互聯(lián)網(wǎng)世界紛繁復(fù)雜，安全威脅無處不在，網(wǎng)絡(luò)攻擊者不斷變換攻擊方式，尋找新的手段突破企業(yè)的防御。面對威脅，企業(yè)需要能夠檢測到威脅，盡可能多地結(jié)合檢測到的內(nèi)容進(jìn)行安全分析，區(qū)分和消除新的威脅。

要想真正的做好企業(yè)的安全防御，除了吸收分析易于識別的結(jié)構(gòu)化數(shù)據(jù)，還需能夠解讀非結(jié)構(gòu)化數(shù)據(jù)。雖然專業(yè)的安全人員通過經(jīng)驗的積累、與同事交流、參與會議、跟進(jìn)最新研究報告來不斷的構(gòu)建他們的知識體系，分析結(jié)構(gòu)與非結(jié)構(gòu)化數(shù)據(jù)，針對安全問題做出合理的決策。但是有很多的非結(jié)構(gòu)化數(shù)據(jù)是他們無法閱讀、理解和分析的。

據(jù)統(tǒng)計，全球每天會生成超過2.5艾字節(jié)的數(shù)據(jù)，其中20%是結(jié)構(gòu)化數(shù)據(jù)，80%是非結(jié)構(gòu)化數(shù)據(jù)。這意味著數(shù)據(jù)是以自然語言進(jìn)行表達(dá)，人類可以很容易理解，但傳統(tǒng)的安全系統(tǒng)卻無法做到這點。事實上，成千上萬的有關(guān)安全性的博客每天發(fā)布詳細(xì)的威脅情報。但安全分析師無法了解其中的所有內(nèi)容，傳統(tǒng)的安全系統(tǒng)也無法像分析師那樣分析。

怎樣才能充分利用非結(jié)構(gòu)化數(shù)據(jù)呢?IT界的巨人IBM率先提出了認(rèn)知安全，倡導(dǎo)以具備理解、推理和學(xué)習(xí)能力的安全性來發(fā)展防御能力，并預(yù)計于今年年末推出 Watson for Cyber Security。·

　　什么是認(rèn)知安全?

認(rèn)知系統(tǒng)是自學(xué)習(xí)系統(tǒng)，可以使用數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、自然語言處理和人機(jī)交互來模仿人腦的工作方式。認(rèn)知安全實現(xiàn)了兩個廣泛且相關(guān)的功能：一是，使用認(rèn)知系統(tǒng)來分析安全趨勢，將大量結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)提煉成信息，然后提煉成可執(zhí)行的知識、以實現(xiàn)持續(xù)性的安全性和業(yè)務(wù)改進(jìn)。二是，使用自動化的數(shù)據(jù)驅(qū)動型安全技術(shù)、工藝和流程，支持認(rèn)知系統(tǒng)享有最高級別的上下文和準(zhǔn)確性。

目前，IBM安全正在訓(xùn)練新一代系統(tǒng)來理解、推理和學(xué)習(xí)不斷演進(jìn)的安全威脅。開始將安全性的直覺和專業(yè)知識構(gòu)建到新的防御中，它可以像安全專業(yè)人士那樣每天分析研究報告、Web文本、威脅數(shù)據(jù)和其他與安全性相關(guān)的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，但其分析規(guī)模是我們前所未見的。這就是認(rèn)知安全的本質(zhì)。

認(rèn)知系統(tǒng)幫助企業(yè)解決安全人才短缺問題

不只是我們的安全系統(tǒng)面臨當(dāng)今安全環(huán)境的挑戰(zhàn)，企業(yè)安全人員也面臨挑戰(zhàn)。據(jù)IBM調(diào)查了解，世界各地空缺的信息安全職位數(shù)預(yù)計為208000，并預(yù)期在2020年將增長到150萬。

認(rèn)知系統(tǒng)在安全領(lǐng)域的應(yīng)用將有效緩解安全人才短缺的現(xiàn)狀，并提高認(rèn)知系統(tǒng)使用者安全分析師的專業(yè)能力。認(rèn)知系統(tǒng)作為一個可擴(kuò)展的資源，可以減輕安全分析的工作，可作為經(jīng)常人手不足的安全部門的特別補充。它提供以人為核心的通信，如先進(jìn)的可視化、交互式漏洞分析、風(fēng)險評估、修復(fù)和潛在原因分析。認(rèn)知系統(tǒng)將能夠發(fā)現(xiàn)異常狀況和錯誤邏輯，并提供基于證據(jù)的推理。這可以讓分析師權(quán)衡替代措施結(jié)果并提高決策水平。

而安全分析師將借助認(rèn)知系統(tǒng)來幫助他們增強(qiáng)甚至自動化對威脅的理解，使分析師對最新的攻擊更具判斷力，以便騰出寶貴的時間著重處理其他緊迫的問題。

IBM認(rèn)知型智能系統(tǒng)Watson的安全認(rèn)知能力培養(yǎng)

IBM Waston誕生于紐約北部高山上一個三層樓高的飛碟建筑里，IBM Watson研究中心的科學(xué)家研發(fā)了這個在智力競賽項目《危險邊緣》上擊敗人類的認(rèn)知型智能系統(tǒng)。它具有將世界上所有的數(shù)據(jù)收納并轉(zhuǎn)換成有用信息的強(qiáng)大功能。它能夠辯論和學(xué)習(xí)，就像人類一樣，不同的是——它更快。

如今的IBM Waston，已經(jīng)搬家至紐約曼哈頓東村，它的 "大腦 "主要在云端。其核心工作是依照人類交流的方式從數(shù)據(jù)中提取觀點和含義，并進(jìn)行分析。它能夠通過全速的讀取和詞匯理解，在數(shù)分鐘內(nèi)生成一種分析模式，而且隨著使用年限的增長，IBM Waston能夠在每一次信息掃描中學(xué)習(xí)變得更聰明。

　　IBM大中華區(qū)的信息安全總經(jīng)理林澤芬

IBM大中華區(qū)的信息安全總經(jīng)理林澤芬向記者介紹說，IBM已經(jīng)把X-Force歷來已有的定義放進(jìn)了Watsonfor Cyber Security。通過安全專家讓IBM Watson學(xué)習(xí)知識，例如：什么是釣魚，什么是木馬，什么是漏洞，這個漏洞不是漏水，就是安全漏洞。目前，Watson for Cyber Security還不能作為單獨的產(chǎn)品提供，需要通過Qradar的 API做對接，放入Qradar平臺。

IBM Security Qradar是一種安全性智慧平臺，其能夠運用事件數(shù)據(jù)、漏洞數(shù)據(jù)，組態(tài)數(shù)據(jù)，以及所有可轉(zhuǎn)化為可移動安全性情報的信息，讓安全分析師能夠快速有效率地解決安全性問題。當(dāng)Watson與其對接成功后，Watson就可以利用Qradar平臺的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并給予Qradar反饋。

采訪最后，林澤芬表示：“安全情報+大數(shù)據(jù)分析+認(rèn)知安全，這就是IBM所能給企業(yè)提供的最大的安全性保障。”即是IBM的“X-Force” + “QRadar” + “Watson for Cyber Security”進(jìn)行資源整合后的能力。

寫在最后

2016年年初，IBM宣布將轉(zhuǎn)型成“Cognitive Solution &Cloud Platform Company” (認(rèn)知解決方案和云平臺公司)!如今半年過去了，IBM在認(rèn)知技術(shù)之路上一步一個腳印的前行著，年底即將發(fā)布的Watson for Cyber Security是什么樣子呢?其表現(xiàn)會如何呢?讓我們一起期待。