人工智能如何帮助企业做好网络安全工作？

“企业跟人一样，在面对日益肆虐的病毒等带来的“安全威胁”时，需要建立一套安全免疫系统，对安全威胁具备防御能力、侦测能力和响应能力。

已经有像防病毒软件这样的网络安全工具，就可以保障企业的网路安全了么？

企业明明已经装了很完善的防病毒软件，为什么也防不住日益肆掠的勒索病毒呢？

防病毒软件只是针对已知的病毒，对于未知的没有特征的勒索病毒，它是防不了的。像WannaCry，很多公司是没有这个攻击病毒的特征，所以他没有办法防御。

但是就WannaCry这个病毒，在很多情况下，我们建议“不要付赎金”。因为付了赎金，企业也不一定拿回来这个解密的钥匙。包括这次WannaCry，其实付了赎金的，他也不一定能得到密匙。

那些重要的数据，因此也就真没了。

而且，除了数据的丢失和赎金以外，其实WannaCry病毒对企业还有其它的影响。比如说，如果加油站的机器遭到攻击以后，那就没办法加油了。医院里的设备，如果遭到攻击以后，就不能挂号，也不能做检查了，所以这些都对企业有着非常实际的影响。

现在很多企业，比如制造业的企业。这些企业现在都在做IoT（物联网）的升级，现在有无人车、无人飞机，也有很多应用了IoT能力的高级的智能楼宇等。这些地方，如果万一被黑客发现一些漏洞侵入了以后，这就不光是金钱的损失了，就可能会对企业造成致命的威胁。

甚至某种意义上来说，这个“万一”说的都不准确。其实从技术上来看，业界已经证明了，绝大多数领域都是有漏洞的。包括：智能汽车、智能楼宇的设备信息里面，其实都已经存在漏洞，很多黑客业都知道漏洞，只是“有没有利用”而已。

所以，从这些角度来说，IoT的安全，真的是非常重要。

综合来看的话，包括勒索软件在内的这些病毒和恶意软件，给企业带来的损失太大了。

IBM研究人员也已经指出来，在2016年的时候勒索软件和垃圾邮件的上升达到了6000%。所以我们说WannaCry只是拉开了勒索软件的一个序幕，比如：后来发生的Petya等等。

其实“勒索经济”逐步在开始，大家企业真的要防御。除了“勒索”以外，还有其它的一些网络犯罪的行为。2015年的时候，IBM有相关的统计数据表示：网络犯罪的经济损失达到3万亿美元，到2021年有可能会增长到6万亿美元。

这是一个惊人的数字，而这只是企业所面临的安全威胁的一个局部问题。

除了外部病毒，还要注意“内鬼”对企业安全的威胁

不管是勒索软件或者是病毒软件，对于企业来讲属于外来的攻击。企业还面临“内鬼”带来的威胁。

比如说，一些有意或无意的人员，带来的一些失误。比如：企业的某些特权帐号的密码，有意无意中被黑客或者是犯罪分子利用了、获得了。

这样，一些企业的核心机密就会造成丢失。

还有一些新技术带来的新的攻击点，比如：企业上了“云”以后，你用了移动设备或者用到了一些IoT的设备。这些对于黑客来讲，都有一些新的攻击点产生，新的漏洞可以被利用。

