不妨把 Insight Engines 工具看做是网络安全版的谷歌,可用自然语言搜索,检索结果精炼全面。虽然这种类不是很恰当,但有助于理解其工作机制。

过去,CSO希望有解决方案可以自动化安全过程,或者能够将威胁追捕之类越来越重要的安全功能外包出去。但无论是自动化安全过程还是外包安全职能都有风险,而且即便人工智能越来越聪明,也远远赶不上睿智的人类分析师。

Insight Engines 程序尝试利用计算机来处理繁重的网络安全工作,但同时又保证人类分析师能够有效掌控每一次调查。而且,该程序完全现场部署,可杜绝窥探,也无需担心外部连接问题。

Insight Engines 程序的核心是联结复杂后端编程接口的自然语言处理器。其目的是让任何技术层次的网络安全团队成员都能用简单的语言查询,而程序再将之组合精炼成高级查询语句,利用所有可用数据资源池返回查询结果。

目前,Insight Engines 程序仅作为应用运行于Splunk之上,但可访问已集成进该流行安全信息与事件管理(SIEM)程序的每一个安全工具。现有Splunk用户需要30分钟来激活 Insight Engines,然后该程序需要1天左右的时间检查所有接入的数据,且此后还会继续学习,最终与其所保护的网络同步。此外,新客户会有1-2周的数据集清理和精炼过程,以供 Insight Engines 发挥出其最佳安全效能。

Insight Engines 的典型使用场景中,分析师会向其提问,比如“这个月我们的网络中有没有主机与某国通信?”测试中 Insight Engines 给出了肯定的回答,并有支持材料显示与某国的通信中交换了哪些文件或数据,牵涉到哪些主机、客户端和用户,以及这些通联活动是否触发了网络中现有安全工具的警报。Insight Engines 甚至给出了一张标示了数据包流向该国哪些地方的地图。

查询问题进一步细化并不会影响 Insight Engines 的稳定性。比如,问它“有没有用户登录尝试超过500次才成功?”它给出了几个用户名,其中包括一个超级用户 Bob Smith。于是,接下来可以问:“用户 Bob Smith 在昨天成功登录后访问了哪些服务和数据?”甚至还可以问更复杂的问题,比如让 Insight Engines 比对 Bob Smith 在500次登录尝试失败前后的网络使用模式。此类查询和思考方式是网络威胁猎手的黄金法则,但却几乎从未被使用,因为低层次分析师不知道如何构造查询语句来获取这方面信息,而高级威胁猎手要花费数小时甚至数天时间撰写并精炼脚本才能获悉。所以,威胁横行数月之久才被发现毫不令人意外。

Insight Engines 则在后端帮人类分析师干了那些苦活累活。事实上,它产生的每一条查询都是能快速返回结果的Splunk加速查询请求。只有极少数Splunk用户知道怎样构造高级快速查询,而即便这极少数精英用户真的这么干了,构造过程也是需要时间的,且一个小小的拼写错误就能毁了整个查询过程。

Insight Engines 能在几秒钟之内就构建出加速查询语句,且分析师还可以检查这些语句,如果是加速查询方面的专家,就可以调整语句以呈现不同的信息。不过,采用 Insight Engines 的自然语言查询功能,像与程序聊天一样输入查询问题,效果一样的好。

Insight Engines 的自然语言查询功能解决了网络安全人力资源方面的两大难题。对低级安全人员而言,该程序让他们无需知晓Splunk编程技术或具备数据科学学位就可狩猎网络安全威胁。事实上,只需稍加培训,公司企业即可让熟悉罪犯思考模式的退休警员来做网络威胁追捕的工作。即便缺乏编程技术,他们也可以运用其直觉来进行威胁追捕,而且很可能用不了多久他们就会成为网络安全团队里不可或缺的一员。

而高级安全人员则可用 Insight Engines 快速构造加速Splunk查询,省出不少时间供他们快速追捕威胁,确定网络是否面临风险。高级安全人员甚至可以使用该程序设置日常查询以自动化安全过程。比如说,可以设定一个登录失败阈值,设置 Insight Engines 每天自动查询超出该阈值的用户,一旦发现异常即触发警报。

Insight Engines 目前只能运行在Splunk下确实有些遗憾,但其他版本应该会陆续推出。已经部署了Splunk的企业没有理由不添加 Insight Engines 程序。该程序可帮助各个技术层次的分析师,甚至有可能补足调查人员的编程经验或深度IT技术短板,让具备敏锐直觉却缺乏编程技术的调查人员可以填补SIEM职位空缺。只要用户基本了解网络运营常识,就可以用 Insight Engines 发现潜在威胁。对高端分析师而言,这不仅是节省时间的利器,在每一秒都至关重要的时候它就是个神器。

(注:Insight Engines 于2017年7月A轮融资1580万美元)

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。