Watson

  • WannaCry勒索病毒不相信眼淚,破局有四招!

    這是一次破壞性極強的黑客襲擊事件,病毒頃刻之間蔓延全球,爆發不到48小時,100多個國家和地區的企業紛紛中招,目前所知的波及國家數量已超150個,中招設備數量超過30萬台,沒錯,它就是讓人頭疼到想哭的WannaCry勒索病毒。

    WannaCry勒索病毒,有人歡喜有人愁

    WannaCry把中招的人搞得真心想哭。試想,打開電腦,你就有可能面臨著一筆300美元的比特幣「贖金」。雖然安全專家極力強調,不要繳納贖金以免助紂為虐,可不交的話,電腦中所有的重要資料便會丟失,為此讓人虐心。據統計,在事件爆發的第二天晚間,全球已有90人交付贖金,其後繳納贖金的人數上升至116人,而這一數字還在不斷上漲。

    大多數IT安全人員因為這次席捲全球的勒索攻擊事件而在周末忙得不可開交,有的忙著更新補丁,有的猶豫交贖金。而IBM內部尚未接到受感染的案例報告,因為IBM在4月份已通過BigFix向所管理的終端自動推送了此補丁。

    但千萬不要誤以為WannaCry攻擊風波已經平息,未來將還會有更多更新的勒索病毒軟體會利用類似漏洞開展新一波攻擊。作為近來最流行的在線威脅,勒索病毒軟體有時每天發生超過40,000次攻擊,並占攜帶惡意代碼的所有垃圾郵件的65%以上。

    據跟蹤垃圾郵件趨勢的IBM X-Force研究人員指出,2016年,勒索軟體垃圾郵件的增長速度達到了驚人的6000%,從2015年占垃圾郵件的0.6%已上升至2016年占垃圾郵件的平均40%,而2017年情況顯然只會更糟。面對如此嚴峻的安全形勢,唯有依託IBM安全免疫系統,未雨綢繆,方能無懼無憂。

    防範WannaCry勒索病毒攻擊的正確招式

    勒索病毒看似破壞力驚人,其實破解只需四大招!

    1. 補丁更新:公司需要確認是否及時安裝了最新補丁,在勒索病毒變種前對其加以遏制。
    2. 網路阻斷:對於為安裝補丁的系統來說,攔截機制是第二道防線。因此,公司必須確保安全軟體及網路攔擊技術已更新至最新版本。
    3. 即時監控:增設監控,通過數據反饋安全進展。
    4. 積極應對:公司應與IT安全團隊緊密協作,並制定受到感染後的應對策略。

    IBM WannaCry

    看了上面的防範四大招,我們來復原一下IBM安全解決方案為客戶保駕護航的全過程。其實,早在今年3月檢測出 Windows漏洞時,IBM X-Force 的安全研究人員就已做出應對,提醒用戶升級相關補丁;藉助 IBM 的 BigFix 安全補丁和 QRadar 網路保護技術,客戶可以對其數據進行妥善保護。此外,Watson for Cyber Security 能夠分析攻擊警告,並向客戶及託管安全運營中心反饋相關數據。

    其中IBM的終端管理產品在微軟補丁發布當天,即3月14日便發布了更新,IBM入侵防禦系統在4月20日發布更新特徵庫,更新後的產品具有對該漏洞的全面防禦能力。同時,對於其它非IBM用戶防護此病毒除了儘快更新Windows系統相關補丁外,也可利用IBM X-Force Exchange安全情報平台獲得最新的安全信息。X-Force Exchange安全情報平台在漏洞披露當天即發布了漏洞警告,提醒用戶升級相關補丁;除了公布漏洞和攻擊消息,X-Force Exchange安全情報平台還提供了用於防禦的Snort規則、此波攻擊主要IP、已發現惡意軟體哈希值等多項重要信息,便於用戶進行自查和防禦。

    基於四大招,IBM安全解決方案在此次網路安全攻擊中的應對策略如下:

    01補丁支持

    藉助BigFix Patch管理,確保能夠發現並報告所有終端設備的安全情況,儘可能讓受到感染的終端設備自動安裝補丁。並利用閉環驗證,確保補丁安裝成功。同時啟用所有終端設備的持續策略執行狀態,縮小受攻擊面。

