从认知技能到自动网络安全响应
来源:From Cognitive Skills to Automated Cybersecurity Response
摘要:组织应该面对网络安全攻击,这可以强烈影响他们的操作流程,业务形象,和关键信息的安全。建立安全机制有助于减少可能被攻击者利用的弱点;然而,它们并不总是足够的,而且一次攻击可能会成功。因此,组织需要建立计划或过程来处理这些安全事件,甚至构建称为CSIRTs的事件响应团队。由于不同形式的攻击和海量数据的增长,处理网络安全事件需要适应新的安全管理策略。从这个意义上说,将大数据、人工智能和数据分析应用于网络安全,被定义为认知安全,提出了一种可行的替代方案,但有必要考虑,如果没有对网络安全专家进行充分培训,或者如果使用了他们的技术和非技术技能,技术解决方案就会缺乏有效性。在人类技能和技术解决方案之间建立密切的相互关系可以帮助设计一个充分和有效的检测和自动化过程,从而改进安全事件的处理。本研究分析了认知安全技术解决方案与网络安全专家技能之间的相互关系。提出了一个通过建立态势感知来进行决策的自动化事件响应框架。
一、引言
由于技术在不同领域的扩展,如金融服务、医疗服务、公共服务以及水、电、电信等关键基础设施,计算机安全已成为社会的一个基本要素。根据麻省理工学院(MIT)的说法,安全团队将面临的风险主要是针对物联网(IoT)设备、区块链和关键基础设施[1]的攻击;例如,麻省理工学院提到,攻击者在2019年主要使用人工智能和量子技术进行攻击。这种情况涉及有准备充分的组织和有能力面对这些新挑战的安全专业人员;在国际层面上,一些组织已经定义了通过称为计算机事件响应小组(CSIRTs)[2]的专家和研究人员团队快速响应安全风险的策略。CSIRT由来自网络安全、法律、心理学和数据分析师等领域的专家组成。CSIRT根据预先设定的程序和政策,对网络安全事件做出快速有效的反应,并降低网络攻击的风险。
CSIRTs中的安全分析人员需要处理大量的数据,以便i)确定触发可能的攻击警报的模式或异常,ii)更快速和有效地执行检测过程。CSIRTs的成员正在寻求基于技术解决方案的新策略,如大数据、机器学习和数据科学[3]。为了加快数据分析方法[4]的研究进程,美国国家标准与技术研究院(NIST)等国际组织启动了数据科学研究计划(DSRP)。在网络安全领域,认知科学在信息安全过程中的应用推动了认知安全[5]的概念;这允许进行预测性和说明性分析,从而提供安全攻击的可能影响的视图。CSIRTs成功的另一个关键因素是团队协作能力和对不同环境的适应能力。在21世纪的[7]时代,安全专业人员需要团队合作、批判性思维和沟通等技能。2015年9月,一个之间的协作计算机协会(ACM), IEEE计算机协会(IEEE CS),信息系统协会特殊利益集团对信息安全和隐私(AIS SIGSEC),以及国际信息处理联合会技术委员会信息安全教育(11.8联合会WG)提出了一个网络安全教育课程指南提到非技术技能计价的软技能,对于安全专业人员来说至关重要,并专注于:团队合作、沟通、情景感知的生成,以及使用不同组织文化[8]的操作。
在组织中产生网络安全态势感知的能力允许确定积极的策略来面对正在进行的和即将到来的攻击或威胁。情境意识产生于三个认知过程:认知、理解和投射。认知过程是人类行为固有的,它会受到不同因素的影响,例如:压力、疲劳、分心、物理或环境条件。分析任务的绩效以及这些因素的影响是一些研究者感兴趣的。例如,Robert Karasek提出了需求控制模型[9],该模型研究了计算机人员在不同工作领域的认知、情感和身体需求,计算机人员的心理需求水平较高。在此背景下,发展认知策略在信息加工的各个层面都是必要的;此外,还需要分析执行功能如何通过:抑止控制、工作记忆处理[10]优化来整合各级信息处理,从而帮助网络安全专业人员高效工作和充足的响应时间。
在这项研究中,我们提出了一个模型来整合网络安全领域的认知技能、团队合作和数据分析,如图1所示。认知安全可以利用安全分析人员的认知能力的特点,将这种知识和智能转移到计算机系统中;通过这样做,他们可以向安全团队执行一个即时响应动作或通知,以做出针对安全攻击的决策,如图1所示。
