人类智能+人工智能:IBM的SOAR与众不同之处
人类智能+人工智能:IBM的SOAR与众不同之处作者:aqniu日期:2019年07月23日阅:32,910SOAR是什么?Gartner在2017年年底对SOAR重新进行了定义。由于新的技术与市场逐渐成熟,SOAR的概念由SOA(安全自动化与编排)、SIR(安全事件响应平台)与TIP(威胁情报平台)三部分组成。从实践角度来看,通过自动化编排能力与威胁情报能力,实现风险优化、检测、溯源与响应的行为闭环。
根据安全牛对Gartner的总结,理想的SOAR系统应该有四方面的能力:
1.编排能力:将不同的技术整合在一起进行协同工作。
2.自动化能力:让机器可以像人类一样处理工作。
3.事件管理与协同能力:人与人之间,不同部门/分组之间成员对事件的协同管理。
4.仪表板展示能力:将事件、环境信息以可视化的方式提供给相关人员。
一年半过去了,SOAR产品的完善度似乎未达到理想的地步。大部分厂商的产品都在SOA、SIR与TIP三个领域中的某一个领域深耕,很少有能够同时提供三个领域能力的厂商。
作为安全界内全球大厂IBM,他们的SOAR产品IBMResilient目前在全球已经有200多个大型客户在实际应用。那么,他们的SOAR产品又和Gartner所提出的理念有什么改进?
IBM有个不同的SOAR?Gartner认为的SOAR是由SOA、SIR与TIP三种能力组成,而IBM的Resilient系统却是由SOA、CaseManagement、与AI&HumanIntelligence三部分组成。
SOA(安全自动化编排)是IBM与Gartner提出的理念共有的部分,使得SOAR平台可以统筹安排并自动执行事件响应的能力,全面应对各类复杂的攻击。通过整合来自人员、流程和技术方面的信息,能为分析师提供相关的信息和工具,帮助分析师快速地做出最恰当的决策。同时,Resilient借助IBM自身拥有全球最大的漏洞通知法规数据库之一,能够简化交付必要漏洞通知的流程。
那么,在基于IBM大量的业界最佳实践的基础上,CaseManagement与AI&HumanIntelligence又与Gartner提出的SOAR理念有什么不同之处呢?
我们很多时候都是将事件作为一个单点来看:当事件发生后,安全团队和系统采取某种措施进行响应,而在这些环节中,似乎人员(安全团队)、系统(某些安全设备)、发生的事件都是作为事件中零散的属性而存在。但是,事实上,当一个事件发生时,往往牵涉到了不同的部门(不同的业务系统)、不同的事件需要不同的流程进行处理等等。如果我们将安全事件以一种更立体的角度来看待:从人员角度,在某种安全事件发生后,企业需要谁来进行响应,该如何协同进行工作;从具体行动角度,相关人员需要采取怎样的一系列措施;从事后分析角度,企业在这些安全事件中都分别进行了怎样的措施,不同角色进行了怎样的行动。通过从不同的维度进行扩展,将安全事件不作为一个单独的点进行处理,而是一个有时间、成员、行动等多个因素组成的场景,或者具体的用例——这就是CaseManagement的概念。
CaseManagement功能是Resilient在事件管理与协同能力上的体现。通过大量的业内最佳实践形成的KnowledgeBase,Resilient可以根据不同的情形,组织不同团队、级别之间的成员进行协同合作,增强不同团队成员之间的联系。另一方面,SOAR一个很重要的价值在于将“经验”留存在团队中,从而应对各类风险。但是,这些经验往往存在于安全人员的大脑之中,但是通过CaseManagement将事件的进程、基于角色的行为等进行记录,并且将这些信息作为能力融入到工具之中,可以极大弥补因为安全人员不在场、离职等原因造成的安全能力缺失。通过CaseManagement,企业能够以一种进程化的方式,解决安全响应的问题。
当人们都在强调人工智能的时候,IBM却将人工智能和人类智能双管齐下。正如上文说的,在安全事件中,很多时候需要依靠相关人员的经验与知识去分析和解决。因此,尽管人工智能可以解决相当一部分的事件,但对于一些攻击的溯源、对安全状态的把握却依然会需要人类专家来处理。在IBMWatson的支持下,企业可以享受到人类专家带来的经验与能力,对安全态势进行更有效地把控。同时,Watson可以结合IBMX-Force全球超过800TB的威胁情报进行分析,为企业提供有效的威胁信息。
IBM的SOA、CaseManagement、AI&HumanIntelligence以自己的理解重构了SOAR的三个组成部分,同时也达成Gartner定义中对SOAR的四个能力要求。其中,CaseManagement也被Gartner作为事件管理与协同能力中的一点提出——但是IBM的CaseManagement显然满足了Gartner对事件管理与协同能力中所有的要求。事实上,CaseManagement对厂商而言是有相当高难度的:CaseManagement不只是类似于playbook的行为指导,而是基于企业中不同团队的协同,进行场景化、流程化的处理,同时对行为和事件进行记录,并且基于角色进行安全控制。安全本身不再是安全团队的单独行动,而是与系统相关的人员之间的联动。另一方面,威胁情报在于有价值的分析——有经验的人类专家往往能从中发现当下人工智能无法发现的蛛丝马迹,
SOAR还能帮助合规?Resilient从能力上能分为SOA、CaseManagement、AI&HumanIntelligence,而从组成模组上则分为了安全(Security)、行动(Action)、隐私(Privacy)三个模组。
