刘璐莹：信息安全，快人一步——IBM安全免疫系统

nsc

                [应演讲嘉宾要求，PPT不公开]

刘璐莹：大家下午好！我来自IBM安全系统部。今天跟大家分享IBM对于安全体系的理解。

                               
登录/注册后可看大图

　　首先介绍一下IBM的安全系统部。可能很多人不了解，IBM做安全吗？这里我要郑重提示一下，IBM做安全，而且是全球最大的企业级安全的提供商。

　　自上世纪70年代开始，IBM开始了自己的安全历程。那个时候，我们是为了IBM的主机。主机目前还是世界上最安全的系统之一。为了主机的安全，我们开始研究安全的技术。随着IBM的软件、硬件服务体系的不断扩大，安全一直处在体系的重要环节。

　　我们慢慢地发现安全是非常重要的话题。所以，从2005年开始，IBM增强了安全的步伐，收购了15家相关的安全公司，形成了IBM的安全体系。在2012年，我们发现安全不仅仅是单独的产品，它更是一套框架，IBM成立了我所在的安全系统部，把分散在各个部门的软件、安全类产品整合到一起，形成了安全体系的整个框架。我们在全球有25家专门的安全实验室，同时服务全球100多个国家的4000多个安全托管客户。

　　IBM的安全是什么？这个数据来自于一个真实的客户。在它的IT环境里，总共有85款安全相关的工具，来自于45个安全厂商。我们知道安全是一个很大的领域。这些是我们平时常见的每个企业都会部署的安全解决方案。也就是我们的安全运维人员、安全分析师每天至少面对这么多的工具、产品、方法，阻止安全威胁，运维安全生产。

　　在安全领域，每一款工具都可能完成单独的使命。安全的运维人员用不同的工具、不同的手段，以自己的知识运维这样的安全工具。我们会发现在今天的环境里，云、移动、物联网、大数据都是新的话题。同时，这些新技术也给安全带来了更多的威胁和挑战。单独的安全的竖井式的运维方式已经没有办法支撑目前的安全运维保障。

　　我们发现安全运维慢慢地从检查清单式的合规式的防御措施变成了安全框架，或者叫安全平台，或者叫安全体系的安全运维场景。更多的场景下，需要不同的安全领域的工具，来协同合作。

　　基于这样的理念，IBM提出了自己的想法，我们把它叫做安全的免疫系统。“免疫系统”这个词来自于人类的健康。我们自己的免疫系统是如何来运行的。比如，我受伤了，身上有一个小的伤口。这个时候，我的免疫系统开始发挥作用。首先，这个免疫系统会受大脑的支配，我自己并不自知。当我有了伤口之后，白细胞开始运动起来，开始去杀细菌。血小板开始运行起来，帮助我止血。同时，我的免疫系统还会告诉我说已经有过感染这种病毒的历史，我以后就可能对这种病毒免疫。这是人类自身的安全防御系统。类似于这样的概念，IBM提出了自己的安全免疫系统。

　　首先，我们会讲究各个层面的安全机制。在现在的大环境下，移动的安全、大数据的安全、云的安全、物联网的安全等等，都有各自不同的领域，由于它有不同的安全特点，可能需要特殊的工具来完成这部分的内容。

　　同时，我们也把整个体系框架进行了划分。上半部分主要是指在日常的安全运维和响应体系里运用到的话题。主要包括端点管理、网络管理、中枢大脑。这个大脑就像人体的大脑一样，它能够总控身体各个部件的运转。在我们看来，问题不仅仅是这样简单的话题。对于漏洞补丁攻击熟悉的同行可能会知道，以数字去说明的话，绝大部分的漏洞是没有补丁的。下次再遇到这样的攻击，通过打补丁的方式不能解决勒索软件的问题。你需要的是什么？你需要的是一套完整的防护体系。比如，当你再遇到类似情况，如何获得通知。现在又有一个新的病毒出现了，到底有没有补丁。如果没有补丁，它的防护措施是什么。

　　我们看到这样的信息，可能是从新闻，或者是朋友圈里面获得。为了让我们领先于恶意攻击，这需要更多的知识。比如，威胁情报。情报平台可以帮助你第一时间获得最新的知识。哪里有了新病毒的爆发，你可以第一时间获得这样的知识。同时，这样的知识不仅仅是条目，它还会有相关的信息，以及你需要采取的行动。

