IBM刘璐莹:信息安全,快人一步——IBM安全免疫系统

上世纪70年代,IBM为了主机的安全开始研究安全的技术。2005年开始,IBM收购了15家相关的安全公司,形成了IBM的安全体系。2012年,IBM成立了安全系统部,形成了安全体系的整个框架。

IBM的安全是什么?这个数据来自于一个真实的客户。在它的IT环境里,总共有85款安全相关的工具,来自于45个安全厂商。我们知道安全是一个很大的领域。这些是我们平时常见的每个企业都会部署的安全解决方案。也就是我们的安全运维人员、安全分析师每天至少面对这么多的工具、产品、方法,阻止安全威胁,运维安全生产。

在安全领域,每一款工具都可能完成单独的使命。安全的运维人员用不同的工具、不同的手段,以自己的知识运维这样的安全工具。我们会发现在今天的环境里,云、移动、物联网、大数据都是新的话题。同时,这些新技术也给安全带来了更多的威胁和挑战。单独的安全的竖井式的运维方式已经没有办法支撑目前的安全运维保障。

安全运维慢慢地从检查清单式的合规式的防御措施变成了安全框架,或者叫安全平台,或者叫安全体系的安全运维场景。更多的场景下,需要不同的安全领域的工具,来协同合作。基于这样的理念,IBM提出安全的免疫系统。

在现在的大环境下,移动的安全、大数据的安全、云的安全、物联网的安全等等,都有各自不同的领域,由于它有不同的安全特点,可能需要特殊的工具来完成这部分的内容。根据不同层面的安全机制。同时,也把整个体系框架进行了划分。上半部分主要是指在日常的安全运维和响应体系里运用到的话题。主要包括端点管理、网络管理、中枢大脑。这个大脑就像人体的大脑一样,它能够总控身体各个部件的运转。在我们看来,问题不仅仅是这样简单的话题。对于漏洞补丁攻击熟悉的同行可能会知道,以数字去说明的话,绝大部分的漏洞是没有补丁的。下次再遇到这样的攻击,通过打补丁的方式不能解决勒索软件的问题。你需要的是什么?你需要的是一套完整的防护体系。比如,当你再遇到类似情况,如何获得通知。现在又有一个新的病毒出现了,到底有没有补丁。如果没有补丁,它的防护措施是什么。

为了让我们领先于恶意攻击,这需要更多的知识。比如,威胁情报。情报平台可以帮助你第一时间获得最新的知识。哪里有了新病毒的爆发,你可以第一时间获得这样的知识。同时,这样的知识不仅仅是条目,它还会有相关的信息,以及你需要采取的行动。

除了终端和网络之外,我们还有其他的解决方案,我们称之为信息的风险和保护,包括各个领域不同的解决方案。比如,防欺诈、云安全、大数据,也是全部由“大脑”进行支配。这就是框架的底梁。当出现这个事件的时候,“大脑”会收集所有信息,增加安全的可见性。在安全运维工程师的眼里,他看到的是一款款的工具,是登录一个个攻击的界面,看到这个工具正在做什么,然而缺乏对于企业的可见性。“大脑”会收集事件的信息、网络流量的信息、端点的信息、漏洞的信息,增加对安全运维的可见性,我会看见企业里正在发生什么样的事情。当发现了某些异常,“大脑”可以驱动相应的组建启动响应。

在这一整套的安全免疫系统,我们重点介绍两个特点,一个是集成,一个是智能。刚刚提到了集成的一个方面,各个安全的解决方案不再像以前一样是独立的产品,或者独立的工具,它们之间可以互联互通,双向的互联。向上可以反映数据,向下可以执行动作。这是IBM自己的框架,在收购了很多公司以后,把它们集成在一起。实际上不是这样,IBM一直是一个开放的公司,在我们的整个框架里有着大量对外的集成方式。由于这个框架的产生,就形成了防御检测和响应为主体的解决方案。

这种集成的能力并不是IBM产品内部互相集成的关系,我们也非常重视外部的集成关系。我们有安全智能合作的新平台,相当于苹果的应用软件,它是基于安全智能平台的一套APP。如果你想跟安全系统做集成,尤其是跟“大脑”做安全互动,你就可以利用“大脑”提供的API,开发一个APP,这个时候你的信息就可以跟“大脑”技术互动。

这里举两个例子。第一个例子是威胁情报的例子。IBM有自己的威胁情报平台,并且是免费向公众开放的。如果大家有情报的需求,都可以到我们的平台上查询。这个是我们的威胁情报的APP,你有一个“大脑”,你希望它越来越聪明,你从不同情报的数据源得到了一些信息,请“大脑”帮你分析。当你引入这些情报源的时候,只要用到这个APP,它就可以把标准格式的情报直接引入进来,你不需要做更多的定制或者是编程。

