[[197903]]

網(wǎng)絡(luò)安全行業(yè)有三件很明確的事情：黑客始終會變得更高明，攻擊頻率會加快，他們最終會潛入進來。

如今，大多數(shù)成熟的企業(yè)和經(jīng)驗豐富的安全專業(yè)人員還是采取消極被動的手段，力求最大限度地成功應(yīng)對威脅。但是安全運營中心(SOC)只能針對它們能輕松識別的攻擊作出反應(yīng)，因而需要分析的數(shù)據(jù)量與監(jiān)控一切的IT人員之間完全存在很嚴重的失衡。

這時候機器學(xué)習(xí)應(yīng)運而生。機器學(xué)習(xí)讓安全運營中心更加擁有與網(wǎng)絡(luò)犯罪分子均等的機會。五年內(nèi)，機器學(xué)習(xí)將成為安全檢測和防御技術(shù)的一股推動力，這種工具從未停止對異常事件的監(jiān)管，異常事件可能表明來自企業(yè)內(nèi)外的惡意活動。

機器學(xué)習(xí)正儼然成為一件備受青睞的利器，讓運營中心所作的決策能夠優(yōu)化IT運營、安全運營和業(yè)務(wù)運營。在安全界，它讓IT人員能夠更有效地檢測事件、縮短解決時間、實現(xiàn)響應(yīng)自動化，并保護企業(yè)組織最寶貴的信息。

01.適應(yīng)和采用

安全威脅變得更加重大。勒索軟件令人不安，有可能讓大型跨國企業(yè)或防御措施較少的小公司的運營都陷入癱瘓。不斷改進的攻擊手法讓勒索軟件成為一種更名正言順的日常威脅，讓淪為受害者的企業(yè)組織只好在這兩者之間作一選擇：要么任由運營系統(tǒng)被凍結(jié)或被刪除，要么乖乖支付贖金、以求解脫。

此外，有更多的大規(guī)模攻擊采用僵尸網(wǎng)絡(luò)，利用無辜的技術(shù)(比如路由器和物聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備)，向互聯(lián)網(wǎng)企業(yè)發(fā)送海量的互聯(lián)網(wǎng)流量，致使它無力招架。針對互聯(lián)網(wǎng)的大型、有目的性的分布式拒絕服務(wù)(DdoS)攻擊可能會增多，并且有可能給必須24*7在線運行的某些行業(yè)(比如醫(yī)療、政府和公用事業(yè)等行業(yè))帶來嚴重破壞。

另外值得關(guān)注的是，現(xiàn)在黑客力求訪問權(quán)以獲取數(shù)據(jù)，不僅僅是為了以此獲利，還為了使數(shù)據(jù)武器化。損壞聲譽或披露專有信息的泄露是黑客經(jīng)常采用的花招，可能會給企業(yè)組織帶來致命打擊，而不僅僅是財務(wù)受到影響。這時候機器學(xué)習(xí)派得上用場。

02.機器學(xué)習(xí)是致勝武器

市場的這一演變使得立足于數(shù)據(jù)的分析驅(qū)動型安全策略立絕對必不可少。許多公司在尋求新的策略，實現(xiàn)不斷進入的海量數(shù)據(jù)的價值最大化;這樣一來，自動化成為了許多公司開展運營的基本驅(qū)動力。公司處理的數(shù)據(jù)中有很大一部分如今是由機器生成的，比如服務(wù)器、傳感器、防火墻及其他設(shè)備。如今可供使用的一些最先進的機器學(xué)習(xí)算法旨在更合理地利用這些數(shù)據(jù)。

機器學(xué)習(xí)讓企業(yè)組織能夠更準確地分析眼前發(fā)生的攻擊，而不是尋找以往的趨勢。機器學(xué)習(xí)不僅被用來識別可能表明攻擊的模式，還用來處理諸多任務(wù)，比如實時跟蹤公司企業(yè)不同方面的多個參數(shù)。雖然迄今為止安全界面臨的挑戰(zhàn)可能被認為是從草堆里找到那根針，而如今的SOC肩負的任務(wù)是，從一大垛草堆中找到那根形狀奇特的針。

傳統(tǒng)的分析系統(tǒng)似乎表現(xiàn)不俗，但是它們并不是為分析機器數(shù)據(jù)并從中學(xué)習(xí)而開發(fā)的。這一項工作落在員工的身上;在大多數(shù)企業(yè)組織，根本就沒有足夠的人手來處理這項工作。機器學(xué)習(xí)可以使搜尋行為或活動中的異常模式實現(xiàn)自動化，并提醒安全團隊注意優(yōu)先級最高的問題。這讓企業(yè)組織得以自動檢測并響應(yīng)已知威脅和未知威脅。

