压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

大數(shù)據(jù)、智能機(jī)器和分析工具，都需要人來(lái)掌舵。

隨著高針對(duì)性網(wǎng)絡(luò)攻擊成為新常態(tài)，公司企業(yè)逐漸發(fā)現(xiàn)，以往沒(méi)什么存在感的安全運(yùn)營(yíng)中心(SOC)，真真切切成了公司的堅(jiān)實(shí)依靠。

SOC以各種形態(tài)存在了數(shù)十年，最近幾年才因企業(yè)地理分布和技術(shù)組成的日趨復(fù)雜對(duì)集中安全監(jiān)視有需求，而蓬勃發(fā)展起來(lái)。

將專業(yè)技能集中到一個(gè)地方，或者跨區(qū)域虛擬化它們，可以很好地應(yīng)對(duì)安全威脅的快速增長(zhǎng)。但在已知安全威脅逐漸讓位于全新未知威脅的世界里，使用傳統(tǒng)工具和產(chǎn)品并不能取得曾經(jīng)的輝煌戰(zhàn)果。

盡管很多成功的安全突破案例是以相對(duì)簡(jiǎn)單的技術(shù)和常見(jiàn)漏洞實(shí)現(xiàn)的，但結(jié)合了這些常用技術(shù)與未知漏洞的新型攻擊出現(xiàn)的概率也已大幅增加。

很難估測(cè)新攻擊涌現(xiàn)的規(guī)模，但未知威脅可以是非預(yù)期內(nèi)部人攻擊，也可以是內(nèi)部憑證濫用，或者是幾個(gè)零日軟件漏洞利用。從SOC的角度看，最近的例子就是2017年影響了多個(gè)行業(yè)數(shù)千家公司企業(yè)的WannaCry和NotPetya攻擊了。

面對(duì)攻擊，SOC的有效性以響應(yīng)、緩解和清除來(lái)衡量。在幾分鐘甚或幾秒內(nèi)做出反應(yīng)是有差別的，安全響應(yīng)計(jì)劃的質(zhì)量也決定著SOC的有用程度。檢測(cè)不再是唯一的博弈；SOC需要快速響應(yīng)，否則將陷入長(zhǎng)期應(yīng)付各種混亂的泥潭，難以脫身。

AI應(yīng)用正當(dāng)時(shí)

現(xiàn)實(shí)如此艱難，我們毫不意外頂著AI名頭的各種技術(shù)好像救世主一樣帶著不甚明朗的種種承諾漸次降臨。

傳統(tǒng)SOC依靠各層安全傳感器及系統(tǒng)，所有這些傳感器和系統(tǒng)都會(huì)產(chǎn)生日志和事件之類的信息。多年來(lái)對(duì)這些信息的處理，都是盡可能地導(dǎo)入安全信息及事件管理(SIEM)之類系統(tǒng)所用的存儲(chǔ)庫(kù)中。隨著事件和日志數(shù)據(jù)的增長(zhǎng)，分析與決策的復(fù)雜度也在上升，進(jìn)而導(dǎo)致威脅檢測(cè)與響應(yīng)時(shí)間上的挑戰(zhàn)。

但如今響應(yīng)時(shí)間就是一切，因?yàn)楣酒髽I(yè)必須接受自己終會(huì)被攻破的事實(shí)。這就讓公司企業(yè)在可產(chǎn)生過(guò)多誤報(bào)的過(guò)度檢測(cè)與導(dǎo)致漏報(bào)的檢測(cè)不足之間坐立難安了。而且，檢測(cè)、分類、響應(yīng)和必要時(shí)升級(jí)威脅事件的人才需求，還在進(jìn)一步惡化本就極度短缺的安全人才供應(yīng)現(xiàn)狀。

AI，更確切的說(shuō)，機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析，被認(rèn)為是走出這一泥沼的通途——因?yàn)锳I可以做到人們用SIEM難以做到的事，也就是自動(dòng)化快速關(guān)聯(lián)并識(shí)別異常。問(wèn)題在于，AI不是一種標(biāo)準(zhǔn)化技術(shù)，而是一組概念和算法，人們很難區(qū)分市面上主打AI牌的產(chǎn)品到底是不是概念炒作。

如果非要給AI重新定義一下，或許叫“增強(qiáng)智能”更合適。人工智能這個(gè)概念太容易被誤解了。

真正與SOC相關(guān)的部分，是大數(shù)據(jù)結(jié)合AI來(lái)輔助分析。

除了響應(yīng)，AI的另一個(gè)重要好處，是可以學(xué)得更快(或者說(shuō)，是可以學(xué)習(xí))——說(shuō)回到我們上面提及的未知威脅問(wèn)題上了。網(wǎng)絡(luò)攻擊一直在進(jìn)化，運(yùn)用各種不同方法找尋并利用漏洞，但這種進(jìn)化終歸是漸進(jìn)式的。如果可以用AI分析器來(lái)理解這些微小改變中蘊(yùn)含的深層模式，防御者就能發(fā)現(xiàn)跟上攻擊進(jìn)化腳步的方法。

異常響應(yīng)

