隨網絡生態改變,黑客攻擊對企業帶來的金額及商譽損失日益嚴重。網絡保安統計機構 Cybersecurity Ventures 評估,索取贖金型的黑客攻擊對用戶帶來的經濟損失由 2015 年的 3.25 億美元,升至 2017 年的 50 億美元以上,兩年增幅逾 15 倍。
在網絡保安攻防戰中,企業若要做到「魔高一尺,道高一丈」,除了做好基礎防禦和員工培訓,也要讓保安技術和工具與時並進,維持防禦優勢。近年認知運算技術在網絡保安應用上出現重大發展,本文以 IBM QRadar Advisor 一類方案為例,介紹企業如何在網絡保安上善用認知運算技術。
代客分析龐大背景資訊
典型的網絡保安專家,每天要搜尋與閱讀大量不規律的數據,包括新聞、供應商訊息、地區警示、業內論壇、研究論文、白皮書等,龐大的資訊量耗用極大量人力,但企業往往較難招聘到滿員的網絡保安團隊。面對訊息爆炸和人手不足,像 QRadar Advisor 內的 Watson Discovery Service,能主動循多股途徑搜尋數以百萬份不規則數據,自動閱讀學習,並透過內置認知運算組件進行篩選分析,找出當前威脅較高的地區黑客攻擊及軟件弱點。
除了吸收每日新知,網絡保安人員的另一項挑戰,是監察機構系統內的各項活動紀錄,留意可疑的登入與資訊存取紀錄,及時阻截偽冒入侵者的活動。由於紀錄資訊量龐大,真正的高危威脅又往往與虛報誤報混雜,每日風險警示通常達10-20宗,是大海撈針的工作,很容易錯漏。方案內的 X-Force 組件能分析有規律結構的訊息,例如交易紀錄檔,綜合多項使用條件,察覺到肉眼留意不到的異常情況,更細緻地辨識可疑活動,交由系統人員跟進處理。
是輔助,而非取代真人
在網絡保安上使用認知運算,最終的保安決定﹝如封鎖、刪除、隔離等﹞仍需要由真人去做,但方案能將磨人的大海撈針工作,交由人工智能組件代勞,讓處理背景資料的時間大幅縮減 50%,是有力的輔助資源。有了認知運算組件,網絡保安人員就能把精力集中到核心工作,跟進及防範具體威脅。
公眾對認知運算﹝前稱人工智能﹞的印象,可能仍停留在二十年前挑戰世界棋王的年代,但現在技術成熟,認知運算已成為各行業的實用方案。醫生用它為病人度身訂造療程,市場推廣者制訂有效策略,網絡保安專家亦用它節省大海撈針的時間。
作者: Job Lam
IBM 香港資訊安全業務總經理
