IBM QRadar Advisor with Watson：顛覆資安分析師的作業方式

分享文章:

作者：Vijay Dheap

在我成長過程中，科幻影片和電影充滿各種神奇的未來科技，讓人不可自拔。許多科幻故事都有共通元素，那便是輔助任務執行的智慧系統，多半是以機器人、電腦或人形機器人的形象出現。 如今，我得以身歷其境，將智慧系統等先前只能憑空想像的技術帶給人類。IBM Security 將為網路安全率先帶來第一個認知解決方案。

在我成長過程中，科幻影片和電影充滿各種神奇的未來科技，讓人不可自拔。許多科幻故事都有共通元素，那便是輔助任務執行的智慧系統，多半是以機器人、電腦或人形機器人的形象出現。

如今，我得以身歷其境，將智慧系統等先前只能憑空想像的技術帶給人類。IBM Security 將為網路安全率先帶來第一個認知解決方案。

在介紹此解決方案前，讓我們先談談何謂認知系統。

何謂認知系統？
首先，認知系統必須有推論能力。從旁觀察，認知系統應能建立一套假設，提供訊息諮詢和協助驗證或駁斥假說，並根據證據歸納出結論。

認知系統若要進行合理推論，必須能理解資訊分析師提供的訊息；其不僅能從輸入資料中推論行為；還能推演實體和主題的關連性。同時也需不斷吸收新知、經驗和回饋意見。最後，認知系統需要以人類自然表達模式提供洞察，例如透過口語、言語或視覺訊息等。

認知運算有潛力為世界開創無限可能，特別在網路安全方面。回溯歷史，只要人類遇到人力無法突破的極限，就會轉而求助科技。現在更是如此，安全團隊很需要能輔助網路安全任務的系統。

隆重介紹 IBM QRadar Advisor with Watson
網路威脅日增、威脅手法益發複雜，而這些威脅都會危及企業的品牌聲望、企業營運和企業的獲利成果，這些大家均有目共睹。企業面臨情報、準確度和時間等各種落差。因此需要最新、可靠且能執行的資訊：資訊來源不僅自身安全架構，也含外部來源。同時能輔助決策過程，更有自信地評估安全事件。最後，IT 團隊必須提升網路安全風險的應變能力。

IBM 提供可讓認知技術導入資安監控維運中心 (SOC) 的平台。這些工具可提升分析人員能力，彌補情報之不足，並快速準確進行分析。事實上，IBM Cognitive SOC 平台為業界唯一的安全性操作和應變平台，整合進階認知技術並能應變各種雲端、網路、端點和使用者。

全新的 IBM Cognitive SOC 平台的核心為 QRadar Advisor with Watson。此解決方案率先運用 Watson for Cyber Security 力量。Watson 所維護的專業安全知識庫，涵蓋了威脅情報饋送與先前無法處理的未結構資料例如網誌、網站等內容。Watson 讓人驚嘆不已，還能從吸收的訊息中，衍生新知並發現隱藏的聯繫。

QRadar Advisor with Watson 結合了 IBM QRadar 卓越的分析能力與 Watson for Cyber Security 認知功能，與即時學習功能，能自動調查並確認安全事件，能向分析人員提供事件原貌和範疇等相關建議。此技術能協助資安分析師發現潛藏威脅並提供可行洞察，讓他們能夠以前所未見的速度和規模應對各種威脅。

QRadar Advisor with Watson 運作模式
下方提供 QRadar Advisor with Watson 的三步分析流程：
若 QRadar Security Intelligence Platform 偵測到安全事件，分析師能將此事件委託 QRadar Advisor with Watson 進行調查。QRadar Advisor 首先會在 QRadar 探勘並收集本地端資料，取得事件更多資訊。接著諮詢 Watson for Cyber Security，針對事件相關的離散觀察，探索外部知識和威脅。

Watson for Cyber Security 會查看資料庫，從數十萬筆網站、安全性論壇、佈告欄和其他資料來源中，協助我們了解安全事件。之後，運用推論來探索原始事件相關的額外洞察和其他威脅實體，例如：惡意檔案、可疑 IP 位址、惡意實體，以及其中關聯。
QRadar Advisor with Watson 之後會將來自 Watson for Cyber Security 的訊息去蕪存菁，準確找出該事件相關的關鍵洞察。

QRadar Advisor with Watson　能夠提供洞察，並將事件資訊和相關佐證送出給事件應變小組，資安分析師便能採取進一步行動。

不能只靠直覺
如果你是《星艦迷航記》(Star Trek) 的粉絲，你可能對寇克艦長 (Captain Kirk)　向史波克 (Mr. Spock)　說的這句話有印象：「有時候，直覺是人類不得不歷經的過程。」資訊安全人員的職責是維護端點和資料的安全，但單靠直覺不足以應付。Watson 強化分析的能力，能有效迅速處理威脅，顛覆資安人員的作業方式。
歡迎來到 認知世界！

作者簡介 Vijay Dheap
在IBM Security 負責海量資料安全智慧與行動安全
Vijay Dheap 目前領導 IBM 行動安全策略和海量資料安全解決方案。擔任 IBM 駐點策略師，擬定行動安全策略，提倡能夠促進策略可行性的技術解決方案。Vijay 同時也是 IBM 海量資料安全智慧全球解決方案的經理。成為 IBM 安全部門產品管理團隊的重要一員之前，他原本就是開發者，之後轉任企業分析師，因此很擅長為企業的各種科技要求規劃優先順序。美國杜克大學福夸商學院國際企業管理碩士 (MBA) 與加拿大滑鐵盧大學資訊工程碩士。