    02網路阻斷

    藉助QRadar Network Security,在內部部署網路保護設備。確保進行IP信譽度評分及 URL 過濾,以自動攔截惡意站點存取。並確保網路保護的簽名及Firmware保持在最新版本。

    03即時監控

    通過QRadar Watson、X-Force Exchange與X-Force Malware Analysis的即時聯動,藉助X-Force獲得通用的關聯視圖,對安全分析相關日誌、網路流量及用戶行為進行優先排序,進一步部署網路安全設備,即時檢測惡意軟體及攻擊活動。同時,對使用基於雲的惡意軟體分析服務及自動發送/接收功能,以便快速識別威脅。並利用Watson認知功能打破結構化數據的局限,並將全球最新的研究洞察力運用到活躍威脅防禦之中。

    04積極應對

    實現ResilientBigFix與X-Force IRIS的多方聯動下的未雨綢繆,制定並測試意外事件響應計劃,確保人員、流程與技術的統一。同時確保 IR 流程的統一性、可靠性及合規性,而且可輕鬆予以改進。並在威脅傳播並造成更大危害之前識別、檢測、遏制並修復威脅。此外,通過諮詢具有豐富意外事件管理與安全智能經驗的專家,協助客戶渡過危機,並通過完整的 IR 統籌安排與自動化啟動決定性行動。

    可以看見,IBM的QRadar、X-Force與BigFix等安全產品在此次對於勒索病毒的防禦中各司其職又相互聯動,對安全隱患實施監測並予以阻斷,有效防止用戶遭受侵害。

    從WannaCry到Adylkuzz等層出不窮的勒索軟體,勒索病毒的進攻方式愈加隱蔽,危害更為嚴重,是時候給你的企業建立真正的安全免疫系統了。快快深入了解IBM安全解決方案,不等勒索找上門。



  • 資安探查導入認知運算 IBM Watson化身專家助手

    資安探查導入認知運算 IBM Watson化身專家助手

    機器學習建立知識庫 精準快速判別攻擊威脅

    來源:網管人 2017/4/17洪羿漣
    隨著資訊科技持續發展前進,今日企業已可運用認知運算(Cognitive Computing)的自主學習能力,創造具備理解、推論、解答的人工智慧新應用。IBM Watson正在全球各種不同領域中開始落實,例如醫療、氣象、銀行、實體與虛擬機器人等應用,透過機器學習、自然語言處理、語意分析等相關技術,讓機器得以理解巨量資料內容,經學習轉化為知識後變身成助手。
    在相當仰仗專業人力的資安領域,人工智慧與機器學習也已成為廠商競相用於輔助判別異常事件的關鍵技術。台灣IBM資訊安全事業部協理金天威指出,IBM Watson主要是從2016年開始學習資安領域相關知識,經過一年的訓練與測試,目前全球已有超過50家IBM QRadar SIEM客戶開始使用最新推出的QRadar Advisor with Watson,協助提升資安事件判定的準確率與洞察力。

    此外,認知技術還進一步擴展到IBM近期推出的端點管理方案BigFix,除了基於X-Force威脅情報平台來執行惡意軟體偵測,BigFix模組也內建了先前併購取得的Trusteer技術,專門提供惡意軟體、釣魚網站等偵查,執行即時偵測、回報資訊;同時搭配IBM去年從Resilient Systems併購而來的資安事件回應技術,協助企業建立完整的事件回應處理程序。

    擴增蒐集資料範疇 豐富學習轉換為智慧

    金天威引述IBM內部研究調查報告指出,現階段的企業資安環境,威脅手法變換速度相當快,壓低了告警的精準度;同時由於欠缺資安人力,須面對的資安相關知識卻持續增加,造成資安人才的需求與實際供給現況有相當大的落差,對此,IBM運用Watson學習能力建立人工智慧系統,得以對日常資安防禦工作提供智慧化的協助。

    他進一步指出,全球資安現況亟待解決的問題,首先是情報不夠豐富,畢竟資安攻擊已無國界之分,需要有能力蒐集來自全球所產生的情報,輔助分析與預測異常行為,但市場上解決方案大多無法全面蒐集所有範疇的資訊;其次是發生資安攻擊事件時,往往難以快速地進行事件分析與回應。

