企業正面臨各式各樣的網絡安全及業務挑戰,既要迎合流動化趨勢、雲運算服務普及化,同時又得滿足用戶追求靈活、高度互動的環境需要。這方面,採用雲運算服務的確可以解決不少問題,然而若想享受雲運算、物聯網等創新科技的優勢,則必須投資適當的網絡安全措施。
2017年,來自各方面的保安預測和資訊,均指出勒索軟件等常見攻擊,將繼續肆虐全球,而針對性的目標攻擊和惡意程式,只會變得愈來愈精密。因此,第一季編輯之選入圍方案當中,亦有兩個分別針對混合雲環境,和工業控制系統的保安方案。至於近年愈趨成熟的人工智能,亦開始應用到保安領域,今季入選方案之一,IBM的Watson for Cyber Security正是當中的佼佼者。
IBM Watson 藉深度學習成資訊保安專家
為了防止遭黑客入侵和資訊外洩,符合法規要求,不少企業都成立了「資訊安全營運中心」(Security Operations Centre,SOC), 以「安全性資訊與事件管理」(SIEM)系統 ;識別不同保安事故;從蒐集日誌檔和網絡流量,擷取分析並發出警報。
SOC必須聘請專業保安分析員(Security Analyst)分析從SIEM發出的事故報告,市場對資深的保安分析員極之渴求,尤其第二級至第三級保安分析員。高級保安分析員,通常負責制訂保安策略和應對手段,研究內部容易受攻擊的網絡弱點,SIEM一旦偵察到可疑入侵事件,保安分析員須分析事故內容和源頭。類似分析工作非常複雜,許多時還要聘請外來專家,制訂反應(Response)和解除威脅的步驟。
IBM擁有QRadar的SIEM方案,配合X-Force保安情報,可幫助QRadar更快識別出保安問題。IBM利用Watson認知運算平台(Cognitive Computing),可憑深度學習技術,訓練出虛擬的保安分析員。IBM稱Watson為擴增智慧(Augmented Intelligence)。Watson通過機器學習獲取知識,作出假設和推論,選擇適合答案,不斷改善答案,幫助專家更快作決定。
IBM推出了Watson for Cyber Security,就是通過深度學習,訓練Watson成資訊保安專家。去年,Watson閱讀超過一百萬份資訊保安文件,掌握網絡安全語言;持續從不同來源學習資訊保安,分析最新的事故。Watson for Cyber Security不單可大幅減少內高級分析員人手緊張的情況,不斷從網上蒐集保安資訊,準確度更高,減少SOC大量處理「錯誤警報」(False positive)耗費的時間。但是Watson for Cyber Security暫時只支援IBM的QRadar方案。
無論如何,Watson for Cyber Security以認知運算改善SOC營運,技術上影響深遠。雖然其他SIEM方案,類似LogRhythm亦開始利用AI引擎(AI Engine)改善SIEM準確度。以技術水平而言,仍與Watson for Cyber Security有一段距離。