去年八月,台积电遭病毒感染导致生产线宕机的黑客攻击事件还历历在目,许多台湾厂商也积极开始思考如何提升安全防护的能力,以AI、大数据及机器学习等最新技术,迎战未来多云、混合云加上物联网的网络环境下,越趋复杂的安全威胁。
对此,微软也加快在台湾的安全布局,以满足各大厂商的安全需求。他们不仅在去年于台湾推出以硬件安全为主要考量的云计算物联网平台Azure Sphere、更与IC设计大厂联发科合作,研发首款支持Azure Sphere的物联网单片机MT3620,为物联网设备提供企业级的防护。
上个月,微软也首度在台湾推出奠基于云计算的新时代安全事件管理平台系统“Azure Sentinel”。安全事件管理平台在业界称为SIEM(Security Information and Event Management),是一个有将近20年历史的产业。微软全球安全首席技术官戴安娜・凯利(Diana Kelley)表示,传统SIEM绝大多数都只部署在自家公司的数据中心内,但面对多样化的数据访问平台不断出新,凯利表示:“SIEM市场必须大幅度地转型、更新。”
微软全球安全首席技术官戴安娜・凯利(Diana Kelley):“SIEM市场必须大幅度地转型、更新。”AI、大数据助攻,新时代SIEM降低误判几率
传统的SIEM通常是“规则型”的平台。也就是说它必须通过特定规则的设置,才能捕捉到威胁事件。这样的SIEM有几项痛点:第一,许多规则必须要手动调整,但网络世界的安全威胁变动快速,SIEM的防御能力不一定能赶上变化;第二,任何的SIEM都会发生误判的情况,如何减少误判,让安全人员不需浪耗时间来处理,始终是一大问题。
凯利表示,奠基于云计算新时代SIEM系统就是以AI和大数据分析的能力来解决上述的问题。以Azure Sentinel的SIEM为例,它就是以AI侦测安全威胁,并通过大数据分析来防护多云环境下的各项设备及应用程序。
AI和大数据分析究竟怎么提升SIEM的性能?在AI方面,新时代的SIEM可以通过AI的机器学习,使得计算机得以用像是AlphaGO推算不同棋局路线一样的深度剖析方式,找到传统SIEM的规则抓不出来、表面上看似无害但其实有风险的安全事件。
传统规则型SIEM的判断很绝对,有风险和没有风险一刀论断。但Azure Sentinel就是在一般的规则设置外再加上机器学习的技术,对安全事件进行长时间监控,Azure Sentinel会提升该安全事件的风险性,并将它列入威胁名单,平台不会只关注单一事件,而是把各项因素都列入考量。
至于在大数据方面,通过长时间、大范围的数据关注,新时代的SIEM得以看出某些事件的规律性,从而能够制定新的规则。“在Azure上我们每天有6.5万亿笔数据在跑,如何将它们变成优势,而不是被海量的数据淹没是很关键的事,”凯利说,“AI和大数据分析的应用,让我们可以在多云的复杂环境里找到异常事件、降低误判几率,并用最快的时间启动防护机制。 ”
接受数据有被窃取的风险,强化企业的安全抵抗力
当然,除了安全公司懂得运用AI,意图犯罪的黑帽黑客也正通过AI加强他们的攻击能力。“锁定特定人士的鱼叉式网络钓鱼(Spear phishing)已经不稀罕了。通过AI,有心人可以更精确地了解你这个人,包含你的交友网络、工作内容及网络行为等。我称之为激光型网络钓鱼(Laser phishing),”凯利说。
网络攻击渐趋强化,凯利认为企业心态要改变,“完全防御”已是不太可能做到的事。“更重要的是,这些攻击者已经是以一整家公司的方式在运行。你可以从他们的攻击时段发现他们不仅周末会放假,平日还会有午休时间。而有些攻击团体甚至不会直接利用他们找到的漏洞,反而会把这些漏洞卖给别人来赚钱。”凯利说。
更新传统SIEM自然是主要的解决方案之一,但这背后也代表企业的思维需要有大幅度的改变。举例来说,过去某些的运营技术(OT)人员会认为,通过气隙(Air gap)的技术将重要数据存入永不连上网络的计算机,借此防止黑客窃取是最好的防御策略。但即便如此,也已经有安全专家找到破解的方法,得以潜入未联网的计算机里。
凯利认为,过去那种希望达到“完全防御”的心态,已经不符合现状。“网络系统发展得太复杂了,要随时保护所有数据几乎是不可能的。企业应该要学会接受数据有被窃取的风险,”她说,并学习如何在最快的时间内,从防御模式切换到侦测及反应的模式。
“速度”成为企业面对新形态的安全威胁时,最重要的环节之一。要有够快的反应速度,就需要更加大量的数据让AI来判读。单单一家企业能搜集的数据是有限的。或许正如同凯利所说:“ 我们这些在明处的企业,应该要互相分享数据及数据。跨产业的合作,才能进一步增强我们的抵抗力。 ”