　　我知道了这样的信息以后，该怎么做？日常的运维更多是对于终端和网络的管理，你也许可以从终端上发现一些蛛丝马迹。当我没有补丁去阻止这样一些威胁的时候，从网络上如何阻断这样的威胁？或者有些已经感染了，我如何中断它在我内部的感染。这些都是安全运维和响应领域涉及的话题。

　　在这个小的场景，至少已经涉及到了端点、威胁情报、网络相关的安全保护措施，这至少是三个领域的安全产品、解决方案和服务。如何让它们有机地整合在一起？这就需要免疫系统里的“大脑”。“大脑”会告诉你如何一步步的展开工作。安全智能平台就是“大脑”，它可以告诉你从情报平台获得相关信息，并且支配端点和网络解决方案，要打补丁的打补丁，要阻断的就进行阻断。

　　除了终端和网络之外，我们还有其他的解决方案，我们称之为信息的风险和保护，包括各个领域不同的解决方案。比如，防欺诈、云安全、大数据，也是全部由“大脑”进行支配。这就是框架的底梁。当出现这个事件的时候，“大脑”会收集所有信息，增加安全的可见性。在安全运维工程师的眼里，他看到的是一款款的工具，是登录一个个攻击的界面，看到这个工具正在做什么，然而缺乏对于企业的可见性。“大脑”会收集事件的信息、网络流量的信息、端点的信息、漏洞的信息，增加对安全运维的可见性，我会看见企业里正在发生什么样的事情。当发现了某些异常，“大脑”可以驱动相应的组建启动响应。

　　在外面一层，我们还增加了安全服务，主要包括安全咨询服务，帮助我们的客户，按照各个行业的特点和需求，打造自己的安全免疫系统。

　　在这一整套的安全免疫系统，我们重点介绍两个特点，一个是集成，一个是智能。刚刚提到了集成的一个方面，各个安全的解决方案不再像以前一样是独立的产品，或者独立的工具，它们之间可以互联互通，双向的互联。向上可以反映数据，向下可以执行动作。这是IBM自己的框架，在收购了很多公司以后，把它们集成在一起。实际上不是这样，IBM一直是一个开放的公司，在我们的整个框架里有着大量对外的集成方式。由于这个框架的产生，就形成了防御检测和响应为主体的解决方案。

　　这种集成的能力并不是IBM产品内部互相集成的关系，我们也非常重视外部的集成关系。我们有安全智能合作的新平台，相当于苹果的应用软件，它是基于安全智能平台的一套APP。如果你想跟安全系统做集成，尤其是跟“大脑”做安全互动，你就可以利用“大脑”提供的API，开发一个APP，这个时候你的信息就可以跟“大脑”技术互动。

　　这里举两个例子。第一个例子是威胁情报的例子。IBM有自己的威胁情报平台，并且是免费向公众开放的。如果大家有情报的需求，都可以到我们的平台上查询。这个是我们的威胁情报的APP，你有一个“大脑”，你希望它越来越聪明，你从不同情报的数据源得到了一些信息，请“大脑”帮你分析。当你引入这些情报源的时候，只要用到这个APP，它就可以把标准格式的情报直接引入进来，你不需要做更多的定制或者是编程。

　　我们也可以集成大量的第三方的软硬件产品。如果你的终端不是IBM的，我们也提供这样的APP，或者终端厂商可以基于我们的API做一个APP。第三方厂商的终端信息就可以到你的“大脑”里面来。同时，你的“大脑”也可以向第三方的产品发出指令，告诉它现在要做什么样的事情。

　　目前这个平台上已经有数十个外挂的APP，分别是不同厂家的产品。基于这样的集成工作，使得IBM的安全免疫系统形成了一套开放的框架，可以适应不同客户的需求。

　　下面聊一聊安全免疫系统的第二个特点—智能。到底什么是智能？今天有很多嘉宾提到了AI技术在安全领域的实现，现在有越来越多的厂商朝这个方向发展。对于IBM来说，我们的商用化的AI平台是沃森。我们把安全分成几类，人类有自己的智慧，“大脑”其实是很智能的，我们把它叫做安全性的智能分析，它适合做什么。另外，我们把沃森放进来，认知安全又适合做什么。人类的专家，他的智能适合做什么。