采用機器學(xué)習(xí)面臨的一個異常棘手的挑戰(zhàn)就是內(nèi)部威脅。比如說，戴爾公司最近的一項調(diào)查發(fā)現(xiàn)，數(shù)量多得驚人的員工(72%)表示，他們愿意共享機密信息。惡意內(nèi)部威脅之所以如此頑固，就是由于它們因企業(yè)而異，靜態(tài)的關(guān)聯(lián)搜索技術(shù)太難對付得了它們。機器學(xué)習(xí)能夠更容易識別和發(fā)現(xiàn)內(nèi)部威脅，增強安全分析員處理這種重要問題的能力。

03.機器學(xué)習(xí)的吸引力

未來的SOC似乎有可能將機器學(xué)習(xí)作為核心的安全工具，將這項技術(shù)應(yīng)用于威脅檢測、風(fēng)險分析、預(yù)防和事件響應(yīng)。機器學(xué)習(xí)已經(jīng)與關(guān)鍵的安全技術(shù)融為一體，比如安全信息及事件管理(SIEM)和用戶行為分析(UBA)。這種融合將有助于打造一種更動態(tài)、更靈活的安全機制，專注于借助機器學(xué)習(xí)，提供長期的、分析驅(qū)動的威脅搜索機制。說到運用人類智慧分析處理機器數(shù)據(jù)，安全分析員仍然必不可少，然而機器學(xué)習(xí)和自動化帶來的好處卻讓安全分析員能夠制定一套更強大、積極主動的安全策略。

力求將機器學(xué)習(xí)應(yīng)用于安全工作的公司應(yīng)認真挑選廠商，確保自己獲得物有所值的解決方案。這個市場目前一片亂象;說到使用機器學(xué)習(xí)這個術(shù)語，許多廠商不是無知，就是缺乏誠意。比如說，推銷時號稱機器學(xué)習(xí)的解決方案可能只是一款輔以病毒特征的基本檢測工具而已。

高級的機器學(xué)習(xí)解決方案與基本的機器學(xué)習(xí)解決方案之間也存在重大的區(qū)別。先進的機器學(xué)習(xí)應(yīng)該具有這類功能：開展針對性調(diào)查、發(fā)出智能警報和執(zhí)行預(yù)測性行動。

想成功地實施機器學(xué)習(xí)來加強安全，公司必須先要有一個很適合從機器數(shù)據(jù)來提供業(yè)務(wù)洞察力的分析平臺。

隨著更多的公司利用針對這家公司高度定制的機器學(xué)習(xí)，安全專業(yè)人員將會因此而提升安全本領(lǐng)。

HanSight Enterprise平臺采用機器學(xué)習(xí)、數(shù)據(jù)建模、關(guān)聯(lián)分析等技術(shù)，可針對以上問題發(fā)揮強大的功能，包括：

全局安全態(tài)勢感知

將已實施的信息安全技術(shù)手段和外部的威脅情報相結(jié)合，提高 IT 資源防護水平，有效提升信息安全風(fēng)險管理的全局可知、可辨、可控、可管與可視能力，提高對網(wǎng)絡(luò)信息安全宏觀態(tài)勢的掌控、分析和評估水平。

內(nèi)部威脅發(fā)現(xiàn)

以海量內(nèi)部數(shù)據(jù)和場景化的安全模型為基礎(chǔ)，快速準確地發(fā)現(xiàn)各種內(nèi)部人員的違規(guī)與風(fēng)險行為，綜合檢測率達業(yè)界最高。

安全事件管理

具備安全監(jiān)控信息匯總和信息安全事件風(fēng)險協(xié)調(diào)處理的功能，提高對信息安全事件風(fēng)險的預(yù)警和響應(yīng)能力。同時可以全量存儲的各類原始安全日志，并建立的索引數(shù)據(jù)，為安全分析人員提供便捷的查詢接口，使得分析人員能夠?qū)σ寻l(fā)生的安全事件進行追溯和定位。

異常檢測

為應(yīng)對一些未知的漏洞、攻擊手段和新型威脅，平臺應(yīng)能夠?qū)σ曨l監(jiān)控網(wǎng)絡(luò)中的流量信息進行連續(xù)、實時的監(jiān)控分析，以發(fā)現(xiàn)各種網(wǎng)絡(luò)或系統(tǒng)中的異常行為。

持續(xù)性合規(guī)審計

平臺利用技術(shù)化的手段對等級保護的合規(guī)要求能夠?qū)崟r的自查和監(jiān)控，使得網(wǎng)絡(luò)能夠?qū)Φ燃壉Ｗo要求實現(xiàn)持續(xù)性合規(guī)。

安全審計

平臺具備安全審計功能，對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、中間件、應(yīng)用以及數(shù)據(jù)庫等的日志信息進行及時的審計，保證安全事件發(fā)生后的追溯和追責(zé)。

全局報表

平臺能夠直接生成全局安全報表或報告，同時支持自定義報告，比如按照等保合規(guī)要求，對各個領(lǐng)域的數(shù)據(jù)進行統(tǒng)計分析，展現(xiàn)給不同層級的安全管理人員。