近日，IBM 安全事業(yè)部宣布推出面向網(wǎng)絡(luò)安全的Watson（Watson for Cyber Security），這是業(yè)界首款旨在推動認知型安全運營中心（SOC）發(fā)展的增強智能技術(shù)。

在過去一年，Watson接受了網(wǎng)絡(luò)安全語言方面的培訓，閱讀了100多萬份安全文獻。現(xiàn)在，Watson能夠幫助安全分析師解析成千上萬份自然語言的研究報告，而此類報告過去從未被現(xiàn)代安全工具所解讀。

IBM Watson推動認知型安全運營中心（SOC）發(fā)展

據(jù)IBM研究部門提供的信息，形形色色的安全團隊每天平均掃描20多萬次安全事件，但他們每年卻有超過20,000小時的時間浪費在追查誤報事件上。因此，人們迫切需要把認知技術(shù)引入安全運營中心；另外，為了應付今后5年內(nèi)預計翻倍的安全事件，滿足全球范圍日益強化的監(jiān)管措施，認知技術(shù)的引入必不可少。

面向網(wǎng)絡(luò)安全的Watson將被整合到IBM新推出的認知型SOC平臺中，并將先進的認知技術(shù)與安全操作融合到一起，同時提供應對跨端點、網(wǎng)絡(luò)、用戶和云端威脅的能力。該平臺的核心是IBM QRadar Watson Advisor，即IBM Security App Exchange中的一款新應用。IBM Security App Exchange是首款充分挖掘Watson網(wǎng)絡(luò)安全洞察資料庫的工具。

隨著安全事件的急劇增長，IBM一直致力于研究，將各種認知工具納入其遍布全球的X-Force指揮中心網(wǎng)絡(luò)中。比如一款由Watson驅(qū)動的聊天機器人，作為一項早期創(chuàng)新產(chǎn)品、這款機器人目前已經(jīng)能夠為IBM Managed Security Services（IBM管理安全服務）的客戶使用。IBM還透露了一個代號為Havyn的新研究項目——一款具有開創(chuàng)性的語音安全助手。它能夠基于Watson的對話技術(shù)響應安全分析師發(fā)出的口頭命令和自然語言指示。

IBM認知型SOC

安全團隊正不斷發(fā)展阻止網(wǎng)絡(luò)犯罪的戰(zhàn)略和戰(zhàn)術(shù)，安全運營中心引入認知技術(shù)對于發(fā)展進程至關(guān)重要。IBM最近的一項研究發(fā)現(xiàn)，目前只有7％的安全專業(yè)人員在使用認知工具；但在未來2-3年內(nèi)，該使用率預計將增長三倍。

IBM認知型SOC平臺將認知技術(shù)帶到安全分析師面前，有效彌補了分析師們在智能分析領(lǐng)域的缺陷，并幫助他們快速、準確地對安全事件采取行動。基于IBM QRadar安全智能平臺，安全分析師能利用集合認知能力的IBM QRadar Watson Advisor應用，對安全事件展開調(diào)查和補救工作。該解決方案能基于IBM Watson的自然語言處理能力，分析安全博客、網(wǎng)站、研究論文以及其他文獻，并與QRadar提供的威脅情報和安全事件數(shù)據(jù)相關(guān)聯(lián)，從而幫助安全分析師調(diào)查潛在威脅，并將網(wǎng)絡(luò)安全調(diào)查的時間從幾周、幾天縮短至幾分鐘。

IBM安全事業(yè)部，發(fā)展與技術(shù)副總裁Denis Kennelly表示：“認知型SOC現(xiàn)在已經(jīng)成為一個現(xiàn)實。它能夠協(xié)助客戶在對抗日益增長的網(wǎng)絡(luò)犯罪以及下一代威脅的戰(zhàn)斗中獲得優(yōu)勢。我們對面向網(wǎng)絡(luò)安全的Watson（Watson for Cyber Security）的投入，已經(jīng)在短短一年內(nèi)催生了多項創(chuàng)新結(jié)果。人類智能及機器智能獨特能力的結(jié)合，對于下一階段戰(zhàn)勝高級網(wǎng)絡(luò)犯罪至關(guān)重要。”

為了把認知型SOC的能力擴展到更多端點，IBM 安全事業(yè)部還發(fā)布了一套名為IBM BigFix Detect的新型端點檢測和響應（EDR）解決方案。該解決方案能夠幫助組織機構(gòu)充分了解不斷變化的端點格局，同時消除從“檢測到安全威脅”到“進行補救”中間產(chǎn)生的誤差。 BigFix Detect正在使EDR既易于使用，又易于操作，這能夠讓安全分析師通過單一平臺查看并掌握其所有端點上存在的威脅，并據(jù)此采取行動。

通過與IBM Resilient的事件響應動態(tài)劇本（playbook）綁定，客戶可以利用他們的認知型SOC能力在其整個組織機構(gòu)中快速、準確地自動開展和協(xié)調(diào)威脅響應措施。IBM 認知型SOC還匯集了IBM安全事業(yè)部提供的其他技術(shù)，其中包括用于網(wǎng)絡(luò)威脅搜尋的i2以及IBM X-Force Exchange。

認知型安全服務和創(chuàng)新

IBM還將通過IBM Managed Security Services（IBM管理安全服務）在全球范圍幫助客戶設(shè)計、構(gòu)建和管理認知型安全運營中心。在過去5年中，IBM已經(jīng)為數(shù)十個行業(yè)的客戶建立了300多個安全運營中心，這些行業(yè)包括消費包裝品、零售、銀行和教育。客戶既可以選擇讓本地部署的認知型SOC，也可以選擇通過IBM云來管理，成為IBM X-Force指揮中心網(wǎng)絡(luò)的一部分。

IBM的X-Force指揮中心全球網(wǎng)絡(luò)正在使用諸如QRadar Watson Advisor等IBM認知能力，以便加強對安全事件的調(diào)查。另一個有望成功應用的案例是代號為Havyn的新研究項目，它賦予了認知型SOC“聲音”。Havyn的目標是創(chuàng)建一套語音驅(qū)動的安全助手，通過與安全分析師進行交互，對組織機構(gòu)安全狀態(tài)或安全威脅實現(xiàn)實時更新。

Havyn項目利用Watson API、BlueMix和IBM 云計算對言語請求和命令做出實時響應，并能夠從開源安全智能工具（包括IBM X-Force Exchange）中獲得數(shù)據(jù)，也能夠從具體客戶的歷史數(shù)據(jù)以及他們的安全工具中獲得數(shù)據(jù)。例如，Havyn可以向安全分析師提供有關(guān)已出現(xiàn)的新威脅的更新信息以及推薦的補救措施。Havyn目前正由IBM Managed Security Services（IBM管理安全服務）部門中精選的研究人員和分析師進行測試。

目前，Watson每天還通過部署在IBM X-Force指揮中心網(wǎng)絡(luò)中的聊天機器人工具與客戶進行交流，每月處理超過1萬億次安全事件。客戶可以通過即時消息向Watson提出問題，以了解他們的安全狀態(tài)或網(wǎng)絡(luò)配置情況。例如，客戶可以向Watson詢問有關(guān)設(shè)備或工單狀態(tài)方面的問題。該工具還能夠執(zhí)行IBM MSS客戶發(fā)出的命令，例如將某個工單重新分配給新的負責人。