研究的其余部分组织如下。第二节介绍了有关自动网络安全响应的相关工作。第三节介绍了心理学在网络安全中的重要性的背景。第四部分提出了一个基于认知过程的自动化网络安全框架的建议。最后,第六部分总结了本文的研究结论,并提出了今后的工作方向。
二、相关工作
根据麻省理工学院评论[11]的分析,在2018年,城市将安装多层传感器来监测空气质量、垃圾水平或交通量;这一预测,加上Gartnert对2020年的预测,[12]将有204亿台联网设备。在新的安全场景中,组织必须面对网络或计算平台的规模和复杂性的急剧变化,这些网络或计算平台是组织支持服务提供和设备连接的基础。在这种新的背景下,传统的安全解决方案的行动能力和人类对安全事件的检测和响应能力受到了限制。为组织和研究人员评估的网络安全的替代方案是使用认知模型作为一种提议,以增强计算环境的安全性和扩大人类的分析能力。
在[13]中,作者提出了一个基于机器学习的检测与基于时间逻辑的分析的组合,允许区分异常和启用动态网络响应。在[14]中,包括对个人设备的认知安全的使用,以允许设备识别所有者和自主安全,以便设备采取自己的安全决策。基于函数和依赖关系[15]的知识,可以实现诊断的自动化。在“数字服务生态系统中的自主计算方法调查”[16]中,提出了应用自主计算概念的25种不同的数字生态系统,在[13]中,提出了认知安全方法如何能够建立“良好异常”来建立正常的操作参数,以及任何变化如何生成网络设备的自动自动重新配置来控制数据流。
三、认知技能和网络安全
a 态势感知
态势感知被定义为,从心理学领域,作为一种能力,产生对他的生活的理解,基于他的经验[17]。这一概念已适用于计算机系统领域;例如,Lewis将计算系统的自我意识定义为基于内部和外部事件[18]获取自身知识的能力。在[19]中,自我意识被定义为为计算机系统生成关于自身和环境的知识,并根据这些知识决定将要执行的行动的能力。
1)网络安全态势感知(CSA):态势感知(SA)的概念描述了组织当前的威胁和攻击情况,可能的攻击的影响,以及攻击者的识别和用户行为[20]。分析人员必须了解安全情况并确定影响的可能性。为了生成态势感知,我们可以使用OODA循环。Breton提出的认知OODA循环是基于感知、理解和投射[21]的认知过程。表一展示了认知阶段、认知过程和根据Brenton的提案产生的产品之间的关系。
2)网络认知态势感知(CCSA):
为了建立组织的网络安全态势意识,我们可以依靠面向决策过程的认知方面的支持。适应了网络空间的感知、理解和投射的认知过程,我们将拥有如表二所示的关系。
b .非技术技能
美国国土安全部(DHS)和国家网络安全联盟(NCSA)等组织都开展了国家网络安全意识月活动,在2018年庆祝了第15届[22],以促进社区了解数字环境中的风险和威胁的相关方面。在这些领域中,安全专业人员必须具有非技术技能,以便能够以清晰和一致的方式向一组没有技术背景的人员传播知识。针对组织内的网络安全,防御策略基于风险管理,如图2所示分为四个级别的网络安全风险管理生命周期。
在网络安全风险管理生命周期内,至少需要以下人员:
•团队领导/协调员;
•负责系统和信息安全;
•沟通团队或公关;
•分类器或分类;
•事件管理团队-二级;
•法律团队。
这强调了在一个由不同学科的专业人员共同协作的环境中发展协作技能的必要性,因此团队合作对于网络安全专家来说是一项非常重要的技能。Newstrom提到,21世纪的组织或公司更加灵活,能够迅速适应变化,横向关系更加有效;因此,今天的组织更加重视灵活的结构和横向沟通。任务和角色以更开放的方式定义,环境更加动态,团队的创建允许实现所描述的方面。莫林认为,复杂性和多学科工作是21世纪的一部分,未来的教育必须以人类状况和人类之间的多样化关系为中心。Morin在《21世纪教育》中提到的另一个重要方面是让学生准备好面对日常生活中不同事件所产生的不确定性。
关于Morin提到的关于关注学生人性方面的第一个方面,开始强调以加强技能为重点的培训可能是很重要的。芒福德将技能分为四类[25]:
1)认知能力;
2)人际交往能力;
3)业务技能;
4)战略技能。
一般来说,在网络安全领域的大学主要关注提高认知、商业和战略技能,但不太关注非技术技能。根据Mumford提出的分类,团队合作、协作、沟通和网络被包括在人际交往技能的类别中。未来的网络安全专业人士正在大学学习;因此,工程教育需要鼓励非技术技能的发展。Kyllonen提出了21世纪需要的技能,其中以下提到[7]:
