“企业跟人一样,在面对日益肆虐的病毒等带来的“安全威胁”时,需要建立一套安全免疫系统,对安全威胁具备防御能力、侦测能力和响应能力。
已经有像防病毒软件这样的网络安全工具,就可以保障企业的网路安全了么?
企业明明已经装了很完善的防病毒软件,为什么也防不住日益肆掠的勒索病毒呢?
防病毒软件只是针对已知的病毒,对于未知的没有特征的勒索病毒,它是防不了的。像WannaCry,很多公司是没有这个攻击病毒的特征,所以他没有办法防御。
但是就WannaCry这个病毒,在很多情况下,我们建议“不要付赎金”。因为付了赎金,企业也不一定拿回来这个解密的钥匙。包括这次WannaCry,其实付了赎金的,他也不一定能得到密匙。
那些重要的数据,因此也就真没了。
而且,除了数据的丢失和赎金以外,其实WannaCry病毒对企业还有其它的影响。比如说,如果加油站的机器遭到攻击以后,那就没办法加油了。医院里的设备,如果遭到攻击以后,就不能挂号,也不能做检查了,所以这些都对企业有着非常实际的影响。
现在很多企业,比如制造业的企业。这些企业现在都在做IoT(物联网)的升级,现在有无人车、无人飞机,也有很多应用了IoT能力的高级的智能楼宇等。这些地方,如果万一被黑客发现一些漏洞侵入了以后,这就不光是金钱的损失了,就可能会对企业造成致命的威胁。
甚至某种意义上来说,这个“万一”说的都不准确。其实从技术上来看,业界已经证明了,绝大多数领域都是有漏洞的。包括:智能汽车、智能楼宇的设备信息里面,其实都已经存在漏洞,很多黑客业都知道漏洞,只是“有没有利用”而已。
所以,从这些角度来说,IoT的安全,真的是非常重要。
综合来看的话,包括勒索软件在内的这些病毒和恶意软件,给企业带来的损失太大了。
IBM研究人员也已经指出来,在2016年的时候勒索软件和垃圾邮件的上升达到了6000%。所以我们说WannaCry只是拉开了勒索软件的一个序幕,比如:后来发生的Petya等等。
其实“勒索经济”逐步在开始,大家企业真的要防御。除了“勒索”以外,还有其它的一些网络犯罪的行为。2015年的时候,IBM有相关的统计数据表示:网络犯罪的经济损失达到3万亿美元,到2021年有可能会增长到6万亿美元。
这是一个惊人的数字,而这只是企业所面临的安全威胁的一个局部问题。
除了外部病毒,还要注意“内鬼”对企业安全的威胁
不管是勒索软件或者是病毒软件,对于企业来讲属于外来的攻击。企业还面临“内鬼”带来的威胁。
比如说,一些有意或无意的人员,带来的一些失误。比如:企业的某些特权帐号的密码,有意无意中被黑客或者是犯罪分子利用了、获得了。
这样,一些企业的核心机密就会造成丢失。
还有一些新技术带来的新的攻击点,比如:企业上了“云”以后,你用了移动设备或者用到了一些IoT的设备。这些对于黑客来讲,都有一些新的攻击点产生,新的漏洞可以被利用。
在黑客圈里面有一句话,叫做:“成也城墙,败也城墙,有墙才有洞”。
那么,一个企业面临的挑战这么大。到底企业信息安全,应该怎么搞?从哪儿开始入手?
