2020開年,恐怕誰也沒有想到,新冠疫情竟然成為全球範圍內最大的“黑天鵝事件”,對社會、經濟等各個層面造成深遠影響。
在現實世界,一個新型病毒的傳播受制於人口、地域、意識、管理制度等不同因素影響,要想做到對它進行有效控制並不容易,準確地說是相當難的,這也就造成了如今病毒疫情在全球肆虐的局面。
所以我們知道能夠有效阻斷疫情傳播的措施是用時間換空間,通過降低人口流動速度,換取醫學人員研究出對抗新冠病毒的疫苗和療法。
雖然在現實世界,人類還沒有找出對付病毒特別是新型病毒最有效的方法。但提到病毒,我們還容易想到它在另一個空間的存在,那就是網絡世界。
網絡世界的病毒雖不能直接對人的生命健康造成影響,但它給經濟社會帶來的損失同樣是巨大的。尤其是網絡病毒一旦滲透到國家關鍵基礎設施,其造成的破壞力是無可估量的,甚至也間接威脅到人的生命財產安全。
不過,不同於現實世界,人們對付網絡世界病毒的方法更多,也相對更有效。特別隨著技術的進步,無論是人工智能還是大數據等技術的應用,都能對大多數病毒威脅進行檢測和阻斷。當然,也並非完美。
舉例來說,在對抗專業的攻擊手段和頻繁變種的高級威脅方面,目前的威脅檢測技術存在侷限。而在更多的企業用戶提出的更高層次需求,如應對未知威脅、防患於未然方面,當前的安全技術更是捉襟見肘。
雖然在現實世界,人類面對未知新型病毒束手無策,但面對網絡世界的未知威脅,就真的無計可施嗎?顯然不是。
華為HiSec Insight安全態勢感知系統線上發佈會
近日,華為給出了應對未知威脅的全新答案:基於自進化AI的華為HiSec Insight安全態勢感知系統。其三大特性“黑科技”讓未知威脅檢測將精準,運維更簡單,應用開發更自由。
自進化的“七十二變”
“基於自進化AI檢測引擎,威脅檢測精確率大於95%”,這是HiSec Insight呈現出的第一大核心能力,為什麼能實現這一能力?其關鍵體現在“感知自進化”特性上。
如何理解,舉一個例子,《西遊記》中孫悟空神通廣大之處就源自其七十二變本領上,在與牛魔王的對抗中,敵變白鶴我變丹鳳,敵香獐我餓虎,敵雄獅我巨象,從而隨需而變招招制敵。
華為HiSec Insight的感知自進化能力與此有異曲同工之妙,也就是說無論威脅如何升級與變種,我都可以實現對威脅的檢測應對自如,並做到持續提升與進化。
華為HiSec Insight能夠“自我進化”的關鍵之處在於其獨創的iEVO算法,用於目前業界首發的自進化AI檢測引擎。iEVO算法能夠基於分散的AI檢測模型進行安全聚合調優、更新和分發,它在保護企業隱私的同時實現了模型的學習優化,從而提升AI檢測模型的準確性與健壯性。其運行原理如下:
首先,網絡邊緣部署的分佈式AI檢測引擎可採集用戶安全運維數據,用來訓練本地威脅檢測模型,然後將模型訓練梯度進行同態加密,上傳到安全態勢感知系統。其次,安全態勢感知系統聚合各個上傳的檢測模型,通過iEVO算法訓練數據樣本,實現檢測模型(神經網絡LSTM、隨機森林、聚類等)的更新。最後,將整合後的安全檢測模型分發到分佈式AI檢測引擎,實現整網檢測模型升級和檢測能力自進化。
可以看出,基於自進化AI的華為HiSec Insight安全態勢感知系統,一方面通過邊緣分佈式AI檢測引擎和態勢感知系統不斷模型自進化,在群體智能協同和持續提升高級威脅的檢測能力方面能夠發揮出最大威力;另一方面通過將AI威脅檢測能力下沉到邊緣AI探針,也就解決了平臺集中式分析檢測處理成本高的問題,要知道傳統上10G流量的集中分析處理動輒需要大數據安全分析平臺十臺以上服務器集群的規模。
簡化運維,全局視角洞察安全態勢
一提到運維,恐怕每一個IT管理人員都有一肚子的苦水訴說,安全也是如此。告警事件多,人工處置效率低是大多數企業面臨的難題。就像北京大學計算中心網絡安全室主任周昌令在發佈會上所說,“大多數安全運維人員都有這樣的體驗:安全信息來源不是太少,而是太多,多到無法去細看。比如傳統的防火牆、IPS/IDS等安全產品,可以提供大量的基於事件的日誌,數量多而且重複度高,深陷在低效的運營工作中。”
此外,運維人員面臨的難題還在於對安全事件的溯源分析自動化程度非常低,大量重複性工作,經驗無法沉澱。安全運維人員希望能從點到線,從線到面,站在全局視角去理解網絡的安全狀態,發現網絡中隱藏的安全問題。
華為HiSec Insight能夠有效解決這一難題,“基於威脅知識圖譜的推理分析與策略可視化編排,使運營成本降低30%”是其呈現出的第二大關鍵能力。它是怎麼實現的?
