PDF《IBM Security》

IBM Security

2016 年4月认知安全 以具备理解、推理和学习能力 的安全性来发展防御能力

2 认知安全 目录

03 全新的必备能力

03 什么是认知安全?

04 从遵从到认知

06 认知安全的优势

07 挖掘越深,视角越广

10 缩小技术差距

08 使用案例:释放认知

09 未来:扭转网络犯罪经济

09 认知生态系统的集成和专业知识

10 IBM 如何为您助力

10 立即采取的

3 个步骤

3 认知安全 全新的必备能力 近一个世纪以来,我们对计算机进行编程来帮助解决复杂的 问题.

我们现在可以模拟天气,对基因组排序,还可以即时 在世界各地共享数据.但让计算机来完成人类每天做的工 作,如辨识图像,读书或解释诗歌的含义,则另当别论了. 传统系统无法做到这一点. 对安全性而言,情况如出一辙.数十年来,我们对计算机进 行编程来识别病毒、恶意软件和攻击.我们不断对计算机进 行优化使其变得更加准确,但这还不够.攻击者不断变换攻 击方式,并寻找创新方式来突破防御.组织需要的是能够检 测出活动中的细微变化,并尽可能多地结合上下文对其加以 分析,以区分和消除新的威胁. 80% 的全球数据 一直是 隐形的. 如今则不然 组织需要持续进行监视并最大程度地使用数据来查找攻击和 异常行为,以免造成损失.但全球每天会生成超过 2.5 艾字 节的数据,其中 80% 是非结构化数据.这意味着数据是以自 然语言(口头、书面或视觉语言)进行表达,人类可以很容 易理解,但传统的安全系统却无法做到这点.事实上,成千 上万的有关安全性的博客每天发布详细的威胁情报.但安全 分析师无法了解其中的所有内容,传统的安全系统也无法像 分析师那样分析和应用这些见解. 这就是为什么最具挑战性的安全问题仍需要人们来作出合理的 决策:要针对哪些问题采取行动,哪些问题是虚假警报.事实 上,最好的安全专业人士每天都在通过积累经验、与同事交 流、参与会议、跟进最新研究报告来构建他们的知识体系. IBM Security 正在训练新一代系统,来理解、推理和学习不断 演变的安全威胁.我们正在开始将安全性的直觉和专业知识构 建到新的防御中,它可以像安全专业人士那样每天分析研究报 告、Web 文本、威胁数据和其他与安全性相关的结构化和非结 构化数据,但其分析规模是我们前所未见的.这就是认知安全 的本质. 结果:分析师将借助认知系统来帮助他们增强甚至自动化对威 胁的理解,使分析师对最新的攻击更具判断力,以便腾出宝贵 的时间着重处理其他紧迫问题. 什么是认知安全? 认知系统是自学习系统,可以使用数据挖掘、机器学习、自然 语言处理和人机交互来模仿人脑的工作方式. 认知安全实现了两个 广泛且相关的功能: ? 使用认知系统来分析安全趋势,将大量结构化和非结 构化的数据提炼成信息,然后提炼成可执行的知识, 以实现持续性的安全性和业务改进 ? 使用自动化的数据驱动型安全技术、工艺和流程,支 持认知系统享有最高级别的上下文和准确性 IBM Security

4 从遵从到认知 第一代网络出现后黑客便随之而来,从那时起,我们已经发展了安全技术以阻止攻 击.到目前为止,我们经历过两个不同的网络安全时代:外围控制和安全情报.在 此基础上,我们进入了第三个时代――认知安全. 外围控制:限制型安全(2005 年之前) 起初,我们采取静态防御,以防护或限制数据流,包括防火 墙、防病毒软件和 Web 网关.企业内部信息安全的演变从 遵从性活动开始.其目标是通过密码和一系列访问控制策略 来锁定并限制对敏感信息的访问.成功意味着通过了审计. 虽然外围防御仍在使用,但在当今环境中,仅使用外围防御 已然不够. 安全情报:启发型安全(2005 年后) 随着时间的推移,我们发展为使用复杂的监视系统,可以收 集和梳理大量的数据,以发现漏洞并优先处理潜在的攻击. 这种转变更注重实时信息以检测可疑活动.如今,安全情报 即实时采集、规范化和分析用户、应用程序和基础结构生成 的结构化数据. 安全情报使用分析技术来检测与正常模式的偏差,发现网络 流量的变化,并查找不同于规定水平的活动.在安全情报基 础结构内,对大量的信息进行分析,努力在上下文中理解公 司数据并优先处理日常活动.安全情报可以确定哪些偏差具 有意义,这不仅有助于更快地检测漏洞,还可以减少误报, 节省时间和资源. 认知安全:具备大规模理解、推理和学习能力 的安全性(2015 年后) 认知安全以利用大数据分析的安全情报为基础,其技术特点是 具备理解、推理和学习能力.现在可以使用认知系统来访问更 大规模的相关安全数据,该系统可以处理和解读现今 80% 的非 结构化数据,如书面语和口语. 认知安全系统摄取了专家设定的任何给定学科的大量知识,并 通过输入一系列问答组合来进行训练.然后,安全专业人士会 与系统进行互动,反馈系统响应是否准确,从而加强机器的 学识 .关键区别:认知系统理解和处理新信息的速度远超任何人 类.现在,您每天都可以训练技术防御系统来分析数以千计的 研究报告、会议材料、学术论文、新闻报道、博客文章和行业 警报. 随着认知系统继续观察事件和行为(区分善意和恶意行为), 它利用集成防御来阻止新威胁的能力会变得越来越强大.认知 安全可以帮助安全分析师更有效地工作并加速对新出现威胁的 响应速度,这将有助于缩小当前安全性技术方面的差距,带来 高度的信心并提高风险控制水平.参见图 1.