于，可用于定義基線和偏離值的數(shù)據(jù)點在理論上是沒有任何限制的。

AI引入的是學習的能力，也就是隨時間進程不斷調(diào)整這些參數(shù)的能力。AI將能分辨出這些異常是否是安全團隊需要關注的。但如果安全人員突然發(fā)現(xiàn)有異常是誤報，那AI系統(tǒng)就應反饋給分析系統(tǒng)，告訴分析系統(tǒng)此類異常是預期行為，不用報告。

這其中不可替代的一個角色，是人類決策者，包括從檢測、響應、緩解到高級取證的各層人才。AI可以向他們報告問題，但還不能告訴他們該怎么做。

AI不是神，搞不出機器全權接管網(wǎng)絡防御工作的神奇轉(zhuǎn)變。它就是個工具，人類才是那個永恒的決策者，利用機器智能提供的分析來做出更快更好的決策。

AI本身不是安全問題的答案。人類應該用學習系統(tǒng)反饋進推理引擎和分析器。概念上而言，數(shù)據(jù)分析器和AI能提升數(shù)據(jù)分析的速度。是否啟動網(wǎng)絡響應計劃的最終決策權，在SOC經(jīng)理手上。

SOC新世界

所有這些都沒真正闡述清楚AI到底怎么搞定SIEM難以解決的問題——簡單添加傳感器和安全層可能導致更多警報，增加SOC的評估和響應負擔。如果沒有一定的參考點，安全經(jīng)理如何判斷哪些警報需要跟進而哪些直接無視就好？

而這，正是用戶行為分析(UBA)和更新的用戶及實體行為分析(UEBA)的長項所在。對UEBA而言，最重要的不單單是基線的概念——所謂的可供識別異常的“正?！保谟谶@是建立在與網(wǎng)絡用戶及賬號相關聯(lián)的行為基礎之上。

用戶監(jiān)視可不是什么新概念，早已存在多年，但近年來興起的機器學習賦予了它各種可能性，增強了用戶監(jiān)視對于SOC的效用。與基于規(guī)則的系統(tǒng)不同，UEBA利用機器學習的基線建立過程，可隨用戶的行為變化調(diào)整對用戶行為的整體認知，更深入地理解用戶行為。如果需要的話，這一原則還可延伸到應用程序和設備上。

這簡直就是為機器學習量身打造的工作：這種應用場景里，安全分析就是簡單地將各種算法應用到另一種大數(shù)據(jù)難題上而已。而機器學習，正好是大數(shù)據(jù)沃土里成長的樹苗。不過，雖然概念聽起來都很明智合理，此類系統(tǒng)卻還只是出于發(fā)展初期階段，它們的有效性還需經(jīng)由處理現(xiàn)實世界安全事件來體現(xiàn)。

SOC防御者有時間來完善UEBA，但鑒于時代的變遷和威脅的升級，留給他們的時間或許不像有些人想象的那么多。