其实对于企业来讲,我们真正的是要建立一套认知安全免疫系统。像人一样,对安全威胁具备这种防御能力、侦测能力和响应能力的一套免疫系统。
举个例子来说,一个小飞虫向某人的眼睛飞去了。一般是怎么反应?很多人是立刻就闭上眼睛,可能眼睫毛就把这个小飞虫给抵挡在外面了。
这就是人的一个防御。所以除了这个眼睫毛,比如:人类的皮肤、指甲,都是负责防御的,这就是我们人类的防御机制。
而且,人类也有侦测能力。比如说人身上如果受伤了出现了一些伤口,人类也会马上侦测出来,感觉到“我这儿疼”,他自己就马上知道,流血受伤了,就会有疼痛的感觉。
这就是大脑在分析、在发现,通过广泛的信息来告诉自己:“哪儿有危险”。
另外还有响应能力,
“响应能力”就是指如果发现身上出现了伤口,那么在电脑的指挥下,免疫系统会自动的止血、修复、杀菌。
因此,类比人类的人体的免疫系统具有这种防御能力、侦测能力、响应能力,企业级的安全,也应该具备这几个能力。
以往企业的安全建设太注重防御的建设了,比如:建一个防护墙,或者做一个垃圾邮件网关等,更注重的都是防御。
但是,其实这是不够的。
除了外部病毒,还要注意“内鬼”对企业安全的威胁
不管是勒索软件或者是病毒软件,对于企业来讲属于外来的攻击。企业还面临“内鬼”带来的威胁。
比如说,一些有意或无意的人员,带来的一些失误。比如:企业的某些特权帐号的密码,有意无意中被黑客或者是犯罪分子利用了、获得了。
这样,一些企业的核心机密就会造成丢失。
还有一些新技术带来的一些新的攻击点,比如:企业上了“云”以后,你用了移动设备或者用到了一些IoT的设备。这些对于黑客来讲,都有一些新的攻击点产生,新的漏洞可以被利用。
在黑客圈里面有一句话,叫做:“成也城墙,败也城墙,有墙才有洞”。
那么,一个企业面临的挑战这么大。到底企业信息安全,应该怎么搞?从哪儿开始入手?
其实对于企业来讲,我们真正的是要建立一套安全免疫系统。像人一样,具备这种防御能力、侦测能力和响应能力的一套免疫系统。
举个例子来说,一个小飞虫向某人的眼睛飞去了。一般是怎么反应?很多人是立刻就闭上眼睛,可能眼睫毛就把这个小飞虫给抵挡在外面了。
这就是人的一个防御。所以除了这个眼睫毛,比如:人类的皮肤、指甲,都是负责防御的,这就是我们人类的防御机制。
而且,人类也有侦测能力。比如说人身上如果受伤了出现了一些伤口,人类也会马上侦测出来,感觉到“我这儿疼”,他自己就马上知道,流血受伤了,就会有疼痛的感觉。
这就是大脑在分析、在发现,通过广泛的信息来告诉自己:“哪儿有危险”。
另外还有响应能力,
“响应能力”就是指如果发现身上出现了伤口,那么在电脑的指挥下,免疫系统会自动的止血、修复、杀菌。
因此,类比人类的人体的免疫系统具有这种防御能力、侦测能力、响应能力,企业级的安全,也应该具备这几个能力。
以往企业的安全建设太注重防御的建设了,比如:建一个防护墙,或者做一个垃圾邮件网关等,更注重的都是防御。
但是,其实这是不够的。
企业需要“大脑”来帮助实现企业级的防御、侦测与响应能力
企业缺乏一个大脑,需要靠那个“大脑”帮企业在防御之外,完成侦测和响应能力。
比如说,搭建一个平台,收集企业内外部的信息进行分析。通过这些信息分析,找出企业受到的潜在威胁。
举个例子来说,该平台会收集各种各样的系统日志,比如说应用日志、数据库的日志等。比如:收集登陆日志信息的时候,企业就可以看到一些细节信息。比如:你有一个用户登陆了十次失败,最后一次成功了,这可能就是一个威胁的事件。但是到底是真正的威胁,还是一个人为的错误?其实很难判断。
他可能是把密码忘了,也有可能是其他原因。不管怎样,这在系统侦测中,可以被判定为一个“异常的行为”。
如果企业这时候也有网络流的信息,知道这台机器跟外面的一个恶意地址有过通讯,或者是正在通讯的时候。那么,这个行为就不是一个简单的“人为错误”,极有可能就是一个安全攻击事件或者恶意的行为了。所以呢,如果把这些内容关联起来观察,那这个很大的可能性就是一个威胁事件。