在黑客圈里面有一句话，叫做：“成也城墙，败也城墙，有墙才有洞”。

那么，一个企业面临的挑战这么大。到底企业信息安全，应该怎么搞？从哪儿开始入手？

其实对于企业来讲，我们真正的是要建立一套认知安全免疫系统。像人一样，对安全威胁具备这种防御能力、侦测能力和响应能力的一套免疫系统。

举个例子来说，一个小飞虫向某人的眼睛飞去了。一般是怎么反应？很多人是立刻就闭上眼睛，可能眼睫毛就把这个小飞虫给抵挡在外面了。

这就是人的一个防御。所以除了这个眼睫毛，比如：人类的皮肤、指甲，都是负责防御的，这就是我们人类的防御机制。

而且，人类也有侦测能力。比如说人身上如果受伤了出现了一些伤口，人类也会马上侦测出来，感觉到“我这儿疼”，他自己就马上知道，流血受伤了，就会有疼痛的感觉。

这就是大脑在分析、在发现，通过广泛的信息来告诉自己：“哪儿有危险”。

另外还有响应能力，

“响应能力”就是指如果发现身上出现了伤口，那么在电脑的指挥下，免疫系统会自动的止血、修复、杀菌。

因此，类比人类的人体的免疫系统具有这种防御能力、侦测能力、响应能力，企业级的安全，也应该具备这几个能力。

以往企业的安全建设太注重防御的建设了，比如：建一个防护墙，或者做一个垃圾邮件网关等，更注重的都是防御。

但是，其实这是不够的。

除了外部病毒，还要注意“内鬼”对企业安全的威胁

不管是勒索软件或者是病毒软件，对于企业来讲属于外来的攻击。企业还面临“内鬼”带来的威胁。

比如说，一些有意或无意的人员，带来的一些失误。比如：企业的某些特权帐号的密码，有意无意中被黑客或者是犯罪分子利用了、获得了。

这样，一些企业的核心机密就会造成丢失。

还有一些新技术带来的一些新的攻击点，比如：企业上了“云”以后，你用了移动设备或者用到了一些IoT的设备。这些对于黑客来讲，都有一些新的攻击点产生，新的漏洞可以被利用。

在黑客圈里面有一句话，叫做：“成也城墙，败也城墙，有墙才有洞”。

那么，一个企业面临的挑战这么大。到底企业信息安全，应该怎么搞？从哪儿开始入手？

其实对于企业来讲，我们真正的是要建立一套安全免疫系统。像人一样，具备这种防御能力、侦测能力和响应能力的一套免疫系统。

举个例子来说，一个小飞虫向某人的眼睛飞去了。一般是怎么反应？很多人是立刻就闭上眼睛，可能眼睫毛就把这个小飞虫给抵挡在外面了。

这就是人的一个防御。所以除了这个眼睫毛，比如：人类的皮肤、指甲，都是负责防御的，这就是我们人类的防御机制。

而且，人类也有侦测能力。比如说人身上如果受伤了出现了一些伤口，人类也会马上侦测出来，感觉到“我这儿疼”，他自己就马上知道，流血受伤了，就会有疼痛的感觉。

这就是大脑在分析、在发现，通过广泛的信息来告诉自己：“哪儿有危险”。

另外还有响应能力，

“响应能力”就是指如果发现身上出现了伤口，那么在电脑的指挥下，免疫系统会自动的止血、修复、杀菌。

因此，类比人类的人体的免疫系统具有这种防御能力、侦测能力、响应能力，企业级的安全，也应该具备这几个能力。

以往企业的安全建设太注重防御的建设了，比如：建一个防护墙，或者做一个垃圾邮件网关等，更注重的都是防御。

但是，其实这是不够的。

企业需要“大脑”来帮助实现企业级的防御、侦测与响应能力

企业缺乏一个大脑，需要靠那个“大脑”帮企业在防御之外，完成侦测和响应能力。

比如说，搭建一个平台，收集企业内外部的信息进行分析。通过这些信息分析，找出企业受到的潜在威胁。

举个例子来说，该平台会收集各种各样的系统日志，比如说应用日志、数据库的日志等。比如：收集登陆日志信息的时候，企业就可以看到一些细节信息。比如：你有一个用户登陆了十次失败，最后一次成功了，这可能就是一个威胁的事件。但是到底是真正的威胁，还是一个人为的错误？其实很难判断。

他可能是把密码忘了，也有可能是其他原因。不管怎样，这在系统侦测中，可以被判定为一个“异常的行为”。

如果企业这时候也有网络流的信息，知道这台机器跟外面的一个恶意地址有过通讯，或者是正在通讯的时候。那么，这个行为就不是一个简单的“人为错误”，极有可能就是一个安全攻击事件或者恶意的行为了。所以呢，如果把这些内容关联起来观察，那这个很大的可能性就是一个威胁事件。