    ▲ IBM Watson應用於資安領域,擴展資料蒐集範疇,運用機器學習演算法與自然語言處理,持續不斷建立知識庫。


    目前資安防禦體系大多會蒐集Log執行事件分析,搭配網路封包解析,來掌握用戶行為、設備配置狀態、系統登入與登出等狀況。實際上,僅蒐集Log資訊與解析流量仍舊不夠,金天威認為,資安領域的巨量情資範疇,應該包含政府部門、研究機關等單位所發布的安全研究報告,或是透過部落格發表的安全事件通報,甚至是透過新聞揭露的消息,諸如此類來自公開網路環境即可取得的資料,其實都是經驗累積,通常未被納入蒐集。其中一項因素,即在於彙集的資料量若過於龐大,恐難以存放、管理,如今即可借助Bluemix雲端平台提供的Watson認知運算,從全球蒐集取得的結構與非結構化龐大資料量中學習轉化為智慧,協助資安人員有效率地處理資安問題。

    機器學習持續自動化調整運算模型準確度

    針對網路資安威脅,Watson已建立一套持續學習與自動化運行的程序,從IBM X-Force既有的龐大資料庫,以及網路上取得的非結構化資料,包含全球發生的攻擊行為、事後處理方式等公開訊息,再經由過濾機制與機器學習技術把非必要的資料篩除,之後基於統計資訊與關聯萃取(SIRE)安全模型,以自然語言處理(NLP)方式學習各種安全內容,持續不斷地訓練並擴大知識庫。 其實IBM在人工智慧與機器學習領域發展已有相當長的時間,最知名的莫過於1997年打敗棋王的深藍(Deep Blue)超級電腦,以及2011年參加美國益智搶答電視節目,在第三輪賽事中打敗兩位冠軍的Watson超級電腦,實際展現人工智慧系統的潛力。

    但機器學習技術究竟如何實作?IBM軟體事業處資深資訊工程師張寅建說明,過去學習、分析、預測的方式,主要是以事前定義特徵值為基礎,運用決策樹模型演算執行判斷;如今則是由機器從龐大資料中自行辨識,經過領域專家訓練演算模型後,再匯入新資料時,即可主動學習累積知識。

    整個過程其實複雜度相當高,需要具備充足的資料量,選用演算法或訓練模型,之後經過測試確認後,部署到應用程式進行評分,再持續改善。且必須由資料庫管理者或開發者、資料科學家、實際業務部門,在不同階段中各司其職。通常最欠缺的是資料科學家,須具備統計、數學、領域知識,目前人才相當少,卻是訓練正確性模型不可或缺的關鍵。

    經過訓練調校過後的模型,必須由開發者先行了解資料科學家的邏輯,並撰寫程式部署到應用程式運行。萬一資料科學家察覺失真而進行調整,開發者還要再依據調整後的邏輯部署到應用系統,如此運行一段期間後才得以精準的執行預測分析。 張寅建進一步說明,因此IBM Watson把機器學習轉化成為持續性回饋的系統,運用CADS(Cognitive Assistant for Data Science)輔助自動化執行訓練與調整模型,主要是依據資料內容為模型評分,提供資料科學家選擇採用的參考依據。

    Watson輔助威脅分析 縮短事件回應時間

    Watson應用於資安領域就如同培養一名專家,從不同管道取得的資料,經過理解、分析、學習的過程,不斷地訓練累積成為知識庫。企業不僅可基於QRadar資安防禦系統,協助執行弱點偵查、資安事件比對與分析,並且在事件發生時提供告警,或在事後進行稽核調查。亦可進一步透過QRadar Advisor接取Watson知識庫,來輔助資安管理專家有效率地找到問題的解答,或及早發現潛在威脅。

    畢竟現階段多數資安專家仍舊是以人工分析威脅資料,如今則可運用Watson提供的服務,從巨量資料中萃取的知識庫搜尋,藉此幫資安專家縮短所需耗用的時間。「IBM近兩年來培養資安專家系統,從去年年底開始,陸續在企業端環境中進行驗證測試,包含機器學習、自然語言回應等功能,得到的結果是,威脅探查速度較人工調查提高60倍,可能3到5分鐘即可完成,甚至找出人工調查無法察覺的潛在漏洞。」金天威強調。
  • IBM QRadar Advisor with Watson:顛覆資安分析師的作業方式

    ITHOME 2017-04-05發表

    在我成長過程中,科幻影片和電影充滿各種神奇的未來科技,讓人不可自拔。許多科幻故事都有共通元素,那便是輔助任務執行的智慧系統,多半是以機器人、電腦或人形機器人的形象出現。

    如今,我得以身歷其境,將智慧系統等先前只能憑空想像的技術帶給人類。IBM Security 將為網路安全率先帶來第一個認知解決方案。

    在介紹此解決方案前,讓我們先談談何謂認知系統。

    何謂認知系統?