•批判性思维;
•口头和书面沟通;
•劳动伦理;
•团队合作;
•合作;
•专业;
•故障排除。
良好的网络安全工作人员框架[26]为安全专业人员建立了一套知识、技能和能力与非技术方面相关,如:
•有能力参与计划小组,协调小组和任务小组的工作;
•能够运用合作技巧和策略;
•应用批判性阅读/思考技能的能力;
•与他人有效合作的能力。
关于Morin在计算机科学领域提出的第二个方面,即不确定性,一些作者如[27]和[28]提到,软件开发过程中的不确定性可能与人的参与、并发性和问题领域的不确定性有关。在软件环境中,产品的开发和用户最初提出的需求的变化之间可能会出现不确定性。在网络安全领域,不确定性可能与其他方面有关,如时间、类型和网络攻击的目标。
团队合作也会产生不确定性;在[29]中,作者提到,不确定性可以在人的功能和环境工作中产生,取决于诸如先见者、利他主义智力、收获和意外收获等变量。在[30]中,作者认为,不确定性取决于团队的结构和成员之间的相互作用。
如图3所示,在21世纪的教育背景下,对计算机科学工程专业的学生进行网络安全领域的教育,主要有四个方面是必须要做的。
四、基于认知技能的网络安全自动反应
我们对事件反应自动化的建议是基于建立态势意识的重要性,在理解组织安全的积极和消极方面的基础上做出正确的决策。我们的提议利用了协作的方法来产生自我意识和决策,是基于安全分析师的认知过程的重要性,以能够确定一个安全事件在多个事件之间,它必须被识别出一个异常行为,可以警告攻击。我们的建议中考虑的一个方面是为了加强认知过程。在2017年RSA会议上,IBM[31]展示了安全分析师在调查事件时必须执行的认知任务,在表III中,我们提出了网络安全认知任务和认知过程之间的联系。
对于自动响应安全事件的过程,我们提出了如图4所示的分层架构。我们的建议强调分析层,在分析层中对不同来源(如传感器、日志或安全博客)获得的数据进行理解。此外,在这一层中,安全分析人员的经验和有效的沟通是最基本的,因为它将预测充分评估事件,并将其归类为事件,并建立最适当的决策,以减少攻击的影响。具体地说,在这一层中,我们提出了两个允许建立情境意识的子组件:i)自动学习的子组件和ii)团队合作。这两个子组件共享一种直接交流的方式,目的是生成标签,用于培训基于分析人员通过互动和交换思想生成的知识的监督学习算法。另一方面,无监督学习算法可以检测不容易检测到的模式或异常,并提醒安全分析人员确定它们是否与共同的安全攻击相对应。
设计了一个基于数据管理流程的框架,以确保不同层次数据的完整性和质量;然后,它包括:
•收集;
•准备;
•分析;
•可视化;
•访问。
在下面的图4中,我们将详细描述组成我们所提议的框架的层。
a)网络收集层:涵盖将用于创建网络安全态势感知的信息来源。在资料来源中,可以考虑下列情况:
•网络模拟平台;
•传感器;
•入侵检测系统;
•脆弱性分析;
•安全门户、博客或订阅源;
•netflow;
•服务器和网络设备日志。
b)基础设施层:基础设施层包含以下组件:
•数据收集服务器,在这些服务器中,将对不同来源的信息进行数据摄取处理。至少考虑三个服务器来实现负载平衡和高可用性。
•索引服务器,在这些服务器中执行数据索引的过程,并在此基础上定义属性,在此基础上对数据进行调试和处理,生成可视化层的信息。至少考虑两台服务器用于负载平衡和高可用性进程。
•队列管理服务器,该服务器建立流程管理大数据解决方案的处理资源在多个请求信息同时执行报告服务器和数据可视化,这个服务器处理数据可视化工具,允许与分析师能够执行的交互信息的查询。
•入侵检测服务器,在此服务器中定义了检测与安全攻击相关的模式的规则,服务器可以访问安全传感器。
•警报管理服务器,在此服务器中,警报管理被定义为在检测到异常模式时通知分析师,在此服务器中包含了一个事件管理系统,允许在检测到安全事件前对升级进行流控制。
c)索引层:用于定义搜索字典。
d)态势感知层:这一层是我们的核心建议。在这一层的目标是建立一个基线安全状态的一个组织,为此我们考虑两个部分,第一个组成的机器学习算法,允许识别模式或异常基于预处理来自不同数据源的数据服务器日志,第二部分称为团队合作产生自我意识的建立基于CSIRT安全分析人士的合作。基于团队产生的知识,你可以训练学习算法来提高它们的准确性。