　　安全的技能需要大量的安全人才，在这个场景下，人类的安全专家更适合做一般的常识，利用他自己本身的经验，去判断一些模棱两可的、进退两难的知识。

　　“大脑”的能力在哪里？它比较擅长的是资料的关联，我把事件收起来了，很多企业的事件都是以每秒数十万来计算的，数据的动态关联是它比较擅长的。找出模式，正常和异常的模式、异常的检测。排定优先顺序、数据的可视化、工作流程。这些都是现有的安全工具所擅长的。

　　人工智能擅长的是什么？在人工智能领域，它最擅长的是非结构化的对于自然语言的处理，它更擅长的是问题与回答。如果说现在的“大脑”的关联分析、异常检测、模式的检出更适合的是以固定的模式，或者非固定的模式，找出一些规律、规则、异常、告警这样的一些行为。对于认知安全来说，它更能够体现的是对于非结构化的数据、没有整理好的数据、一些问答式的、针对特定问题的反馈知识，是它最擅长的。

　　目前IBM有几十个方向，把沃森的技术能力放到安全领域。目前已经商用化了一个实例。第一个事例是安全建议官。它可以帮助安全分析师甄别异常的活动。对于安全分析师来说，他每天要做的事情是什么。这里举了非常简单的例子。一个安全分析师，他每天用一个小时的时间，通过各种各样的网络、讨论区获得最新的安全威胁知识。接下来，他会进行内部的安全分析，可能要花三个小时的时间，通过网上的资源，去找相关的知识。他用四个小时的时间，把他从网络上搜集到的知识跟内部资料进行关联。他需要分析企业内部是不是受到了相关感染，是不是有相关的IP连接，是不是要采取什么行动。

　　沃森的第一个版本，我们希望能够帮助安全的分析师去缩短时间。获取知识、进行机器学习、测试和经验，像刚刚的安全分析师一样，通过到网上搜索相关信息来获取知识。他搜索的对象是威胁的数据库、研究的报告、安全的教材、漏洞披露网站、热门网站、博客。我们把这些叫做人类衍生的安全性智慧，而这些都是非结构化的数据，都是用自然语言表达的，他需要花大量的时间，自己去分析这些数据。对于沃森来说，第一步获取的知识就来自于这里，他的一部分知识来自于企业已有的安全分析知识。比如，事件的信息、用户活动的信息、弱点类漏洞的信息。同时，他也去网上学习人类衍生的安全性智慧。

　　接下来，对这些知识进行分析。我们已经教会了沃森如何判别一个安全类的知识。当你提到恶意软件的时候，你要了解这个恶意软件的哪些信息。当你提到蠕虫的时候，我怎么知道这是网络上的蠕虫，而不是身体疾病的蠕虫。我们训练沃森了解安全的语言、安全的范畴、安全的知识。

　　接下来，通过自然语言描述的非结构化的数据，沃森会建立自己的知识图谱。针对这样的恶意软件，要获得哪些信息。同时，我们可以用这种自然语言的方式来进行表达。

　　接下来，这些知识图谱还会进行测试，也解决他会给出知识的有效性，通过什么样的语言获得了这个知识，这个知识的可信度是多少。

　　这张图是产品化的截图，IBM的“大脑”已经分析出你的网络里有一些异样。哪些主机、通过哪些IP获得了相关的恶意软件。沃森可以直接把这些信息推送给安全分析师。他完成调查安全分析师需要哪些知识。将企业内部的相关数据和外部的数据进行关联，告诉你现在这个恶意软件的历史是什么、溯源是什么、有多少种变形、各种变形的Hashes值是什么、各类厂商针对这类恶意软件有哪些解决方案，他会把一系列知识都推送给安全分析师。他可以帮助安全分析师获得更多的信息和洞察。

　　以前针对一个安全事件，安全分析师要通过几个小时的时间进行分析响应。现在这个过程变成分钟级的，他可以把你需要的知识推送到桌面上，也会给你可信度和外部的链接，供你进行认证。我们还会把更多的智能信息引入到安全运维领域。

　　今天给大家分享了IBM对安全运维的想法，它是一个免疫系统，是互相集成的系统，帮助企业建立完整的安全运维体系，屏蔽安全相关的竖井。

　　谢谢大家！