    首先,認知系統必須有推論能力。從旁觀察,認知系統應能建立一套假設,提供訊息諮詢和協助驗證或駁斥假說,並根據證據歸納出結論。

    認知系統若要進行合理推論,必須能理解資訊分析師提供的訊息;其不僅能從輸入資料中推論行為;還能推演實體和主題的關連性。同時也需不斷吸收新知、經驗和回饋意見。最後,認知系統需要以人類自然表達模式提供洞察,例如透過口語、言語或視覺訊息等。

    認知運算有潛力為世界開創無限可能,特別在網路安全方面。回溯歷史,只要人類遇到人力無法突破的極限,就會轉而求助科技。現在更是如此,安全團隊很需要能輔助網路安全任務的系統。

    隆重介紹 IBM QRadar Advisor with Watson

    網路威脅日增、威脅手法益發複雜,而這些威脅都會危及企業的品牌聲望、企業營運和企業的獲利成果,這些大家均有目共睹。企業面臨情報、準確度和時間等各種落差。因此需要最新、可靠且能執行的資訊:資訊來源不僅自身安全架構,也含外部來源。同時能輔助決策過程,更有自信地評估安全事件。最後,IT 團隊必須提升網路安全風險的應變能力。

    IBM 提供可讓認知技術導入資安監控維運中心 (SOC) 的平台。這些工具可提升分析人員能力,彌補情報之不足,並快速準確進行分析。事實上,IBM Cognitive SOC 平台為業界唯一的安全性操作和應變平台,整合進階認知技術並能應變各種雲端、網路、端點和使用者。

    全新的 IBM Cognitive SOC 平台的核心為 QRadar Advisor with Watson。此解決方案率先運用 Watson for Cyber Security 力量。Watson 所維護的專業安全知識庫,涵蓋了威脅情報饋送與先前無法處理的未結構資料例如網誌、網站等內容。Watson 讓人驚嘆不已,還能從吸收的訊息中,衍生新知並發現隱藏的聯繫。

    QRadar Advisor with Watson 結合了 IBM QRadar 卓越的分析能力與 Watson for Cyber Security 認知功能,與即時學習功能,能自動調查並確認安全事件,能向分析人員提供事件原貌和範疇等相關建議。此技術能協助資安分析師發現潛藏威脅並提供可行洞察,讓他們能夠以前所未見的速度和規模應對各種威脅。

    QRadar Advisor with Watson 運作模式

    下方提供 QRadar Advisor with Watson 的三步分析流程:

        若 QRadar Security Intelligence Platform 偵測到安全事件,分析師能將此事件委託 QRadar Advisor with Watson 進行調查。QRadar Advisor 首先會在 QRadar 探勘並收集本地端資料,取得事件更多資訊。接著諮詢 Watson for Cyber Security,針對事件相關的離散觀察,探索外部知識和威脅。

        Watson for Cyber Security 會查看資料庫,從數十萬筆網站、安全性論壇、佈告欄和其他資料來源中,協助我們了解安全事件。之後,運用推論來探索原始事件相關的額外洞察和其他威脅實體,例如:惡意檔案、可疑 IP 位址、惡意實體,以及其中關聯。

        QRadar Advisor with Watson 之後會將來自 Watson for Cyber Security 的訊息去蕪存菁,準確找出該事件相關的關鍵洞察。

    QRadar Advisor with Watson 能夠提供洞察,並將事件資訊和相關佐證送出給事件應變小組,資安分析師便能採取進一步行動。

    不能只靠直覺

    如果你是《星艦迷航記》(Star Trek) 的粉絲,你可能對寇克艦長 (Captain Kirk) 向史波克 (Mr. Spock) 說的這句話有印象:「有時候,直覺是人類不得不歷經的過程。」

    資訊安全人員的職責是維護端點和資料的安全,但單靠直覺不足以應付。Watson 強化分析的能力,能有效迅速處理威脅,顛覆資安人員的作業方式。

    歡迎來到 認知世界!


