“认知安全”是怎样一种安全？.docxVIP

“认知安全”是怎样一种安全？作者：mxdMartin????2016年6月15日?来源：安全牛???收藏文章(0)?14年上映的科幻电影《超验骇客》，男主角将自我的意识数据化上传到互联网，入侵所有联网设备，并借此在知识的储备和处理能力上得到了难以想象的提升。虽然最后电影结局离不开“人类胜利”的必然，但设想一下，如果真实存在这样一个系统，汇集了互联网上无法计量且仍在不断生成的庞大数据，拥有类似人类的“认知能力”以及现有的硬件设备对海量数据的存储和分析能力，并将此运用到信息安全领域，那么我们对待安全的态度和处理安全问题的方式又会发生怎样的颠覆性改变？事实上，“认知安全”这个概念已经不再是纸上谈兵。什么是“认知安全”“认知”（Cognition）在生物学上是指一个生物个体获得知识（学习）、理解、训练并最终在一定概率上实现对事物的发展进行预测的过程。人类是具备认知能力的高等生物。我们通过对记载前人智慧的书本的阅读，通过和老师、父母以及工作中的前辈交流接触，进行学习，并不断修正自己对于某个领域甚至整个世界的认识，最终形成自己的解决问题和做决定（判断）能力。但是，一个人或者是一群人的分析能力，是非常有限的，尤其是涉及到庞大的数据。安全亦是如此。除了本地网络环境下实时的日志、网络流数据以及外部不断更新的威胁情报（漏洞、恶意IP等信息）外，还有各大公司发布的安全报告，学术论文，众多的第三方漏洞收集平台的安全事件预警，以及我们的新浪微博、知乎中安全大V们的技术问答和微信朋友圈“猝不及防”的安全事件刷屏……这些信息，即使是想要做到及时全面的收集，也是颇有难度的，更不要说一个安全分析团队要在一定时间内进行分析并将分析结果运用到实际安全运维工作中。因为攻击者不会给你充足的时间，而且你所要处理的数据总量，每天仍在不断的增加。我们利用漏扫、SIEM等工具，利用SOC，实现对“可机读”数据的“自动化安全”；我们利用STIX和TAXII等标准，实现最新的威胁情报源的接入。但是，对于更多的“非结构化”数据，却无法进行有效的处理和应用。据统计，全球每天生产约2.5艾字节（EB）数据，而其中仅有20%是我们可以直接利用的结构化数据。能否将剩下的80%的数据用起来，很大程度上决定各企业的安全分析人员面对安全威胁时的应急响应能力，这也直接关系到企业因为安全问题而导致的业务损失。除此以外，安全分析人员从发现攻击，到追踪、确认安全事件，再到做出响应、消除威胁，这个时间窗，有可能是几个小时，有可能是几天，甚至是几周。安全从业人员普遍匮乏、水平参差不齐、缺乏有效的工具，这些都是难以实现快速分析和及时响应的重要原因。事实上，早在14年末15年初，当“威胁情报”这个概念在中国安全圈还是个“陌生面孔”的时候，企业安全的“隐形巨人”IBM已经开始利用其在“数据”、“技术”以及“安全专家”等方面的积累和优势，率先开始在“认知安全”领域发力，并将在今年末推出 Watson for Cyber Security。认知安全的发展认知系统本质上是自学习系统，可以使用数据挖掘、机器学习、自然语言处理和人机交互来模仿人脑的工作方式。IBM Watson 接入了全球近80万博客，所有的个人推特推文以及互联网上各式各样的文档数据。实现对全网的结构化和非结构化数据进行主动搜索和爬取，并利用自然语言处理技术，将文本数据进行预处理，转化为可机读的数据；同时借其庞大的“安全专家团队”优势以及机器学习技术，通过提问和回答的方式，教会 IBM Watson “什么是安全”。对 IBM Watson 进行关于“安全”的训练IBM Watson 在安全事件发生的同时不断在学习和修正对于安全的认识，而这个过程中最困难的可能就是如何理解这些词汇，这就需要安全专家不断的对 IBM Watson 输出的结果进行修正并将修正后的结果重新输入到 IBM Watson。例如“蜜罐”与“装满蜂蜜的罐子”的区别。当 IBM Watson 对于“安全的理解”有了一定的基础后，再在这个“基线”上用“安全”的语言对 IBM Watson 做进一步的训练。对于“认知安全”，IBM认为最重要的是以下三点：理解能力（Understand）、推理能力（Reason）以及学习能力（Learn）。而这三点则主要表现在了 IBM Watson 对文本数据的处理能力和对“安全”的认知能力上。安全分析人员经常会“迷失”在各种对事件的监控和工具的使用中，一连串的误报也会给真正的异常行为制造“噪声”，使潜在威胁被安全人员遗漏。而借由 IBM Watson 的威胁识别能力，结合嵌有X-Force模块的QRadar平台的数据分析和威胁检测能力，以及IBM近期以1亿美金收购的 Resilient System 所提供的“事件响应”流程，企业的安全分析人员在处理安全事件