2020开年,恐怕谁也没有想到,新冠疫情竟然成为全球范围内最大的“黑天鹅事件”,对社会、经济等各个层面造成深远影响。
在现实世界,一个新型病毒的传播受制于人口、地域、意识、管理制度等不同因素影响,要想做到对它进行有效控制并不容易,准确地说是相当难的,这也就造成了如今病毒疫情在全球肆虐的局面。
所以我们知道能够有效阻断疫情传播的措施是用时间换空间,通过降低人口流动速度,换取医学人员研究出对抗新冠病毒的疫苗和疗法。
虽然在现实世界,人类还没有找出对付病毒特别是新型病毒最有效的方法。但提到病毒,我们还容易想到它在另一个空间的存在,那就是网络世界。
网络世界的病毒虽不能直接对人的生命健康造成影响,但它给经济社会带来的损失同样是巨大的。尤其是网络病毒一旦渗透到国家关键基础设施,其造成的破坏力是无可估量的,甚至也间接威胁到人的生命财产安全。
不过,不同于现实世界,人们对付网络世界病毒的方法更多,也相对更有效。特别随着技术的进步,无论是人工智能还是大数据等技术的应用,都能对大多数病毒威胁进行检测和阻断。当然,也并非完美。
举例来说,在对抗专业的攻击手段和频繁变种的高级威胁方面,目前的威胁检测技术存在局限。而在更多的企业用户提出的更高层次需求,如应对未知威胁、防患于未然方面,当前的安全技术更是捉襟见肘。
虽然在现实世界,人类面对未知新型病毒束手无策,但面对网络世界的未知威胁,就真的无计可施吗?显然不是。
近日,华为给出了应对未知威胁的全新答案:基于自进化AI的华为HiSec Insight安全态势感知系统。其三大特性“黑科技”让未知威胁检测将精准,运维更简单,应用开发更自由。
自进化的“七十二变”
“基于自进化AI检测引擎,威胁检测精确率大于95%”,这是HiSec Insight呈现出的第一大核心能力,为什么能实现这一能力?其关键体现在“感知自进化”特性上。
如何理解,举一个例子,《西游记》中孙悟空神通广大之处就源自其七十二变本领上,在与牛魔王的对抗中,敌变白鹤我变丹凤,敌香獐我饿虎,敌雄狮我巨象,从而随需而变招招制敌。
华为HiSec Insight的感知自进化能力与此有异曲同工之妙,也就是说无论威胁如何升级与变种,我都可以实现对威胁的检测应对自如,并做到持续提升与进化。
华为HiSec Insight能够“自我进化”的关键之处在于其独创的iEVO算法,用于目前业界首发的自进化AI检测引擎。iEVO算法能够基于分散的AI检测模型进行安全聚合调优、更新和分发,它在保护企业隐私的同时实现了模型的学习优化,从而提升AI检测模型的准确性与健壮性。其运行原理如下:
首先,网络边缘部署的分布式AI检测引擎可采集用户安全运维数据,用来训练本地威胁检测模型,然后将模型训练梯度进行同态加密,上传到安全态势感知系统。其次,安全态势感知系统聚合各个上传的检测模型,通过iEVO算法训练数据样本,实现检测模型(神经网络LSTM、随机森林、聚类等)的更新。最后,将整合后的安全检测模型分发到分布式AI检测引擎,实现整网检测模型升级和检测能力自进化。
可以看出,基于自进化AI的华为HiSec Insight安全态势感知系统,一方面通过边缘分布式AI检测引擎和态势感知系统不断模型自进化,在群体智能协同和持续提升高级威胁的检测能力方面能够发挥出最大威力;另一方面通过将AI威胁检测能力下沉到边缘AI探针,也就解决了平台集中式分析检测处理成本高的问题,要知道传统上10G流量的集中分析处理动辄需要大数据安全分析平台十台以上服务器集群的规模。
简化运维,全局视角洞察安全态势
一提到运维,恐怕每一个IT管理人员都有一肚子的苦水诉说,安全也是如此。告警事件多,人工处置效率低是大多数企业面临的难题。就像北京大学计算中心网络安全室主任周昌令在发布会上所说,“大多数安全运维人员都有这样的体验:安全信息来源不是太少,而是太多,多到无法去细看。比如传统的防火墙、IPS/IDS等安全产品,可以提供大量的基于事件的日志,数量多而且重复度高,深陷在低效的运营工作中。”
此外,运维人员面临的难题还在于对安全事件的溯源分析自动化程度非常低,大量重复性工作,经验无法沉淀。安全运维人员希望能从点到线,从线到面,站在全局视角去理解网络的安全状态,发现网络中隐藏的安全问题。
华为HiSec Insight能够有效解决这一难题,“基于威胁知识图谱的推理分析与策略可视化编排,使运营成本降低30%”是其呈现出的第二大关键能力。它是怎么实现的?
