AI、大數(shù)據(jù)等新技術(shù)應(yīng)用到安全領(lǐng)域之后，給安全帶來了新的思路，比如主動安全、零信任安全等等，但同時這些技術(shù)也會被攻擊者所利用。IBM Security全球副總裁Bob Kalka在本屆互聯(lián)網(wǎng)安全大會（ISC 2020）中，向我們介紹了在即將到來的智能時代，要通過何種思路來應(yīng)對未來智能安全環(huán)境中新攻擊手段與態(tài)勢。

Bob Kalka 是IBM Security的全球副總裁，負(fù)責(zé)管理IBM Security全球的技術(shù)人員。在其31年的職業(yè)生涯中，有26年是在幫助IBM發(fā)展安全業(yè)務(wù)。本文為Bob Kalka的觀點。

智能安全的信任和透明

智能安全是一個非常好的概念，它引申了關(guān)于AI在安全領(lǐng)域的討論。在IBM，我們采用的是信任和透明原則。AI、以及其他新技術(shù)的開發(fā)和部署，都要遵守這樣的原則。而且我們鼓勵所有技術(shù)公司，都應(yīng)采用類似的原則。

信任和透明原則有三個核心：

一、AI的目的是增強，而不是取代人類的智慧。

首先，我們更傾向于把AI說成增強智能，因為如果稱之為人工智能的話，人們會認(rèn)為機器人將會取代一些職業(yè)。在這一領(lǐng)域，IBM以Watson等為代表的AI研究，已經(jīng)有數(shù)十年的歷史了。但我們并沒有發(fā)現(xiàn)一些職業(yè)已經(jīng)被取代，AI只是幫助人們更好的完成自己的工作。

其次，數(shù)據(jù)和洞察屬于其創(chuàng)造者。客戶不一定要放棄對自己數(shù)據(jù)的所有權(quán)。顯然，在這一點中，隱私尤其重要。

第三，包括AI系統(tǒng)在內(nèi)的新技術(shù)，必須透明且能被人理解。IBM采用了信任和透明的原則，這對于先進(jìn)的技術(shù)研發(fā)非常重要。

人工智能 能力越大，責(zé)任越大

如何把AI應(yīng)用在正確的地方，在這里又有三個關(guān)鍵點：

第一關(guān)鍵點：AI發(fā)展的好，隨之而來的就是責(zé)任。

第二關(guān)鍵點：我們應(yīng)該把AI應(yīng)用在合理的地方，比如網(wǎng)絡(luò)安全中威脅情報的獲取、分析和應(yīng)用。威脅情報的來源可能有數(shù)百萬個，而只有約20％的來源是在網(wǎng)上有收錄和可搜索的。

如何才能進(jìn)行有效的威脅調(diào)查？今天大多數(shù)人的做法，是對這20％的數(shù)據(jù)進(jìn)行手動搜索。大約在四年半之前 IBM就開始訓(xùn)練Watson來獲取、分析和應(yīng)用威脅情報。現(xiàn)在我們存儲的威脅來源數(shù)量已經(jīng)超過了一百萬。

有時候IBM的客戶四五秒就可以查到想要的來源，Watson會告訴你：

“我認(rèn)為這個應(yīng)當(dāng)是需要引起你注意的威脅：

準(zhǔn)確率大約為……、

這是我導(dǎo)出這一結(jié)論所用的XX個來源、

如果想查看詳情，可以點擊這里……”

這種能力，Watson的網(wǎng)絡(luò)安全能力是和IBM的 QRadar平臺互通的，這完全不同于IBM的競爭對手。有一個客戶說，通過應(yīng)用AI，他們的威脅調(diào)查快了60倍。

AI攻擊 全新的威脅形態(tài)

很顯然，攻擊者群體也想利用AI，我們必須專注于保護(hù)AI模型本身。

這里也有三點：

第一點：我們已經(jīng)看到攻擊者在利用AI進(jìn)行攻擊。AI讓他們獲得了巨大的回報，所以我們必須采取預(yù)防措施。

第二點：攻擊者會攻擊AI模型，他們會一點一點的、不斷的把錯誤信息注入到模型當(dāng)中，最終模型可能會出錯而給出錯誤的答案。不過這些技巧都被IBM的平臺一覽無余，能夠完全知曉。

第三點：對模型本身的盜取。顯然，如果你偷了別人的模型，你可以用他的AI。因此，IBM花費了大量的時間和精力，來確保這些問題或任何問題都不會發(fā)生。

“零信任”的數(shù)據(jù)與隱私防控

“零信任”其實這是一個很廣泛的話題，但我覺得我們必須要采用信任和透明原則。IBM希望所有的公司都如此，在正確的地方使用AI，因為只有在正確的地方，AI才能對增強人類智慧產(chǎn)生深遠(yuǎn)的影響。最后，你必須要保護(hù)你的系統(tǒng)。