     

  • IBM Watson for Cyber Security建構全球資安免疫防護網

    網管人NetAdmin 2017/3/31
     
    新科技的日新月異往往伴隨新的資安威脅,為了協助企業對抗新型態的資安攻擊, IBM將Watson認知資安整合至認知型資安營運中心,並透過 IBM QRadar Advisor with Watson,從端點、網路、使用者與雲端協助資安人員發現潛藏威脅並提供洞察,全面性地抵抗安全威脅。此外,有鑑於端點正處網路進階攻擊的風暴中心,IBM推出新型端點檢測和響應解決方案「IBM BigFix Detect」,運用進階行為分析,偵測全新的迴避攻擊,發掘企業內部端點存在的威脅,提供最即時回應與行動方針。

    IBM Watson for Cyber Security 更智慧地鞏固企業資安防護  
    IBM研究部門發現,全球企業網路中每天會發生20多萬次安全事件,但每年卻有超過20,000小時浪費在追查誤報事件,而且該研究部門更預測5年後安全事件的發生次數將有翻倍成長。因此,如何更準確地對抗網路攻擊,是IBM致力發展認知資安技術的一大目標。  


    事實上,過去一年內,IBM Watson已閱讀一百多萬份安全文獻,能幫助資安專家分析成千上萬、各種類型的安全報告。IBM Watson認知資安(IBM Watson for Cyber Security)將被整合至IBM認知型資安營運中心(SOC),將先進的認知技術與資安防護相互結合,從端點、網路、使用者與雲端全面性地抵抗安全威脅。  


    IBM認知型資安營運中心的核心「IBM QRadar Watson Advisor」,是能夠挖掘Watson網路安全洞察資料庫工具IBM Security App Exchange中的一款新應用,也是第一個能從IBM Watson網路安全語言庫取得洞察的工具。這項新的應用程式已經被IC 通路業者、加拿大新布藍茲維大學以及全球其他40個客戶所使用,以擴增資安人員對於安全事件的調查。  


    透過IBM QRadar安全智慧平台,資安人員能利用集合認知能力的IBM QRadar Watson Advisor應用,對資安事件進行調查和補救工作,同時,基於IBM Watson的自然語言處理能力,資安人員能進一步分析有關安全的部落格、網站、研究論文與其他文獻內容,並與QRadar提供的威脅情報和安全事件資料相互連結,協助洞察潛在威脅,有效縮短網路安全的調查時間。 

  • 當金融遇上Watson電腦 瑞士證交所與IBM攜手打造安全營運中心

    DIGITIMES 物聯網 2017-04-06 陳智德

    瑞士證券交易所利用IBM Watson,打造網路安全中心,以助瑞士金融業符合當地的金融監理規範。

    做為世界上技術最先進的交易所之一,瑞士證券交易所(SIX Swiss Exchange)將使用IBM的Watson認知運算電腦,打造新的網路安全中心,以助瑞士金融業符合當地的金融監理規範。

    新的網路安全中心稱為安全營運中心(Security Operations Center;SOC),將設於瑞士證券交易所內部,以提供專為該區域需求量身訂製的網路安全服務。

    位於瑞士蘇黎世的瑞士證券交易所是瑞士交易股票、債券及期權等高風險衍生性金融商品最主要的交易所,其於1995年就成為全球首個使用全自動交易、結算與交收系統的衍生性金融商品交易所。

    做為世界上技術最先進的交易所之一,瑞士證券交易所SOC將以IBM Watson的QRadar Advisor平台為骨幹,QRadar Advisor是首個利用IBM網路安全檔案庫提供網路安全分析的平台,所使用的檔案庫蒐羅了上百萬個資安文件。

    QRadar Advisor能夠解析成千上萬透過自然語言撰寫的研究報告,該服務初步將先提供瑞士證券交易所與IBM的銀行業客戶,根據不同的需求,像是網路安全、監理、法律遵循及審計等提供相應的服務,以確保銀行業恪守現行金融監理法規,及未來瑞式的資料隱私及保護規範。

    目前瑞士證券交易所及IBM正在建立該平台的路線圖,以確定該平台的基本架構與所需的治理目標。