首先,華為通過對威脅知識圖譜中資產、網絡、主機、脆弱性等風險因素進行基於推理樹的事件降噪,藉助知識圖譜構建的攻擊知識庫、IOC ( Indicators of Compromise) 情報指標、黑客組織、黑客工具、攻擊技術以及攻擊上下文知識庫,可以快速的實現威脅的溯源分析。使用GNN(圖神經網絡)算法對每個用戶或實體的行為進行建模,深入理解複雜攻擊圖數據,自動化還原真實攻擊鏈,實現攻擊鏈的推演、排序,最終發現攻擊圖路徑,實現攻擊鏈預測。
其次,華為通過策略可視化編排將不同系統或一個系統中不同組件的安全能力按照一定的邏輯關係整合,通過圖形化的配置界面實現靈活的業務編排,針對某個或某類威脅事件進行自動化處置閉環,從而完成自動化的調查取證、告警和遏制動作。企業通過策略可視化編排提升運營效率,將安全運維人員從大量重複、耗時的異常事件中解救出來,將精力投入到高級威脅事件的分析上,同時安全事件處置經驗可以通過預製場景劇本保留下來,提升整體安全運營效率。
1+1>2的能力中心,建安全大底座
第三個關鍵問題,企業部署一套安全系統,往往需要彙集多方安全能力,從而實現1+1>2的安全防護效果,然而現實給出的答案往往是1+1<2。
由於業界安全廠商的核心能力差異較大,很多企業希望在相同平臺上異構不同廠商的優勢能力,發揮整個系統的安全能力,不過卻難以實現。原因在於當前大部分的安全態勢感知系統架構強耦合,貼近客戶應用需求的落地週期長,而且很難支持多廠商能力對接異構。
華為則打破了這一既定規則,“全可控開放式數字安全底座,像搭樂高積木一樣快速開發應用”是華為HiSec Insight呈現出的第三大能力。
源自於華為HiSec Insight採用的標準化的微服務架構,其能夠將大數據平臺能力、數據庫、分析引擎等能力按照服務方式提供,像搭樂高積木一樣快速開發應用,重塑應用開發模式。同時,通過日誌無碼化和插件化能力,實現多源流量、日誌等數據的快速採集能力,滿足客戶業務訴求。據瞭解,目前華為已經和多個廠商(如:安恆、盛邦、易聆科、安信天行等)實現安全能力對接,併成功交付了多個客戶局點。
也就是說,華為HiSec Insight通過開放、標準化、服務化的架構,讓企業能夠靈活方便地接入和開發第三方應用,從而增強安全態勢感知系統智慧大腦、指揮中心的能力。
此外,華為HiSec Insight安全態勢感知系統還採用了可控的硬件平臺服務器、操作系統、大數據平臺、數據庫軟件等部件,確保平臺的安全可靠、全面可控。
所以總結說來,華為HiSec Insight安全態勢感知系統,一方面通過自動進化的AI檢測引擎提高了針對未知威脅的檢出率和準確率,另一方面通過安全推理和策略可視化編排能力,可以顯著提升安全運維人員面臨的海量告警分析效率和威脅的快速閉環處置能力。此外,企業通過利用華為HiSec Insight打造的開放式的安全底座,還可以更方面地構建彙集多方應用能力的安全大腦和指揮平臺。
再回到開文講到的那個話題,雖然在現實世界中我們難以規避病毒引發的“黑天鵝”,但在網絡空間,利用華為HiSec Insight,以及依託AI等新技術的演進,降低WannaCry等網絡病毒威脅引發的“黑天鵝”發生概率,我們有了更多手段。