首先,华为通过对威胁知识图谱中资产、网络、主机、脆弱性等风险因素进行基于推理树的事件降噪,借助知识图谱构建的攻击知识库、IOC ( Indicators of Compromise) 情报指标、黑客组织、黑客工具、攻击技术以及攻击上下文知识库,可以快速的实现威胁的溯源分析。使用GNN(图神经网络)算法对每个用户或实体的行为进行建模,深入理解复杂攻击图数据,自动化还原真实攻击链,实现攻击链的推演、排序,最终发现攻击图路径,实现攻击链预测。
其次,华为通过策略可视化编排将不同系统或一个系统中不同组件的安全能力按照一定的逻辑关系整合,通过图形化的配置界面实现灵活的业务编排,针对某个或某类威胁事件进行自动化处置闭环,从而完成自动化的调查取证、告警和遏制动作。企业通过策略可视化编排提升运营效率,将安全运维人员从大量重复、耗时的异常事件中解救出来,将精力投入到高级威胁事件的分析上,同时安全事件处置经验可以通过预制场景剧本保留下来,提升整体安全运营效率。
1+1>2的能力中心,建安全大底座
第三个关键问题,企业部署一套安全系统,往往需要汇集多方安全能力,从而实现1+1>2的安全防护效果,然而现实给出的答案往往是1+1<2。
由于业界安全厂商的核心能力差异较大,很多企业希望在相同平台上异构不同厂商的优势能力,发挥整个系统的安全能力,不过却难以实现。原因在于当前大部分的安全态势感知系统架构强耦合,贴近客户应用需求的落地周期长,而且很难支持多厂商能力对接异构。
华为则打破了这一既定规则,“全可控开放式数字安全底座,像搭乐高积木一样快速开发应用”是华为HiSec Insight呈现出的第三大能力。
源自于华为HiSec Insight采用的标准化的微服务架构,其能够将大数据平台能力、数据库、分析引擎等能力按照服务方式提供,像搭乐高积木一样快速开发应用,重塑应用开发模式。同时,通过日志无码化和插件化能力,实现多源流量、日志等数据的快速采集能力,满足客户业务诉求。据了解,目前华为已经和多个厂商(如:安恒、盛邦、易聆科、安信天行等)实现安全能力对接,并成功交付了多个客户局点。
也就是说,华为HiSec Insight通过开放、标准化、服务化的架构,让企业能够灵活方便地接入和开发第三方应用,从而增强安全态势感知系统智慧大脑、指挥中心的能力。
此外,华为HiSec Insight安全态势感知系统还采用了可控的硬件平台服务器、操作系统、大数据平台、数据库软件等部件,确保平台的安全可靠、全面可控。
所以总结说来,华为HiSec Insight安全态势感知系统,一方面通过自动进化的AI检测引擎提高了针对未知威胁的检出率和准确率,另一方面通过安全推理和策略可视化编排能力,可以显著提升安全运维人员面临的海量告警分析效率和威胁的快速闭环处置能力。此外,企业通过利用华为HiSec Insight打造的开放式的安全底座,还可以更方面地构建汇集多方应用能力的安全大脑和指挥平台。
再回到开文讲到的那个话题,虽然在现实世界中我们难以规避病毒引发的“黑天鹅”,但在网络空间,利用华为HiSec Insight,以及依托AI等新技术的演进,降低WannaCry等网络病毒威胁引发的“黑天鹅”发生概率,我们有了更多手段。