Cohesity DataHawk 将人工智能与机器学习引入数据安全和管理中

人工智能与机器学习能帮助 CISO 和 CIO 应对网络弹性挑战

您的企业运维和数据安全吗？这是一个经常向 CISO、CIO、IT 安全部门领导人发出的疑问。但答案或许有条件限制，因为它取决于事件、威胁或环境因素，以及企业是否对其关键任务数据和流程提供了足够的保护。IT 运维面临着持续威胁，由于威胁的复杂程度不断攀升，实施的对策和战术也需要一直更新。显而易见，这就是为什么随着威胁进化速度和复杂性的增加，人工智能与机器学习成为了当今 IT 运维的需求。我们到处都可以看到人工智能与机器学习，从 ChatGPT 到 IBM Watson，再到 Netflix 推荐系统和谷歌搜索引擎。人工智能与机器学习正在为数据安全性作出努力，尤其是通过安全信息和事件管理 (SIEM) 与安全编程和自动化响应 (SOAR) 解决方案、XDR 和威胁情报，摄取大量数据，建立基线和异常值来检测可疑活动。

Cohesity 认为，人工智能与机器学习是数据安全和管理的基础

在数据安全和管理方面，Cohesity 的人工智能与机器学习从几年前就开始了异常检测、调度和优化运作。现代网络威胁已经危害到企业备份数据恢复，人工智能与机器学习能在数据安全和管理中发挥关键作用：识别威胁和漏洞并修复它们，以及帮助企业了解事件对敏感数据的影响。

Cohesity 使用人工智能与机器学习识别威胁

备份数据是数据安全和管理的基础。企业会根据数据的重要程度，拍摄数据快照，以防需要从勒索软件、灾难或其他网络事件中恢复数据。这些快照包含了现有生产数据，但可能还包含了已经躲过网络防御的难以捉摸的恶意软件。

datahawk-threat-protection.jpg

威胁防护功能可以用两种方式来识别快照中的威胁，一是主动地识别，二是在事件（如勒索软件攻击）发生时识别。Cohesity 通过人工智能与机器学习来检测正在被攻击的用户和异常数据，利用威胁情报确保恢复数据不含恶意软件。安全分析师从各种威胁来源和数据源创建 YARA 规则，从而自动化运行搜寻威胁的策略，代替手动方法。手动方法在深度和广度上缺乏可扩展性，企业只能在少量数据源中搜索少数规则。

datahawk-threat-protection-dashboard.png

当面对勒索软件攻击时，企业必须通过扩展来确保关键数据安全地恢复。这样，恶意软件就不会再次立刻地感染环境，和在数据存储中造成另一个严重的加密事件。即时和按键式执行备份快照中的威胁检测，是维护企业服务级别协议 (SLA) 、恢复点目标 (RPO) 和恢复时间目标 (RTO) 的基础。那么，实现数据安全和管理的自动化威胁扫描需要具备什么条件？为什么？

• 最新威胁情报。威胁行为者不断改善他们的开发工具以逃避检测。Cohesity 人工智能与机器学习能提供最新的威胁情报。通过威胁情报闸道和管理器，威胁将由众多来源进行测试、验证和审查。威胁列表会持续更新，确保企业能检测到最近发现的威胁。
• 轻松操作。当怀疑有勒索软件攻击时，IT 安全团队要迅速做出响应并尽力应对。使用正确的工具，团队可以运行并行流程，确保攻击情况得到确定，补救和恢复无缝运行。在 Cohesity 数据安全和管理解决方案中，允许非安全管理员主动地、简易地操作验证恢复数据。以便在必要恢复时，他们随时做好准备，不会出现二次感染的恢复数据。
• 可扩展性。企业通过简易操作，快速扫描备份快照，从而查找到威胁检测的危害指标。他们需要解决方案来处理所有数据足迹，并支持地理分散架构中的多个来源。所有的这些操作都不违反隐私和保密条件。

