14年上映的科幻電影《超驗駭客》，男主角將自我的意識數據化上傳到互聯網，入侵所有聯網設備，并借此在知識的儲備和處理能力上得到了難以想象的提升。

雖然最后電影結局離不開“人類勝利”的必然，但設想一下，如果真實存在這樣一個系統，匯集了互聯網上無法計量且仍在不斷生成的龐大數據，擁有類似人類的“認知能力”以及現有的硬件設備對海量數據的存儲和分析能力，并將此運用到信息安全領域，那么我們對待安全的態度和處理安全問題的方式又會發生怎樣的顛覆性改變?

事實上，“認知安全”這個概念已經不再是紙上談兵。

什么是“認知安全”

“認知”(Cognition)在生物學上是指一個生物個體獲得知識(學習)、理解、訓練并最終在一定概率上實現對事物的發展進行預測的過程。人類是具備認知能力的高等生物。我們通過對記載前人智慧的書本的閱讀，通過和老師、父母以及工作中的前輩交流接觸，進行學習，并不斷修正自己對于某個領域甚至整個世界的認識，最終形成自己的解決問題和做決定(判斷)能力。

但是，一個人或者是一群人的分析能力，是非常有限的，尤其是涉及到龐大的數據。安全亦是如此。除了本地網絡環境下實時的日志、網絡流數據以及外部不斷更新的威脅情報(漏洞、惡意IP等信息)外，還有各大公司發布的安全報告，學術論文，眾多的第三方漏洞收集平臺的安全事件預警，以及我們的新浪微博、知乎中安全大V們的技術問答和微信朋友圈“猝不及防”的安全事件刷屏……

這些信息，即使是想要做到及時全面的收集，也是頗有難度的，更不要說一個安全分析團隊要在一定時間內進行分析并將分析結果運用到實際安全運維工作中。因為攻擊者不會給你充足的時間，而且你所要處理的數據總量，每天仍在不斷的增加。

我們利用漏掃、SIEM等工具，利用SOC，實現對“可機讀”數據的“自動化安全”;我們利用STIX和TAXII等標準，實現最新的威脅情報源的接入。但是，對于更多的“非結構化”數據，卻無法進行有效的處理和應用。

據統計，全球每天生產約2.5艾字節(EB)數據，而其中僅有20%是我們可以直接利用的結構化數據。能否將剩下的80%的數據用起來，很大程度上決定各企業的安全分析人員面對安全威脅時的應急響應能力，這也直接關系到企業因為安全問題而導致的業務損失。

除此以外，安全分析人員從發現攻擊，到追蹤、確認安全事件，再到做出響應、消除威脅，這個時間窗，有可能是幾個小時，有可能是幾天，甚至是幾周。安全從業人員普遍匱乏、水平參差不齊、缺乏有效的工具，這些都是難以實現快速分析和及時響應的重要原因。

事實上，早在14年末15年初，當“威脅情報”這個概念在中國安全圈還是個“陌生面孔”的時候，企業安全的“隱形巨人”IBM已經開始利用其在“數據”、“技術”以及“安全專家”等方面的積累和優勢，率先開始在“認知安全”領域發力，并將在今年末推出 Watson for Cyber Security。

　　認知安全的發展

認知系統本質上是自學習系統，可以使用數據挖掘、機器學習、自然語言處理和人機交互來模仿人腦的工作方式。

IBM Watson 接入了全球近80萬博客，所有的個人推特推文以及互聯網上各式各樣的文檔數據。實現對全網的結構化和非結構化數據進行主動搜索和爬取，并利用自然語言處理技術，將文本數據進行預處理，轉化為可機讀的數據;同時借其龐大的“安全專家團隊”優勢以及機器學習技術，通過提問和回答的方式，教會 IBM Watson “什么是安全”。

　　對 IBM Watson 進行關于“安全”的訓練

IBM Watson 在安全事件發生的同時不斷在學習和修正對于安全的認識，而這個過程中最困難的可能就是如何理解這些詞匯，這就需要安全專家不斷的對 IBM Watson 輸出的結果進行修正并將修正后的結果重新輸入到 IBM Watson。例如“蜜罐”與“裝滿蜂蜜的罐子”的區別。當 IBM Watson 對于“安全的理解”有了一定的基礎后，再在這個“基線”上用“安全”的語言對 IBM Watson 做進一步的訓練。

對于“認知安全”，IBM認為最重要的是以下三點：理解能力(Understand)、推理能力(Reason)以及學習能力(Learn)。而這三點則主要表現在了 IBM Watson 對文本數據的處理能力和對“安全”的認知能力上。

安全分析人員經常會“迷失”在各種對事件的監控和工具的使用中，一連串的誤報也會給真正的異常行為制造“噪聲”，使潛在威脅被安全人員遺漏。而借由 IBM Watson 的威脅識別能力，結合嵌有X-Force模塊的QRadar平臺的數據分析和威脅檢測能力，以及IBM近期以1億美金收購的 Resilient System 所提供的“事件響應”流程，企業的安全分析人員在處理安全事件和安全威脅方面有了從“檢測”到“識別”再到“響應”的完整解決方案。

IBM大中華區的信息安全總經理林澤芬曾對媒體表示，“安全情報+大數據分析+認知安全，這便是IBM所能給企業提供的最大的安全性保障”。而這也就是“X – Force” + “QRadar” + “Watson for Cyber Security”，IBM進行資源整合后的能力。

　　IBM大中華區信息安全總經理 林澤芬

Watson for Cyber Security 如何應用

Watson for Cyber Security 目前還不作為單獨產品提供，而是作為一個能力整合進 IBM QRadar 平臺，類似于一個App部署在云端。

QRadar檢測到異常和潛在威脅后，IBM Watson 則利用QRadar反饋的本地網絡環境數據做關聯分析，快速給出某個異常行為的相關信息，如異常行為發生次數，涉及的文件、域名和資產等，同時 IBM Watson 自身根據自己所學習到的“安全知識”生成自己的“判斷觀點”(Watson Insight)以及支撐這個觀點細節信息(Supporting Details)。

　　demo截圖

本地安全分析人員根據 IBM Watson 所給出的信息并結合QRadar所提供的本地實時網絡數據分析確認安全事件后，一鍵提交到Resilient并獲得即時的事件響應方案。這極大程度上節省了安全人員的分析和響應時間，為企業在一定程度上降低風險、挽回損失。

Watson for Cyber Security 除了結合自己的認知能力(Cognitive)以及和QRadar平臺整合提供SaaS服務外(Cloud)，開放協作(Cooperation)也是 IBM Watson 強調的“3C”之一。通過公開的標準和接口，與國內外的廠商和威脅情報上通過API連接起來，賦予 IBM Watson 更精準的識別能力。而加入“攜手計劃”的國內安全企業也可能經 IBM Security 的相關平臺向國外有需求的企業做推薦。

除此以外，目前IBM計劃在今年Q4推出的 Watson for Cyber Security 的目標客戶更多的是金融行業，因為金融行業對安全能力的需求最為強烈，面臨的安全風險最為直接，對安全方面的投入也最多。

“認知安全”是一個非常新的領域，幾乎全球所有的安全企業都鮮有涉及，而它現在已被IBM這個“藍色巨人”打上了自己的標簽。等到今年年末 Watson for Cyber Security 正式發布后，具體效果如何?是否足夠“接地氣”?我們拭目以待!