我想正確的理念是“共生”，任何沒有被數(shù)據(jù)保護(hù)和隱私控制的應(yīng)用，就像不穿外套走入寒冬一樣。

我去過中國很多次，記得有一次冬天，第一次去北京的長城，如果不穿外套出門，我估計挺不過15分鐘。網(wǎng)絡(luò)安全也是如此，這就是為什么零信任模型受到了極大的歡迎。因為零信任模型，既注重數(shù)據(jù)保護(hù)，比如IBM的Guardium工具所做的；也注重身份管理，如誰能有權(quán)查看、以及有哪些操作權(quán)限，比如IBM Verify工具所做的。

所以“零信任”現(xiàn)在發(fā)展的很快，因為我們必須做好數(shù)據(jù)保護(hù)和隱私控制。當(dāng)然，這個話題業(yè)界已經(jīng)討論的夠多的了，因為顯然世界各地的監(jiān)管一直都很聚焦，很關(guān)注這兩種控制。現(xiàn)在客戶也希望在這里能得到同樣的保護(hù)，這是這兩者之間很重要的共生關(guān)系。

如何保護(hù)現(xiàn)有的開放技術(shù)

IBM數(shù)十年來一直專注于開放技術(shù)，但其實是在去年收購Red Hat之后，IBM才算是真正開始考慮開放技術(shù)的未來。

說到開放技術(shù)，可以從三個角度來看待它的網(wǎng)絡(luò)安全問題。

首先，是網(wǎng)絡(luò)安全協(xié)議的開放。比如開放網(wǎng)絡(luò)安全聯(lián)盟（OCA）。這是IBM和 McAfee去年秋天成立的，現(xiàn)在已有20多名成員。IBM希望能夠找到方法，可以讓不同的網(wǎng)絡(luò)安全工具實現(xiàn)協(xié)同防御。

其次，是保護(hù)開放技術(shù)本身。Red Hat和IBM合并后，我們的專業(yè)知識不僅覆蓋了傳統(tǒng)環(huán)境，現(xiàn)在包括Kubernetes的DevOps環(huán)境、容器等新生環(huán)境以及DevSecOps框架也成了IBM的專長。

最后，第三點是開放技術(shù)上構(gòu)建安全防護(hù)。IBM正在致力于在基于開放云的基礎(chǔ)架構(gòu)上，構(gòu)建所有新的創(chuàng)新網(wǎng)絡(luò)技術(shù)，即Red Hat和Red Hat OpenShift。這樣我們所提供的服務(wù)和產(chǎn)品就可以更強大、更便捷。

以上，就是網(wǎng)絡(luò)安全與開放技術(shù)相互影響的三種情況。還是那句話，這要求技術(shù)開放和相互協(xié)作，要求對堆棧的保護(hù)，并在堆棧之上構(gòu)建新的功能，就好像IBM的Cloud Pak for Security所做的。我們相信，網(wǎng)絡(luò)安全協(xié)作可以帶來共贏。

網(wǎng)絡(luò)安全的協(xié)作帶來共贏

IBM Security聚焦于三個方面的協(xié)作。

首先，要與世界共享。IBM擁有全球領(lǐng)先的研究機構(gòu)X－Force。IBM的X－Force安全技術(shù)團(tuán)隊一旦有任何研究成果或發(fā)現(xiàn)，就會實時地共享給全世界。不論誰來查看IBM X－Force Exchange 的數(shù)據(jù)包，都是完全免費的。

其次，與生態(tài)系統(tǒng)以及行業(yè)本身的協(xié)作。IBM支持STIX和TAXII協(xié)議，你可以把我們的分享，集成到你的威脅情報系統(tǒng)中，從而實現(xiàn)最佳分析效果。這是一種協(xié)作形式，免費分享IBM的研究成果。

最后，IBM要確保在自己的產(chǎn)品、服務(wù)和解決方案的生態(tài)系統(tǒng)中促進(jìn)內(nèi)部協(xié)作。所以幾年前IBM發(fā)布了IBM Security APP Exchange。因為業(yè)務(wù)發(fā)展的太快，很多客戶都存在擴(kuò)展應(yīng)用集成接口的機會需求。但那樣太花時間，于是IBM決定提供一個應(yīng)用平臺，有點像iPhone的APP Store，這有效的幫助企業(yè)輕松地實現(xiàn) QRadar、Guardium以及Cloud Pak for Security等網(wǎng)絡(luò)安全工具的功能擴(kuò)展。

以上就是我所說的三個方面的協(xié)作，剛才我也說了，網(wǎng)絡(luò)安全的協(xié)作會帶來共贏。

這對于智能時代的威脅與防護(hù)會非常有意義，下次見！
責(zé)編AJX