Cohesity 人工智能与机器学习能评估攻击风险

当发生攻击时，响应团队承担着许多责任。至关重要的是，他们需立马评估攻击风险，可能泄露了哪些数据？数据被公开会对企业会造成哪些影响？首先，哪些客户和员工数据可能已被泄露？有了这些情报，企业可以就所需的隐私和监管响应做出明智决定。例如，向受影响方发出通知和补救措施。第二，商业秘密或其他敏感信息是否已被泄露，应考虑哪些法律因素？第三，泄露了哪些运维数据，这对供应链和合作伙伴有何影响？以上不是一个详尽的考虑因素列表，但可用于表达数据暴露的各种影响，以及企业为什么必须准确说明哪些数据可能受到影响。虽然企业使用了很多工具和方法（逻辑数据模型、企业架构、数据发现和分类工具、数据目录）追踪敏感数据，但是它们都有一个核心弱点 —— 生命周期。自上次更新用于识别敏感数据的工具以来，发生了什么变化？鉴于数据的高速增长和扩散，可以安全地假设企业对其敏感数据的了解存在一定差距。当然，应该运用这些工具和工件，在攻击发生后，立即明确得出关于敏感数据暴露的结论。通过检查攻击目标的备份副本，企业可以获得绝对的最新情报来做出上面列举的关键决策。用这种方法推断出准确性。数据暴露的评估，应该使用最高的精确度来驱动适当的响应。那么，需要什么来提高对数据暴露的准确评估，以及企业采取所有适当措施的高度信心呢?

• 广泛的预定义。Cohesity 广泛的预定义数据模式和策略，支持全国性和全球性搜索，需要广泛范围的各种敏感数据定义，如：驾驶执照、国民身份证、电话号码等。为支持这些要求，解决方案应具有广泛的模式，能组合到策略中。无论来源和格式如何，都能识别到个人信息、健康情况和财务数据。

datahawk-patterns.png

• 准确性。准确性对于就潜在数据泄露做出正确决策十分重要。解决方案能够找到敏感数据片段和从标准格式修改的敏感数据。SQL 和正则表达式等严格的搜索技术是不够的，因为它们无法找到搜索词范围之外的敏感数据。利用自然语言处理的人工智能与机器学习准确识别数据，结构化技术反而会遗漏这些数据。
• 可扩展性。与威胁扫描一样，企业通过快速扫描备份快照来查找敏感和机密信息。他们需要解决方案来处理所有数据足迹，并支持地理分散架构中的多个来源。所有的这些操作都不违反隐私和保密条件。

Cohesity DataHawk 将人工智能与机器学习引入数据安全和管理中

威胁防护功能可以挽救被攻击的局面。DataHawk 集成基于深度学习的勒索软件检测引擎。它通过快速扫描异常、潜在威胁和勒索软件攻击的其他指标来提供智能威胁防护。DataHawk 集成了一组每天更新的高度策划和管理的妥协指标 (IOC) 威胁源。企业可以使用超过 10 万条威胁规则来识别难以捉摸的恶意软件。

datahawk-threat-feed-screenshot.png

数据分类，快速评估影响。当受到攻击时，企业都想要快速了解攻击对其关键数据的所有影响。DataHawk 利用 BigID 的卓越分类技术来准确发现大规模数据集并对其进行分类，最大限度地降低风险，改善安全状况，了解攻击的影响。客户可以通过 200 多个内置分类器和机器学习驱动的算法来分析、标记、分类数据集，从而节省追踪误报的时间，更快地解决问题。通用数据保护条例 (GDPR) 、支付卡行业数据安全标准 (PCI) 、健康保险流通与责任法案 (HIPAA) 等数据隐私和保护法规的预定义政策，可帮助企业快速识别这些敏感数据，并确定其优先级。除了由人工智能与机器学习驱动的功能外，DataHawk 还包括 Cohesity 屡获殊荣的数据隔离服务 FortKnox：网络保管库可在必要时，提供数据恢复和弹性。企业应始终保留关键应用程序和数据的单独副本，作为构建网络弹性的 3-2-1 战略的一部分。借助 DataHawk 中包含的 Cohesity FortKnox，客户可以在基于云的现代网络保管服务中保护数据的异地副本，数据通过虚拟 air-gap 远离不良行为者。存储的数据可以从 Cohesity 管理的云保管库恢复到原始源位置或备用目标，包括公共云。