網絡入侵事故增加,監管當局要求更嚴格的合規審查,企業耗費於資訊保安的預算,愈來愈大。但是,即使購買了大量保安產品,建立監控設備,仍須聘請適合人材分析。
不少企業索性採用托管式服務,但一旦發生保安事故,仍須靠IT保安分析作內部調查。所以,保安分析人員已成IT行業最炙手可熱的人材。
全球資訊保安人員不少都考取CISSP資格,或者不同專業認證如CISA或CISM,作為網絡保安的專業資格。不少IT討論區經常將有關資歷,更形容為升職加薪的終南捷徑;資訊保安分析人員供不應求;IT環境又漸趨細分,即使CISSP亦出現更多專業認證,分工精密,又需求更多人材。
據IT保安訓練機構Infosec的統計,美國今年獲得CISSP資格後起薪點,平均年薪起點超過10萬美元,香港情況也差不多。不少取得資訊保安的資格後;從事有關的行業,可能是加入企業的「資訊安全營運中心」(Security Operations Centre,SOC)擔任分析師。SOC作為管理企業保安的中心,通過不同工具蒐集數據;以大數據、流量分析、SIEM平台,監察是否遭受網絡入侵。企業一般又會安裝的「安全性資訊與事件管理」(SIEM) ;識別不同保安事故;從蒐集的日誌檔和網絡流量,擷取分析,並發出適當的警報。
2011年,IBM收購了Q1 Labs,擁有QRadar的SIEM方案,再配合X-Force保安情報,以幫助QRadar更快識別出保安問題。除了QRadar外,市場上還有多種不同SIEM方案,包括HPE的ArcSight、Splunk和EMC的RSA等。但過去兩年,IBM的SIEM銷售增長,幾乎一枝獨秀。
IT保安方興未艾
IBM安全事業部大中華區總監林澤芬說:「雖然IBM沒有推出防火牆之類硬件,但資訊保安每年收入已達二十億美元。除了QRadar,又提供托管式保安、IPS等多項保安方案。」
林澤芬說,保安事故平均成本屢創新高,識別風險或入侵平均時間,卻仍長達二百零一天;未來安全事故數量,預計會以倍數增長。
不少資料保安的內容,都不屬於結構性資料,無法系統化分析。分析人員從不同資料來源,再判斷事故警告的嚴重性。分析人員先閱讀大量研究文獻、電腦保安事故協調中心發出的保安警報(Security Advisory),甚至瀏覽保安事故的討論區,接收各個機構分享的情報。分析人員每天分析數十個報告,可能已疲於奔命。
Watson受訓成保安專家
SIEM方案偵察安全異常事故,但也難避免有不少誤嗚。林澤芬說:「QRadar規則引擎(Rule Engine),已相對於其他SIEM方案,較易針對日常誤嗚改動,減少錯誤警報。」但SIEM方案系統難免誤報,異常活可能源於入侵,亦可能從人為因素引起。
分析人員要從內部數據找到線索,又要從外部大量文獻去引證有關事故是否攻擊。不少有關資料,都並非以結構性資料存在,傳統運算系統無法處理,必須人類逐一解讀。
因此,類似Watson能夠讀懂自然語言的認知運算,有望減輕分析人員的工作負擔。IBM利用了Watson,推出了Watson for Cyber Security。
IBM的Watson,屬於全新的運算領域,又稱之為認知運算(Cognitive computing),不單可以理解人類自然語言,透過閱讀大量文獻,以交談方式接受查詢和回答問題,成為某一方面專家,提供專業意見供參考。IBM不把Watson的智能定義為「人工智慧」(Artificial Intelligence),而稱之為「擴增智能」(Augmented Intelligence),也就是使用技術,以增強人類智力。Watson擴增智能已應用於醫學、金融、客戶服務,幫助診斷不同癌症和建議治療方法。
IBM使用Watson「擴增智能」,訓練成資訊保安專家,單是去年Watson閱讀超過一百萬份資訊保安文件,並學習了網絡安全語言。
林澤芬說:「網絡安全有不少專門術語;詞彙跟一般有截然不同涵義。以『Honeypot』一詞為例,網絡安全之中,泛指偽裝成受害的電腦,誘使黑客作出攻擊,從而蒐集攻擊資料的服務器;意思大異其趣,Watson必須掌握類似詞彙的含意。」
Watson每日可從SIEM,快速分析多個數據流,將之與最新攻擊情報進行比較。Watson數分鐘內,就可提供關於有關事故的威脅報告,偵查以至確定SIEM事故,縮短作出反應的時間。2013年,美國零售商Target收銀系統被攻擊,即使保安系統發出警告,調查仍耗費大量時間,結果釀成災難。
Watson加快偵查事故
Watson for Cyber Security整合至IBM的SOC產品,平台核心為IBM QRadar Advisor with Watson,為QRadar客戶加快偵查各項保安事故。
IBM也利用Watson的自然語言能力,幫助SOC內的保安分析人員,更快掌握實時威脅和內部的保安情況。IBM通過全球十多個SOC,加上X-Force Exchange安全情報,可即時獲悉最新威脅,是否對企業現存內部弱點,有即時性的影響,並馬上建議作出補救。
IBM也推出專為資訊安全而設的語音驅動助手Havyn;利用Watson API、BlueMix、IBM Cloud,通過交談與命令,即時查詢多項保安狀態;其中包括從開源工具;如從X-Force Exchange,獲得攻擊情報,查詢企業數據,對比保安工具取得資料,衡量遭入侵的可能,甚至推薦補救措施等。Havyn也懂從交談不斷學習,預先估計問題,改善答案準繩度。
理論上,IBM QRadar Advisor with Watson可支援QRadar,亦可用於其他廠商SIEM產品。但林澤芬未表明,IBM上述Watson性能,是否會擴展至其他SIEM平台。