在这个场景下，等到企业发现数据丢了的时候就晚了。如果在上面所述的场景中，企业发现某ID有登陆多次失败，直到最后一次成功，然后还有跟外面的通讯，这个可能就是一个安全威胁。

这就是企业安全大脑，能够侦测和分析出来的情形。

关键还不仅仅在于侦测。企业的安全防范策略，应该及时采取措施。比如说，阻断网络或者阻断用户的登陆。也就是说，这个企业安全大脑，应该指挥网络系统，或者指挥用户登陆系统，去封锁它，这就是一种响应。

这种响应，可以是自动化的，也可以是提醒人来进行参与，根据每个企业的不同需求而进行。

比如说勒索软件事件，它可能在几分钟内就完成文件的加密。那么，当企业发现勒索事件相关特征的时候，比如说短时间内，比如说一分钟内的，大量文件被更新。

当企业发现这个特征的时候，安全大脑就应该及时刹断这个进程，那么他的加密就失败了。但是如果企业反应得晚了的话，企业即使再进行阻断，文件也已经都被加密过了。对于企业来说，损失就已经造成啦。

在企业安全领域，Watson能够做什么？

IBM的Watson不仅能够帮助人诊断癌症，它也可以帮助企业诊断安全的问题，也可以给企业治安全的病，即“Watson安全官”。

就像此前提及的 “企业安全免疫系统”，这基本上是利用企业内部的信息，而且是一些结构化的数据形成的一个方案。但是在这个方案里面，缺失的是外部的信息，包括一些威胁情报的信息，以及一些论坛里面和媒体报道等地方会讨论到的信息。比如说，对于每篇文章里讨论的攻击的类型、攻击的网址，或者是黑客在黑暗网络里经常在讨论，最近该黑客购买了什么应用、工具等，据此可以推断，这名黑客有可能就要利用这个工具发动攻击了等，这些信息。

利用这些信息，都可以帮助企业来进行安全的防范。企业如何利用这些信息呢？在这方面， Watson就能够提供帮助。

那么，Watson的行为和现在收集情报所做的平时的搜索，所获得的信息结果是不一样的。

比如说，大家使用搜索引擎的时候，得到的结果都是很多条内容，但是很难判断哪条是正确的，哪条是不正确的。而Watson反馈给企业的是一个结论，而不是很多条信息。

比如说，企业问Watson一个IP地址，Watson就会告诉企业这个IP地址相应的信息，包括：这个IP地址有没有产生过攻击，产生过什么样的攻击，一起做攻击的这些病毒文件是什么，以及其它的一起攻击的网站URL是什么等。

更重要的是，Watson还会告诉企业，它得出这样一个结论，参考的是哪些文档，在哪里发布的哪些文档，这些文档的可信度是多少。所以这样就给它所作出判断的准确率和效率，得到了一个很大的提升。

IBM在企业安全方面的优势

IBM在企业安全方面的优势，可以简单被概括为三个方面：

第一个就是Watson。是第一次把人工智能应用在企业级安全领域，在网络安全防护领域帮助企业。

第二个IBM比较有优势的，就是IBM有一个很大的“安全研究团队”，IBM称之为“X-Force”，它有20年的历史，有几百个安全专家，专门进行安全研究。IBM十个安全运维中心，是“X-Force”团队重要的一个数据源。除此之外，IBM还有其它的数据源来进行安全。

IBM的一些产品和解决方案，都是基于IBM的“威胁情报信息”来设计的。所以这是IBM第二点很大的优势。

第三个方面，IBM有一个最全的产品线，从防御到侦测到响应，IBM都有相应的产品和解决方案。它的好处是，IBM的产品从出生开始都是集成的、联动的，就像人的一个身体一样，大脑指挥全身来协调运动。

不仅如此，IBM的大脑Watson其API是开放的，其它的厂家也可以通过API跟IBM进行集成联动防御网络安全威胁。