你還記得深藍么？

1997年5月，由IBM研發的并行計算機“深藍”(Deep Blue)，在國際象棋領域第一次成功擊敗了當時世界排名第一的人類棋手卡斯帕羅夫。這場時長不到一小時的“腦力”競賽，讓人們預言，計算機某日會因其強大的計算和處理能力而具有超越甚至代替人類的可能。

加里·卡斯帕羅夫和深藍的對決

然而，當時的深藍雖然在1997年就具有每秒2億步的運算能力，但尚不具有對人類語言的學習和理解能力，他無法形成對文本的理解，更不可能回答人們用自然語言向他提出的某一個問題。但后來這一使命由IBM 的Watson完成了，今天，Watson被應用到保護企業信息安全的領域。有了認知的安全和以前又有怎樣的不同？

認知安全是什么

起初只是作為生物學概念的“認知”，在IT領域則更多的是指通過技術手段，對人類大腦學習、理解、判斷事物過程的模擬，進而根據不斷積累的知識進行推演和預測。當然，我們不能簡單地將“認知”理解為自然語言處理，而還要考慮其它的技術環節，比如機器學習、圖形分析等。

除此以外，在安全領域的應用上，通過人工智能的技術實現更友好的人機交互體驗，以及安全專家用“安全語言”對Watson進行重復不斷的訓練和測試，這些都讓Watson有能力理解“什么是安全”，并借助其技術優勢協助企業安全分析師高效地完成日常的威脅檢測和應急響應工作。也就是說，Watson使用“認知”的方法對安全知識進行理解和分析。

在IBM的安全產品線中，從 IBM Watson 中提煉出的安全能力，即 Watson for Cyber Security ，是IBM所理解的認知安全的最好體現。

全球企業網絡中每天約有20萬次安全事件發生，共計10萬+的安全漏洞被各個威脅源通報；除此以外，還有大量的系統或應用日志、用戶和網絡活動以及安全策略的變更等數據產生。這些傳統意義的安全資料是可以被現有的安全系統，例如SIEM，所利用和分析。但是，這些夠了么？

現實網絡世界，黑客的攻擊目標和方法無時無刻不在變化。企業需要持續進行監視并最大程度的使用數據分析來查找攻擊和異常行為，以盡量避免安全事件的發生以及其對企業的業務和聲譽造成不可挽回的損失。除了傳統的安全資料外，還有許多專供人類理解分析的智慧，而企業能利用到的僅有這些智慧的8%。

三大核心技術成就認知安全

Watson for Cyber Security 的三個強大之處，其中一點是在于自然語言處理能力，一點是對文本文檔、圖像、語音等非結構化數據的分析和理解能力。這是因為IBM本身就是一家在語音識別和自然語言處理領域全球領先的企業。最有代表性的實例就是Watson在美國著名智力問答節目Jeopardy！中戰勝兩位冠軍選手。

除了這兩點外，與 IBM X-Force 智庫的聯動，以及其對安全行業的理解能力，也是成就認知安全的三個重要原因之一。

我們特意采訪了IBM安全事業部威脅防護與認知安全首席技術官 Barny Sanchez 先生，以期深入了解認知安全背后的技術奧秘。

Barny Sanchez 先生向記者介紹，為了訓練 IBM Watson 在信息安全領域的能力，IBM內部已經有上百位相關專家正在培養 IBM Watson 對安全方面的理解能力。

同時，IBM資深安全研究專家也正在與加州州立理工大學、賓夕法尼亞州立大學、麻省理工大學、紐約大學、馬里蘭大學、新不倫瑞克大學、渥太華大學和滑鐵盧大學等全球知名大學學生/學者展開合作，對Watson進行訓練，幫助增加其系統中安全知識庫的數據，并通過“安全語言”對系統輸出結果進行修正，使Watson持續不斷地進行安全知識的學習和積累。

我們在訓練 IBM Watson 學習的時候采用了三步走的戰略。第一是讓Watson收集相關信息；第二是讓Watson解讀相關信息；最后是通過不停地提問來挑戰Watson，讓Watson能進一步梳理有用信息，并最終進行吸收學習。

認知安全對于企業安全分析師的價值

IBM安全以2015年作為一個分界點，認為2015年以前是靜態防御和安全情報的時代，而之后會慢慢進入“認知安全“的時代。

在安全情報的時代，企業所使用的SIEM平臺通常集成IDS、IPS、防火墻等安全設備的數據并結合一些基本的漏洞情報做關聯性分析。Barny Sanchez 認為，未來10年，安全分析的方法將會改變，高級分析和外部威脅情報的收集將會被引入，企業安全分析師會將分析的注意力集中到用戶行為的觀察、不同系統間互聯方式的了解、用戶權限和角色的控制以及系統敏感資源的保護上。