值得一提的是隐私模组。安全与行动模组承载了Resilient的自动化编排、响应等能力,而隐私模组则是IBM针对近年来频发的数据泄露事件以及各种合规出台而设置的。企业可以根据自己所在区域的不同,配置相应的合规模板,一旦发生隐私事件,SOAR能够指导相关人员开启隐私事件流程,包括通知相关机构、客户等。
隐私模组如今已经配置了GDPR、PCI、HIPAA等多种合规要求,帮助企业在全球不同地区、商业领域满足不同的合规需求。同时,企业也能根据自身相关的合同,进行合同约束的隐私配置。
尽管Gartner并未提及合规在SOAR当中的使用,但是显然合规与隐私需求也是安全事件中的一环。IBM对隐私与合规的意识走在了前沿,在当下各种合规要求的出台情况下显得尤为重要。企业自身的安全固然相当重要,但是将相关安全事件通报受影响人以及相关机构,能从更大范围上对安全事件进行处理。因此,合规也尤为重要。
让我们看看SOAR的实际效果既然Resilient已经在全球有200多的应用客户,那么他们到底为自己的客户解决了什么样的问题?这里有两家企业可以供于参考。
法国的一家医疗保险公司,拥有2,000多名员工,在全法国有庞大的运营网络,包括近21,000家分公司以及200多个办事处,客户数超过130万。由于医疗保险公司本身拥有大量的客户敏感信息,公司需要在合规、安全的基础上,对数据进行高效的管理和使用。
该医疗保险公司本身已经使用了IBMSecurity的解决方案,但是为了满足进一步需求,该公司提升了多个IBMSecurity的相关组件。另外,该公司从物理形式的Resilient软件解决方案迁移到了SaaS解决方案,并且在其安全运营中心(SOC)部署,用以管理事件响应。
在新的解决方案下,新安装的IBMQRadarNetworkInsightV1901软件可以提供更准确的威胁检测和预警功能。而新的SecurityQRadarSIEM可以通过实时分析提供更准确的威胁检测以及优先排序功能,从而极大提升了安全平台的运营效率,提升了公司整体的IT安全管理与事件响应能力。另一方面,在Resilient的帮助下,公司内的所有利益相关者均可访问运营解决方案,使得整个公司中的不同又关联的部门可以参与并了解整个安全的情况,增强了企业内的安全协作情况。
而对于另一家位于英国的大型全球银行,IBM帮助他们整合了自身的SOC资源。原本该银行有12个孤立的SOC,因此在面对威胁的时候,存在着情报分散、脱节,同时又只有支离破碎的可视性等问题。另一方面,SOC每周只有五天运作,每天只运作8小时,使得企业存在长时间的安全真空状态。
IBM在帮助该银行制定了端到端的SOC转型路线图,并在其中的一个SOC中投入了IBMSecurityQRadarSIEM软件对银行面临的威胁进行优先级排序,并进行检测。在这个基础上,银行将QRadar软件推广到其余的11个SOC,消除了SOC的孤立问题,并集成到了全天24小时的连贯系统中。最后,银行部署了Resilient平台,做到了自动执行SOC工作流程和事件响应的过程。
通过将12个孤立的SOC集成,该银行终于能通过单一的界面获得覆盖全行的可视性,更快速、高效地检测和响应网络威胁,降低事件影响。另一方面,在引入SOAR的自动化能力后,SOC的运作时间不再局限于5*8的范围,节省了成本的同时,也大大减少了安全真空期。
从这两个案例中,我们可以发现:越是庞大的企业越需要SOAR来辅助安全运营。SOAR在实际的IT环境中能将大量的安全能力,包括相关部门进行整合,从而进行协作;对于安全能力多而散的大型企业,以及对安全事件响应要求极高的企业,SOAR都有极高的安全战略价值。
安全牛评SOAR的概念看似很美好,但在实际落地上却有相当的难度。SOAR的价值不只是在于自动化的安全能力,不同团队之间的联动也至关重要。在各种设备进行联动的基础上,企业人员是否也能做到协同联动?企业不同角色之间是否知道自己的安全职责?安全事件发生时,不同人员该如何配合进行响应?一个优秀的SOAR系统是将人和机器资源进行整合,系统和人都能知道在不同的安全情况下该如何行动,从而快速响应、处理威胁,减少损失。
备注:为了对IBM的Resilient有更多的了解,安全牛也对IBM进行了访谈,并制作了相关视频,从而更直观地对Resilient进行了讲解。可以点击阅读原文或复制链接观看视频:http://ibm20190509.mychinaevent.com?code=aqn
相关阅读
IBM如何看待SOC和态势感知
IBM安全产品线全解读联动一切的QRadar
医学领域的人工智能
关于医学领域的人工智能在本世纪初AI开始应用于医疗信息之前,医疗保健行业的预测模型只能使用组织良好的干净健康数据中的有限变量。而如今,使用人工神经网络学习极其复杂关系的成熟机器学习工具,或者深度学习技术,已经展现出支持执行某些医学相关任务的能力,有时甚至超越了人类的能力。AI系统旨在处理现代诊所治疗过程中所生成的复杂数据。
医疗服务提供方、领先组织和研究机构借助IBMWatson等AI技术,利用数以百万计的医疗报告、患者病历、临床试验报告和医学期刊,深入揭示数据洞察。
阅读专家的观点
利用人工智能 (AI) 守护网络安全
面对越来越频繁、越来越复杂的网络攻击,人工智能(AI)能够帮助资源不足的安全运营分析师提前预知和防范威胁。机器学习和自然语言处理等人工智能技术,从数以百万计的研究论文、博客和新闻报道中收集威胁情报,提供快速洞察分析,以消除日常警报的干扰,大大缩短响应时间。观看视频,了解AI如何帮助分析师整合存在于不同威胁之间的线索。