人類擅長運用生活經驗與所學知識來感知,並與所處環境互動。如果企業組織的資訊安全系統也擁有相同能力,內部資安人員便能透過完整而一致的知識與團隊快速地將系統打造成一座無堅不摧的護城堡壘。認知技術能夠運用具備瞭解、推理與學習能力的安全系統戰勝威脅,搶得先機。
隨著認知系統分辨異常事件與行為的觀察能力漸長,封鎖新型威脅的整合性防禦能力也不斷升級,認知系統幫助資安人員提升對抗新興威脅的速度與效率,也解決了現今資安技術的落差問題,提升資安人員控管風險的信心(圖1)。
 |
| ▲ 圖1 認知系統幫助資安人員提升對抗新興威脅的速度與效率,也解決了現今資安技術的落差問題,提升資安人員控管風險的信心。 |
然而,認知系統終究必須回歸傳統資安的基礎框架之下,以情報資料為基礎,運用認知技術加以分類偵測,並且以前所未見的速度與規模提供有助於行動化執行參考的資訊,把過去安全情資與巨量資料分析的非結構化資料,轉化成檢視當下情況與應對策略的一大助力,提高整體環境的資安防護能力(圖2)。
 |
| ▲ 圖2 在新舊技術的堆疊之下,整體資安環境可獲得固若金湯的防護能力。 |
學習、理解、推論與洞察大數據
傳統資安系統的程式編寫往往是根據預先定義的參數(Pre-defined Parameter),來回應要求、決策以及分析資料。認知系統能夠解釋資料,藉由虛擬互動擴建知識庫,根據深入洞察研判各種可能性,並考量相關變數來協助展開行動。
過去人們重視系統的多工性,而認知系統則擅長漏洞搜尋、融會貫通、差異偵測,並能過濾數以百萬計的事件以建立可據以採取行動的知識庫。認知型的解決方案不只提供人們所要的答案,也可提出假說、其來有自的推理證據與建議。在過去,透過系統存取非結構化資料簡直是天方夜譚,但如今認知系統擁有解析80%資料的能力,並且能從眾多來源與位置整合非結構化與結構化資料。正當全球經濟不斷向資訊技術靠攏,資料因此成為當今蘊藏量最高、最寶貴,也最複雜的原物料,現代人透過挖掘結構化與非結構化資料的方法,不斷地擷取可用的功能與模式來即時提供事件脈絡,有助於獲得更好的決策依據。
在類人思維模式的快速進展之下,認知安全功能有以下三大支柱:
1. 瞭解並合理化非結構化資料與自然語言文本。這就是透過「閱讀」書本、報告、部落格以及產業相關資料、「目視」影像、「耳聽」情境內的自然語言,吸收並處理資訊的能力。
2. 透過解釋與組織知識的能力進行推進,並依據邏輯論斷提供合理解釋。
3. 透過持續累積資料、從互動中累積洞察,進而持續學習。
過度熱衷於偵測惡意軟體、威脅攻擊、離群值、異常行為,會導致錯誤警報大幅增加。然而,多維度的場景則是認知系統優勢可發揮之處。在今日的世界裡,整合性安全基礎架構所展現的專業樣貌已經超越了非黑即白的結果判定,不斷擴大的灰色地帶就是認知系統一展長才的舞台。
關鍵在於認知系統的直覺、情報與洞察層級不斷提升,並且能透過資料的輔助從看似正常的行為中,察覺細微差異中的新興威脅,藉此擴展視野並針對全面的情勢先發制人。
1.打通SOC分析師的任督二脈
認知系統能夠理解海量的結構化與非結構化資料(像是研究報告與最佳做法),並即時提供建議,資淺分析師將因此獲益,實力三級跳。
2.透過外部情資快速應變
在下一波Heartbleed襲擊時,人們會在部落格記錄防範攻擊的全部過程,認知系統能夠爬取(Crawl)資料,快速察覺如何防範下一波零時差攻擊(Zero-day Exploit),即使在攻擊特徵尚未明朗之前,自然語言也有能力回覆相關問題。
3.高階分析功能找出威脅
認知系統透過機器學習、分群分類,建立實體關係模型來找出潛在威脅,以便在災害發生以前,快速分析與偵測高風險使用者行為、資料外洩與惡意軟體的蹤跡。
4.強化應用程式安全性
認知系統能夠理解數據中的語意,並且從中探索編碼及其架構,從漏洞報告的研究結果中淬煉出可執行物件集,根據編碼引導資安人員發現漏洞位置來執行修補。
5.降低企業風險
未來的認知系統將能夠分析大量互動,並依據其本質與弱點建立風險檔案,提供企業組織、公司活動、作為再教育使用。認知系統也可用自然語言處理,找到企業組織的敏感資料進行編寫。
逆轉未來網路犯罪
認知系統能夠從龐大的惡意軟體資料庫中分析特徵與特性,偵測出最細微的共通點。關鍵原因在於:惡意軟體的種類雖然非常多樣,但是網路犯罪集團不過是將編碼進化,因此現今活躍的惡意軟體基本上都是彼此關聯。運用認知系統來分析上千個可疑的執行檔,將其分類並進行比對,找出攻擊模式,即便在人類未能知悉惡意軟體的特徵與比對方式下,認知系統仍可找出攻擊模式,協助快速偵測與分類新型惡意軟體變種。
由於認知安全社群逐漸成長,新型攻擊遂行攻擊的成功率大減,網路犯罪將進入新的經濟型態。駭客要設計出能躲避偵測之惡意軟體的難度將更加複雜,且所費不貲。根據Ponemon機構2015年所發布的資料外洩影響調查報告指出,美國企業組織平均要花256天才能偵測到進階持續威脅,而每次資料外洩平均造成650萬美元損失。認知安全系統發出潛在攻擊警告提醒資安人員,並且快速進行偵測,因此,網路罪犯的犯罪報酬也會大幅驟減。
認知運算透過善用資料、意義、知識、流程與活動進展,以迅雷不及掩耳的速度引領重大改變,重視認知技術的企業組織也將獲得影響深遠的競爭優勢,前提是整合性與專業知識缺一不可。現階段仍有太多的資安防護為獨立運行、無法整合的控管措施,根本難以提供有助快速因應的可視性與可執行情資。
再加上新型威脅層出不窮,資安專業知識與威脅情資的分享是刻不容緩,IBM X-Force Exchange記載了超過88,000種漏洞,從1億個網路端點蒐集擁有超過250億個網頁與資料,提供全球性、可採取行動的專業服務。
儘管全球發展認知的旅程才剛剛起步,但是IBM Security所具備的人才與經濟實力足以引領資安迎向認知新時代。全球的36個資安維運中心,集結了超過7,500位IBM資安專家隨時監控133個國家與每天350億起事件,更重要的是IBM數十年來投入研發認知技術,在過去5年中已展現絕佳成果,例如處理自然語言、聲音、影像技術,把非結構化資料打造成可輕易查詢的知識圖表等工具,讓企業與組織得以運用認知技術持續優化整體防護力,並協助資安人員提升專業知識。
<(本文取材自IBM認知安全白皮書,譯者為IBM資安防禦協理謝明君)>