認知安全，Watson for Cyber Security，其最大的價值在于減少安全分析師進行威脅研究和應急響應工作所需的時間成本，也即意味著安全分析團隊在同樣的時間內可以進行更多的調研工作，以最大程度地減少企業誤判和遺漏風險情況的發生。

安全分析師的日常工作，包括對安全社區和線上資源（如新聞、博客等）的檢測，以獲取一手的安全威脅情報，幫助企業發現潛在威脅，并通過人工進行資料的關聯分析。這些可供企業利用的數據來源包括博客（微博）、相關新聞文章、研究論文、企業訂閱的威脅情報源、推特、維基百科。除了這些文本文檔外，還有專家在行業論壇分享時所使用的ppt、播客以及大量的內嵌的圖形文件。

據統計，全球每年有72萬篇安全博客、18萬篇新聞報道以及1萬篇研究論文。這些對于分析師或者分析團隊來講，都是海量的非傳統安全資料，不借助工具的力量根本無法完全利用。

另外，Barny Sanchez 還提到專業安全分析師的匱乏也將是行業面臨的難題，“安全行業面臨的問題除了缺乏相關技術以外，還缺乏專業人才。現在市場對于信息安全領域的專業人才需求是20萬人，到2020年，這個數字將達到150萬。”

毫無疑問，在企業安全人才缺口和安全技術水平差異的情況下，海量安全知識難以被企業利用，這大大增加了企業內部安全分析師的工作難度，使分析師很難對目前企業所面臨的整體安全態勢有個清晰明確的認識。同時，安全分析師也很難對企業的CSO或者CISO，提供行之有效的決策建議。

“安全分析師需要更人性化的體驗，需要經驗豐富且值得信賴的咨詢顧問。而這一點正是 QRadar Advisor 和 Watson for Cyber Security 所擅長的”, Barny Sanchez說道。

QRadar與Watson的聯動

QRadar作為IBM整個安全免疫體系中真正的核心和大腦，統領著數據庫安全、SIEM、移動安全、應用安全、終端安全、訪問控制和威脅情報等領域的安全設備；數據回傳的同時，也可以反過來給各聯動設備下達策略變更指令，以期動態的應對未知安全威脅。QRadar Advisor 和 Watson for Cyber Security 的聯動，是實現認知安全“理解、推理和學習”這三項能力的關鍵。

當QRadar發現某個文檔存在可疑行為，QRadar Advisor 會通過網絡活動開始進行包括某個主機的可疑通信情況、之前沒有交集的域、對網站的訪問，ip地址變化以及異常行為等數據的挖掘，并模仿分析師運用其直覺所開展的日常工作；安全分析師將QRadar Advisor 分析的本地網絡狀態的信息匯總到本地數據庫并提交到提供SaaS服務的 Watson for Cyber Security，并在很短的時間內接收到由Watson根據其儲備信息進行關聯分析后得到的所有可能結果，并提示“存在某可疑文件的執行操作，但不確定具體原因，需要進一步調查”。

同時，QRadar Advisor 也會構建一個全面反映運行狀態的視圖。如果安全分析師認為企業已經面臨一個高危的狀況時，可以一鍵將 Watson for Cyber Security 的反饋和 QRadar Advisor 的本地分析結果提交到Resilient系統并獲得具有針對性的應急響應流程。

它們對于安全分析師的最大幫助在于快速的調查，即從大量不同的信息源搜索并提取相關信息，以及兩個系統間極快的交互，甚至在分析師意識到問題之前，系統已經開展了大量的工作，并幫助重新劃分問題嚴重性的優先級并建立相關流程。

雖然IBM安全的 Watson for Cyber Security 產品還未正式發布（預計今年第四季度），但據 Barny Sanchez 透露，目前IBM安全的計劃是利用 X-Force Exchange 作為切入點來集成QRadar和Watson這兩項解決方案。

認知安全的未來

在今年8月舉行的中國互聯網安全大會(ISC 2016)上， Barny Sanchez 還發表了以“認知安全”為主題的演講，并介紹了Watson在正式涉足安全領域后，認知安全未來的三個發展方向：“第一個方向是，我們要讓Watson具有預測分析的能力，讓Watson能夠提前預測惡意軟件和入侵威脅；第二個方向是讓Watson學習企業在安全領域的法規框架，幫助其企業判斷企業的風險框架是否合規；第三個方向是培養Watson了解不同的行業和客戶，真正成為各個行業的安全專家，助力準確決策。”

安全能力的本質是人，作為企業安全分析師的“高級”輔助工具的Watson亦是如此。在安全這樣一個特殊的行業，對于已經踏入半步的我們，認知安全帶來的不僅是人力的解放和替代，更是安全分析時間和技術成本的降低，以及企業安全能力的提升。它對于早已無地緣限制的全球互聯網來講，無疑將會是一個對抗黑客攻擊并盡可能減少企業損失的利器。