究其核心，SOC安全有賴于異常識(shí)別——發(fā)現(xiàn)不正常或非預(yù)期的孤立數(shù)據(jù)點(diǎn)。工具、過(guò)程、人力響應(yīng)等等全基于此。但異常不僅僅各網(wǎng)絡(luò)、各設(shè)備、各系統(tǒng)不同，還是不可避免的。個(gè)別用戶的大部分異常行為，或其產(chǎn)生的網(wǎng)絡(luò)流量，往往都是完全無(wú)辜的。反而正常流量中也可隱藏有攻擊者濫用被盜特權(quán)憑證所制造的異常流量。傳統(tǒng)邊界安全方法非常難以發(fā)現(xiàn)這種異常，因?yàn)榇祟愴斨貦?quán)憑證保護(hù)傘的異常流量看起來(lái)完全合法。

想要在SOC中有效使用AI，需要建立起綜合考慮各種因素的基線以識(shí)別異常。理論上，有必要基于多個(gè)數(shù)據(jù)點(diǎn)而非單一用戶或資源來(lái)建立基線。AI的強(qiáng)大之處在于，可用于定義基線和偏離值的數(shù)據(jù)點(diǎn)在理論上是沒(méi)有任何限制的。

AI引入的是學(xué)習(xí)的能力，也就是隨時(shí)間進(jìn)程不斷調(diào)整這些參數(shù)的能力。AI將能分辨出這些異常是否是安全團(tuán)隊(duì)需要關(guān)注的。但如果安全人員突然發(fā)現(xiàn)有異常是誤報(bào)，那AI系統(tǒng)就應(yīng)反饋給分析系統(tǒng)，告訴分析系統(tǒng)此類異常是預(yù)期行為，不用報(bào)告。

這其中不可替代的一個(gè)角色，是人類決策者，包括從檢測(cè)、響應(yīng)、緩解到高級(jí)取證的各層人才。AI可以向他們報(bào)告問(wèn)題，但還不能告訴他們?cè)撛趺醋觥?/p>

AI不是神，搞不出機(jī)器全權(quán)接管網(wǎng)絡(luò)防御工作的神奇轉(zhuǎn)變。它就是個(gè)工具，人類才是那個(gè)永恒的決策者，利用機(jī)器智能提供的分析來(lái)做出更快更好的決策。

AI本身不是安全問(wèn)題的答案。人類應(yīng)該用學(xué)習(xí)系統(tǒng)反饋進(jìn)推理引擎和分析器。概念上而言，數(shù)據(jù)分析器和AI能提升數(shù)據(jù)分析的速度。是否啟動(dòng)網(wǎng)絡(luò)響應(yīng)計(jì)劃的最終決策權(quán)，在SOC經(jīng)理手上。

SOC新世界

所有這些都沒(méi)真正闡述清楚AI到底怎么搞定SIEM難以解決的問(wèn)題——簡(jiǎn)單添加傳感器和安全層可能導(dǎo)致更多警報(bào)，增加SOC的評(píng)估和響應(yīng)負(fù)擔(dān)。如果沒(méi)有一定的參考點(diǎn)，安全經(jīng)理如何判斷哪些警報(bào)需要跟進(jìn)而哪些直接無(wú)視就好？

而這，正是用戶行為分析(UBA)和更新的用戶及實(shí)體行為分析(UEBA)的長(zhǎng)項(xiàng)所在。對(duì)UEBA而言，最重要的不單單是基線的概念——所謂的可供識(shí)別異常的“正常”，而在于這是建立在與網(wǎng)絡(luò)用戶及賬號(hào)相關(guān)聯(lián)的行為基礎(chǔ)之上。

用戶監(jiān)視可不是什么新概念，早已存在多年，但近年來(lái)興起的機(jī)器學(xué)習(xí)賦予了它各種可能性，增強(qiáng)了用戶監(jiān)視對(duì)于SOC的效用。與基于規(guī)則的系統(tǒng)不同，UEBA利用機(jī)器學(xué)習(xí)的基線建立過(guò)程，可隨用戶的行為變化調(diào)整對(duì)用戶行為的整體認(rèn)知，更深入地理解用戶行為。如果需要的話，這一原則還可延伸到應(yīng)用程序和設(shè)備上。

這簡(jiǎn)直就是為機(jī)器學(xué)習(xí)量身打造的工作：這種應(yīng)用場(chǎng)景里，安全分析就是簡(jiǎn)單地將各種算法應(yīng)用到另一種大數(shù)據(jù)難題上而已。而機(jī)器學(xué)習(xí)，正好是大數(shù)據(jù)沃土里成長(zhǎng)的樹(shù)苗。不過(guò)，雖然概念聽(tīng)起來(lái)都很明智合理，此類系統(tǒng)卻還只是出于發(fā)展初期階段，它們的有效性還需經(jīng)由處理現(xiàn)實(shí)世界安全事件來(lái)體現(xiàn)。

SOC防御者有時(shí)間來(lái)完善UEBA，但鑒于時(shí)代的變遷和威脅的升級(jí)，留給他們的時(shí)間或許不像有些人想象的那么多。