在这个场景下,等到企业发现数据丢了的时候就晚了。如果在上面所述的场景中,企业发现某ID有登陆多次失败,直到最后一次成功,然后还有跟外面的通讯,这个可能就是一个安全威胁。
这就是企业安全大脑,能够侦测和分析出来的情形。
关键还不仅仅在于侦测。企业的安全防范策略,应该及时采取措施。比如说,阻断网络或者阻断用户的登陆。也就是说,这个企业安全大脑,应该指挥网络系统,或者指挥用户登陆系统,去封锁它,这就是一种响应。
这种响应,可以是自动化的,也可以是提醒人来进行参与,根据每个企业的不同需求而进行。
比如说勒索软件事件,它可能在几分钟内就完成文件的加密。那么,当企业发现勒索事件相关特征的时候,比如说短时间内,比如说一分钟内的,大量文件被更新。
当企业发现这个特征的时候,安全大脑就应该及时刹断这个进程,那么他的加密就失败了。但是如果企业反应得晚了的话,企业即使再进行阻断,文件也已经都被加密过了。对于企业来说,损失就已经造成啦。
在企业安全领域,Watson能够做什么?
IBM的Watson不仅能够帮助人诊断癌症,它也可以帮助企业诊断安全的问题,也可以给企业治安全的病,即“Watson安全官”。
就像此前提及的 “企业安全免疫系统”,这基本上是利用企业内部的信息,而且是一些结构化的数据形成的一个方案。但是在这个方案里面,缺失的是外部的信息,包括一些威胁情报的信息,以及一些论坛里面和媒体报道等地方会讨论到的信息。比如说,对于每篇文章里讨论的攻击的类型、攻击的网址,或者是黑客在黑暗网络里经常在讨论,最近该黑客购买了什么应用、工具等,据此可以推断,这名黑客有可能就要利用这个工具发动攻击了等,这些信息。
利用这些信息,都可以帮助企业来进行安全的防范。企业如何利用这些信息呢?在这方面, Watson就能够提供帮助。
那么,Watson的行为和现在收集情报所做的平时的搜索,所获得的信息结果是不一样的。
比如说,大家使用搜索引擎的时候,得到的结果都是很多条内容,但是很难判断哪条是正确的,哪条是不正确的。而Watson反馈给企业的是一个结论,而不是很多条信息。
比如说,企业问Watson一个IP地址,Watson就会告诉企业这个IP地址相应的信息,包括:这个IP地址有没有产生过攻击,产生过什么样的攻击,一起做攻击的这些病毒文件是什么,以及其它的一起攻击的网站URL是什么等。
更重要的是,Watson还会告诉企业,它得出这样一个结论,参考的是哪些文档,在哪里发布的哪些文档,这些文档的可信度是多少。所以这样就给它所作出判断的准确率和效率,得到了一个很大的提升。
IBM在企业安全方面的优势
IBM在企业安全方面的优势,可以简单被概括为三个方面:
第一个就是Watson。是第一次把人工智能应用在企业级安全领域,在网络安全防护领域帮助企业。
第二个IBM比较有优势的,就是IBM有一个很大的“安全研究团队”,IBM称之为“X-Force”,它有20年的历史,有几百个安全专家,专门进行安全研究。IBM十个安全运维中心,是“X-Force”团队重要的一个数据源。除此之外,IBM还有其它的数据源来进行安全。
IBM的一些产品和解决方案,都是基于IBM的“威胁情报信息”来设计的。所以这是IBM第二点很大的优势。
第三个方面,IBM有一个最全的产品线,从防御到侦测到响应,IBM都有相应的产品和解决方案。它的好处是,IBM的产品从出生开始都是集成的、联动的,就像人的一个身体一样,大脑指挥全身来协调运动。
不仅如此,IBM的大脑Watson其API是开放的,其它的厂家也可以通过API跟IBM进行集成联动防御网络安全威胁。
声明:本文来自IBM中国,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。