我们也可以集成大量的第三方的软硬件产品。如果你的终端不是IBM的,我们也提供这样的APP,或者终端厂商可以基于我们的API做一个APP。第三方厂商的终端信息就可以到你的“大脑”里面来。同时,你的“大脑”也可以向第三方的产品发出指令,告诉它现在要做什么样的事情。

目前这个平台上已经有数十个外挂的APP,分别是不同厂家的产品。基于这样的集成工作,使得IBM的安全免疫系统形成了一套开放的框架,可以适应不同客户的需求。

下面聊一聊安全免疫系统的第二个特点—智能。到底什么是智能?对于IBM来说,我们的商用化的AI平台是沃森。我们把安全分成几类,人类有自己的智慧,“大脑”其实是很智能的,我们把它叫做安全性的智能分析,它适合做什么。另外,我们把沃森放进来,认知安全又适合做什么。人类的专家,他的智能适合做什么。

安全的技能需要大量的安全人才,在这个场景下,人类的安全专家更适合做一般的常识,利用他自己本身的经验,去判断一些模棱两可的、进退两难的知识。

“大脑”的能力在哪里?它比较擅长的是资料的关联,我把事件收起来了,很多企业的事件都是以每秒数十万来计算的,数据的动态关联是它比较擅长的。找出模式,正常和异常的模式、异常的检测。排定优先顺序、数据的可视化、工作流程。这些都是现有的安全工具所擅长的。

人工智能擅长的是什么?在人工智能领域,它最擅长的是非结构化的对于自然语言的处理,它更擅长的是问题与回答。如果说现在的“大脑”的关联分析、异常检测、模式的检出更适合的是以固定的模式,或者非固定的模式,找出一些规律、规则、异常、告警这样的一些行为。对于认知安全来说,它更能够体现的是对于非结构化的数据、没有整理好的数据、一些问答式的、针对特定问题的反馈知识,是它最擅长的。

目前IBM有几十个方向,把沃森的技术能力放到安全领域。目前已经商用化了一个实例。第一个事例是安全建议官。它可以帮助安全分析师甄别异常的活动。对于安全分析师来说,他每天要做的事情是什么。这里举了非常简单的例子。一个安全分析师,他每天用一个小时的时间,通过各种各样的网络、讨论区获得最新的安全威胁知识。接下来,他会进行内部的安全分析,可能要花三个小时的时间,通过网上的资源,去找相关的知识。他用四个小时的时间,把他从网络上搜集到的知识跟内部资料进行关联。他需要分析企业内部是不是受到了相关感染,是不是有相关的IP连接,是不是要采取什么行动。

沃森的第一个版本,我们希望能够帮助安全的分析师去缩短时间。获取知识、进行机器学习、测试和经验,像刚刚的安全分析师一样,通过到网上搜索相关信息来获取知识。他搜索的对象是威胁的数据库、研究的报告、安全的教材、漏洞披露网站、热门网站、博客。我们把这些叫做人类衍生的安全性智慧,而这些都是非结构化的数据,都是用自然语言表达的,他需要花大量的时间,自己去分析这些数据。对于沃森来说,第一步获取的知识就来自于这里,他的一部分知识来自于企业已有的安全分析知识。比如,事件的信息、用户活动的信息、弱点类漏洞的信息。同时,他也去网上学习人类衍生的安全性智慧。

对这些知识进行分析。我们已经教会了沃森如何判别一个安全类的知识。当你提到恶意软件的时候,你要了解这个恶意软件的哪些信息。当你提到蠕虫的时候,我怎么知道这是网络上的蠕虫,而不是身体疾病的蠕虫。我们训练沃森了解安全的语言、安全的范畴、安全的知识。

通过自然语言描述的非结构化的数据,沃森会建立自己的知识图谱。针对这样的恶意软件,要获得哪些信息。同时,我们可以用这种自然语言的方式来进行表达。

这些知识图谱还会进行测试,也解决他会给出知识的有效性,通过什么样的语言获得了这个知识,这个知识的可信度是多少。

这张图是产品化的截图,IBM的“大脑”已经分析出你的网络里有一些异样。哪些主机、通过哪些IP获得了相关的恶意软件。沃森可以直接把这些信息推送给安全分析师。他完成调查安全分析师需要哪些知识。将企业内部的相关数据和外部的数据进行关联,告诉你现在这个恶意软件的历史是什么、溯源是什么、有多少种变形、各种变形的Hashes值是什么、各类厂商针对这类恶意软件有哪些解决方案,他会把一系列知识都推送给安全分析师。他可以帮助安全分析师获得更多的信息和洞察。

以前针对一个安全事件,安全分析师要通过几个小时的时间进行分析响应。现在这个过程变成分钟级的,他可以把你需要的知识推送到桌面上,也会给你可信度和外部的链接,供你进行认证。我们还会把更多的智能信息引入到安全运维领域。

上一篇:海尔茹昭:从智能家电到智慧生活

下一篇:腾讯马劲松:WannaCry病毒事件的反思