IBM藉認知安全技術 啟發企業的數位免疫能量

台灣IBM企業資訊安全事業處資深技術顧問曾心天。

經IBM調查發現，現今企業認為資訊安全的最大挑戰，乃是基於威脅的速度愈來愈快、複雜性愈來愈高，故而急需減少事件回應及解決的時間，並有效改進安全威脅分析能力，如此才可望將網路安全風險降到最低，一來避免企業營運中斷，二來避免後果更加嚴重的品牌信譽損失。

持平而論，儘管企業普遍期望爭取事故的回應與解決時效，並增強分析能力，但要想順利實現這些目標，並不容易，只因多數企業不論在「情報」、「速度」與「準確性」等面向，都明顯暴露弱點；台灣IBM企業資訊安全事業處資深技術顧問曾心天認為，若僅靠人力介入，哪怕專業能力再強，都不易弭平前述三大差距，唯一突破之道，便是與智能掛鉤。

為此，IBM安全事業部門持續對認知技術進行投資，因為認知安全不僅僅提供解開及使用所有資料的能力，更可連接模糊資料點，幫助企業挖掘過往難以發現的真相，快速準確地檢測與應對威脅。

據調查，93%的SOC經理無法分析所有潛在威脅，31%的企業組織由於無法處理而被迫忽略逾半數的安全警報，顯見大多數企業安全單位，難以持續有效跟進廣大無窮的安全知識。

曾心天表示，IBM基於認知安全所設計的解決方案，首先是今年(2017)首季發佈的Watson for Cyber Security，它相當於雲端上的安全顧問，可憑藉持續性自動化能力，獲取外部公開可用的安全內容，接著進行自然語言處理，從中學習與吸收安全概念並建立關聯性，再透過機器學習獲得新知識，設定一組指標深入探索其知識庫、以提供洞察，繼而以相關指標的形式提出證據，終至接受回饋以改進其知識分析，形成生生不息的正面循環。

妙用雲端安全顧問  抵禦進階威脅

至於Watson for Cyber Security所學習的知識範圍，包括指標、安全弱點、惡意軟體名稱等等結構性安全資料，及從部落格、網站或新聞爬找關鍵的非結構化安全資料。針對每小時數十億資料元素、每週數百萬份文件，經由過濾與機器學習刪除不必要訊息，減量後再以機器學習、自然語言處理等技術提取與註解蒐集的數據，最終描繪出數十億的節點與面，形成大規模的安全知識圖。

換言之，Watson for Cyber Security可透過汲取新的安全知識，不斷增長與調適其智慧，更有能力認知探索可疑活動，及識別安全事件原因與其他的指標行為，建立及找出人工容易錯過的路徑與關聯；更重要的，任何學習、調適成果，皆永不遺忘。

曾心天補充道，IBM一併推出QRadar Watson Advisor，它是一個外掛的小App，旨在讓企業部署的IBM QRadar SIEM得以連結Watson，藉助Watson所獲得的龐大安全知識，裨益安全分析師可升級SOC作業，解決技術短缺、過多的告警、事件回應的延遲，乃至當前安全訊息與程序風險的應對能力等種種挑戰，迅速精確地對安全事件調查取樣工作；影響所及，原本透過手動威脅分析所需數日到數週的冗長時程，可望急遽縮短為數分鐘至數小時，大幅節省寶貴的時間與資源。

附帶一提，IBM也善用認知技術，在2017年首季期間，正式為其BigFix安全管理平台增添偵測新功能，有別於傳統偏向靜態佐證的IoC(Indicator of Compromise)，堪稱是一種基於惡意軟體啟發式、動態性質的IoA(Indication of Attack)，具備探知零日攻擊的能力，足以令駭客無從迴避、無所遁形。