IBM 安全事业部今天宣布推出面向网络安全的Watson(Watson for Cyber Security),这是业界旨在推动认知型安全运营中心(SOC)发展的增强智能技术。在过去一年,Watson接受了网络安全语言方面的培训,阅读了100多万份安全文献。现在,Watson能够帮助安全分析师解析成千上万份自然语言的研究报告,而此类报告过去从未被现代安全工具所解读。
据IBM研究部门提供的信息,形形色色的安全团队每天平均扫描20多万次安全事件,但他们每年却有超过20,000小时的时间浪费在追查误报事件上。因此,人们迫切需要把认知技术引入安全运营中心;另外,为了应付今后5年内预计翻倍的安全事件,满足全球范围日益强化的监管措施,认知技术的引入必不可少。
面向网络安全的Watson将被整合到IBM新推出的认知型SOC平台中,并将先进的认知技术与安全操作融合到一起,同时提供应对跨端点、网络、用户和云端威胁的能力。该平台的核心是IBM QRadar Watson Advisor,即IBM Security App Exchange中的一款新应用。IBM Security App Exchange是充分挖掘Watson网络安全洞察资料库的工具。
随着安全事件的急剧增长,IBM一直致力于研究,将各种认知工具纳入其遍布全球的X-Force指挥中心网络中。比如一款由Watson驱动的聊天机器人,作为一项早期创新产品、这款机器人目前已经能够为IBM Managed Security Services(IBM管理安全服务)的客户使用。IBM还透露了一个代号为Havyn的新研究项目——一款具有开创性的语音安全助手。它能够基于Watson的对话技术响应安全分析师发出的口头命令和自然语言指示。
安全团队正不断发展阻止网络犯罪的战略和战术,安全运营中心引入认知技术对于发展进程至关重要。IBM较近的一项研究发现,目前只有7%的安全专业人员在使用认知工具;但在未来2-3年内,该使用率预计将增长三倍。
IBM认知型SOC平台将认知技术带到安全分析师面前,有效弥补了分析师们在智能分析领域的缺陷,并帮助他们快速、准确地对安全事件采取行动。基于IBM QRadar安全智能平台,安全分析师能利用集合认知能力的IBM QRadar Watson Advisor应用,对安全事件展开调查和补救工作。该解决方案能基于IBM Watson的自然语言处理能力,分析安全博客、网站、研究论文以及其他文献,并与QRadar提供的威胁情报和安全事件数据相关联,从而帮助安全分析师调查潜在威胁,并将网络安全调查的时间从几周、几天缩短至几分钟。
IBM安全事业部,发展与技术副总裁Denis Kennelly表示:“认知型SOC现在已经成为一个现实。它能够协助客户在对抗日益增长的网络犯罪以及下一代威胁的战斗中获得优势。我们对面向网络安全的Watson(Watson for Cyber Security)的投入,已经在短短一年内催生了多项创新结果。人类智能及机器智能独特能力的结合,对于下一阶段战胜高级网络犯罪至关重要。”
为了把认知型SOC的能力扩展到更多端点,IBM 安全事业部还发布了一套名为IBM BigFix Detect的新型端点检测和响应(EDR)解决方案。该解决方案能够帮助组织机构充分了解不断变化的端点格局,同时消除从“检测到安全威胁”到“进行补救”中间产生的误差。 BigFix Detect正在使EDR既易于使用,又易于操作,这能够让安全分析师通过单一平台查看并掌握其所有端点上存在的威胁,并据此采取行动。
通过与IBM Resilient的事件响应动态剧本(playbook)绑定,客户可以利用他们的认知型SOC能力在其整个组织机构中快速、准确地自动开展和协调威胁响应措施。IBM 认知型SOC还汇集了IBM安全事业部提供的其他技术,其中包括用于网络威胁搜寻的i2以及IBM X-Force Exchange。
IBM还将通过IBM Managed Security Services(IBM管理安全服务)在全球范围帮助客户设计、构建和管理认知型安全运营中心。在过去5年中,IBM已经为数十个行业的客户建立了300多个安全运营中心,这些行业包括消费包装品、零售、银行和教育。客户既可以选择让本地部署的认知型SOC,也可以选择通过IBM云来管理,成为IBM X-Force指挥中心网络的一部分。
IBM的X-Force指挥中心全球网络正在使用诸如QRadar Watson Advisor等IBM认知能力,以便加强对安全事件的调查。另一个有望成功应用的案例是代号为Havyn的新研究项目,它赋予了认知型SOC“声音”。Havyn的目标是创建一套语音驱动的安全助手,通过与安全分析师进行交互,对组织机构安全状态或安全威胁实现实时更新。
Havyn项目利用Watson API、BlueMix和IBM 云计算对言语请求和命令做出实时响应,并能够从开源安全智能工具(包括IBM X-Force Exchange)中获得数据,也能够从具体客户的历史数据以及他们的安全工具中获得数据。例如,Havyn可以向安全分析师提供有关已出现的新威胁的更新信息以及推荐的补救措施。Havyn目前正由IBM Managed Security Services(IBM管理安全服务)部门中精选的研究人员和分析师进行测试。
目前,Watson每天还通过部署在IBM X-Force指挥中心网络中的聊天机器人工具与客户进行交流,每月处理超过1万亿次安全事件。客户可以通过即时消息向Watson提出问题,以了解他们的安全状态或网络配置情况。例如,客户可以向Watson询问有关设备或工单状态方面的问题。该工具还能够执行IBM MSS客户发出的命令,例如将某个工单重新分配给新的负责人。 
