IBM藉認知安全技術 啟發企業的數位免疫能量

2017/05/18 - DIGITIMES企劃

經IBM調查發現,現今企業認為資訊安全的最大挑戰,乃是基於威脅的速度愈來愈快、複雜性愈來愈高,故而急需減少事件回應及解決的時間,並有效改進安全威脅分析能力,如此才可望將網路安全風險降到最低,一來避免企業營運中斷,二來避免後果更加嚴重的品牌信譽損失。

持平而論,儘管企業普遍期望爭取事故的回應與解決時效,並增強分析能力,但要想順利實現這些目標,並不容易,只因多數企業不論在「情報」、「速度」與「準確性」等面向,都明顯暴露弱點;台灣IBM企業資訊安全事業處資深技術顧問曾心天認為,若僅靠人力介入,哪怕專業能力再強,都不易弭平前述三大差距,唯一突破之道,便是與智能掛鉤。

為此,IBM安全事業部門持續對認知技術進行投資,因為認知安全不僅僅提供解開及使用所有資料的能力,更可連接模糊資料點,幫助企業挖掘過往難以發現的真相,快速準確地檢測與應對威脅。

據調查,93%的SOC經理無法分析所有潛在威脅,31%的企業組織由於無法處理而被迫忽略逾半數的安全警報,顯見大多數企業安全單位,難以持續有效跟進廣大無窮的安全知識。

曾心天表示,IBM基於認知安全所設計的解決方案,首先是今年(2017)首季發佈的Watson for Cyber Security,它相當於雲端上的安全顧問,可憑藉持續性自動化能力,獲取外部公開可用的安全內容,接著進行自然語言處理,從中學習與吸收安全概念並建立關聯性,再透過機器學習獲得新知識,設定一組指標深入探索其知識庫、以提供洞察,繼而以相關指標的形式提出證據,終至接受回饋以改進其知識分析,形成生生不息的正面循環。

妙用雲端安全顧問  抵禦進階威脅

至於Watson for Cyber Security所學習的知識範圍,包括指標、安全弱點、惡意軟體名稱等等結構性安全資料,及從部落格、網站或新聞爬找關鍵的非結構化安全資料。針對每小時數十億資料元素、每週數百萬份文件,經由過濾與機器學習刪除不必要訊息,減量後再以機器學習、自然語言處理等技術提取與註解蒐集的數據,最終描繪出數十億的節點與面,形成大規模的安全知識圖。

換言之,Watson for Cyber Security可透過汲取新的安全知識,不斷增長與調適其智慧,更有能力認知探索可疑活動,及識別安全事件原因與其他的指標行為,建立及找出人工容易錯過的路徑與關聯;更重要的,任何學習、調適成果,皆永不遺忘。

曾心天補充道,IBM一併推出QRadar Watson Advisor,它是一個外掛的小App,旨在讓企業部署的IBM QRadar SIEM得以連結Watson,藉助Watson所獲得的龐大安全知識,裨益安全分析師可升級SOC作業,解決技術短缺、過多的告警、事件回應的延遲,乃至當前安全訊息與程序風險的應對能力等種種挑戰,迅速精確地對安全事件調查取樣工作;影響所及,原本透過手動威脅分析所需數日到數週的冗長時程,可望急遽縮短為數分鐘至數小時,大幅節省寶貴的時間與資源。

附帶一提,IBM也善用認知技術,在2017年首季期間,正式為其BigFix安全管理平台增添偵測新功能,有別於傳統偏向靜態佐證的IoC(Indicator of Compromise),堪稱是一種基於惡意軟體啟發式、動態性質的IoA(Indication of Attack),具備探知零日攻擊的能力,足以令駭客無從迴避、無所遁形。


圖說:台灣IBM企業資訊安全事業處資深技術顧問曾心天。