e)分类层:它定义了针对安全分析师、CsIRT或事件管理过程中的其他参与者生成的警报。根据良好做法,明智的做法是定义警报级别的分类。
f)自动响应层:它定义了可以自动的响应动作,因为这对于建立安全事件管理计划是必要的。
五、讨论
在心理学研究中,工作绩效是一个寻求提高工作绩效的话题,考虑到个人和环境变量。我们在这项研究中分析的变量是在网络安全领域执行事件管理的专业人员的认知技能。我们认为,与执行功能相关的认知过程越高,安全分析人员所解决的任务的性能就越好,这是由于对减少攻击影响的快速响应要求越高。出于这个原因,加强认知灵活性是至关重要的,以便i)扩大事件数据的分析,ii)能够可视化更多的可能性,以面对网络攻击,ii)发展抑制控制,以提高其决策的精确度和有效性。另一方面,工作记忆对于经验的储存和随后对这些信息的使用起着至关重要的作用,所以这种认知过程也有助于对组织所面临的风险和威胁的情况形成意识。另一个关键变量与事件管理专业人员工作中的压力管理有关,以制定策略,使他们能够抵消劳动力需求。
在基于态势感知的网络安全管理模型中,分析执行功能是否集成感知、理解和投射过程,以提高任务绩效,可以增强决策过程。非技术技能在许多方面起着至关重要的作用,因为如果没有足够的沟通和建立共享知识的能力,网络安全团队将无法达到应对安全攻击所需的效率。例如,在面对出现的事件或问题时,处理复杂性不应该由安全分析人员进行简单的推理,而是要能够生成表示复杂性的心理模型,并作为一个团队进行工作。这种理解可能很复杂,因此,管理共享的心理地图等建议可能具有重要意义。另一个事实是多学科工作,来自不同领域的专家必须一起参与,但是由于对这对搭档的知识有限、不同的技术词汇和异质的工作方法,存在交互问题。最后,处理活动或与其他团队成员交互的结果的不确定性。
提出的大数据模型涵盖了网络安全状态(网络安全态势感知)知识生成必须考虑的不同组成部分。仅仅实现一个大数据架构是不足以解决处理海量数据处理的问题的,我们应该致力于寻找可靠的信息源,建立数据质量控制流程,生成安全承诺指标,并定义更新数据时间。
为了从安全分析师可以处理的信息中建立态势感知,我们提出了一个由4个模块组成的框架,如图5所示:来源、认知过程、协作安全任务和软技能。团队合作支持四个模块。在[23]中,作者提到团队的目标是鼓励成员分析他们一起工作的方式,识别他们的弱点,并开发新的协作形式。要做到这一点,学习过程必须把重点放在任务上。按照装备建设[23]的Newstrom模型,我们在网络安全领域提出以下建议:
•经过培训的专家识别问题;
•数据收集;
•反馈行动计划的制定;
•生成态势感知;
•解决方案经验;
•持续改进。
六、结论和未来工作
技术和社会的变化产生了动态和复杂的环境,产生了大量的数据。这一事实给安全分析人员带来了新的挑战,他们必须处理数据以确定允许识别威胁或安全攻击的模式或异常情况。认知安全的使用提供了在短时间内处理大量不同格式数据的能力,从而提高了安全操作的有效性。在网络安全领域,大数据主要用于监控行动和异常检测,这些行动集中在反应性安全策略上,但其他安全活动可以通过大数据分析增强,用于主动战略,如威胁搜索或网络欺骗。
事件管理的网络安全任务包括识别有关事件的数据,以确定攻击场景的振幅。从有关威胁和攻击的数据中发展经验,可以建立对网络安全状况的意识。建立网络安全态势意识需要认知和情感技能,其中认知过程的能力至关重要;感知和注意是允许安全分析人员从外部环境收集信息的第一个过滤器。与工作记忆、认知灵活性和抑制性控制相关的高级认知过程参与决策和事件管理任务中外部化的行为。
通过以下两种技能,可以实现安全分析师认知过程的持续改进:
1)过程控制。过程控制是团队成员的一项重要技能,因为它帮助成员有建设性地感知、理解和反应。
2)反馈让你有数据支撑你的决定,根据他们对团队其他成员的看法自我修正。
关于大数据和机器学习在安全领域的应用,在商业和学术领域有不同的建议;然而,它们并没有得到广泛实施。我们认为,今后一项可能的工作是分析造成这种情况的原因,一般来说,可能是预算、人员经验、技术支持不足。此外,通过焦点小组进行的综述可能是补充本研究的重要贡献。