从认知技能到自动网络安全响应
一.导言
由于金融服务、医疗服务、公共服务以及水、电和电信等关键基础设施等不同领域技术的扩展,计算机安全已成为社会的基本要素。根据麻省理工学院(MIT)的数据,安全团队将面临的风险主要是对物联网(IoT)设备、区块链和关键基础设施的攻击[1];比如麻省理工提到攻击者在2019主要使用人工智能和量子技术进行攻击。这种情况涉及到准备充分的组织和安全专业人员,他们有能力面对这些新的挑战;在国际层面,一些组织已经定义了通过称为计算机事件响应小组(CSIRTs)的专家和研究人员团队快速响应安全风险的策略。CSIRT由网络安全、法律、心理学和数据分析师等领域的专家组成。根据预先设定的程序和策略,CSIRT可以快速有效地响应网络安全事件,降低网络攻击的风险。
CSIRTs中的安全分析师需要处理大量数据,以便I)确定触发可能的攻击警报的模式或异常,以及ii)更快速有效地执行检测过程。CSIRTs成员正在寻求基于技术解决方案的新战略,如大数据、机器学习和数据科学[3]。为了加快数据分析方法的研究进程[4],美国国家标准与技术研究所(NIST)等国际组织启动了数据科学研究计划(DSRP)。在网络安全领域,认知科学在信息安全过程中的应用推动了认知安全的概念[5];这允许进行预测和描述性分析,以提供安全攻击的可能影响的视图。CSIRTs成功的另一个关键因素是团队合作能力和对不同环境的适应能力。在21世纪的[7]时代,安全专业人员需要团队合作、批判性思维和沟通等技能。2065438+2005年9月,协作计算机协会(ACM)、IEEE计算机协会(IEEE CS)和信息系统协会(AIS SIGSEC)召开了一次关于信息安全和隐私的特别兴趣小组会议。以及国际信息处理联合会技术委员会(11.8 Federation WG)的信息安全教育提出了一个网络安全教育的课程指南,其中提到了非技术技能定价的软技能,这对于安全专业人员来说非常重要,重点是:团队合作、沟通、情境意识的生成、使用不同组织文化的操作[8]。
在组织中生成网络安全态势感知的能力允许确定积极的策略来面对正在进行的和即将到来的攻击或威胁。情境意识来源于三个认知过程:认知、理解和投射。认知过程是人类行为所固有的,它会受到不同因素的影响,如压力、疲劳、注意力分散、身体或环境条件。对一些研究者来说,分析任务的表现和这些因素的影响是有趣的。例如,罗伯特·卡拉塞克提出了一个需求控制模型[9],该模型研究了计算机人员在不同工作领域的认知、情感和生理需求,计算机人员的心理需求较高。在这种背景下,有必要在信息处理的各个层面发展认知策略;此外,还需要分析执行功能如何通过:抑制控制和工作记忆处理[10]优化来整合各级信息处理,从而帮助网络安全专业人员高效工作,并有足够的反应时间。
在本研究中,我们提出了一个整合网络安全领域认知技能、团队合作和数据分析的模型,如图1所示。认知安全可以利用安全分析师认知能力的特点,将这些知识和情报转移到计算机系统中;通过这样做,他们可以对安全团队执行即时响应操作或通知,以针对安全攻击做出决策,如图1所示。
研究的其余部分组织如下。第二部分介绍了网络安全自动响应的相关工作。第三部分介绍了心理学在网络安全中的重要性的背景。第四部分提出了基于认知过程的自动化网络安全框架的建议。最后,第六部分总结了本文的研究结论,并提出了今后的工作方向。
二、相关工作
根据麻省理工评论[11]的分析,在2018年,城市将安装多层传感器来监测空气质量、垃圾水平或交通量;这个预测,加上Gartnert的预测,2020年将有204亿台联网设备[12]。在新的安全场景中,组织必须面对网络或计算平台的规模和复杂性的急剧变化,而网络或计算平台是组织支持服务提供和设备连接的基础。在这种新的背景下,传统的安全解决方案的行动能力和人类检测和响应安全事件的能力是有限的。对于组织和研究人员来说,评估网络安全性的另一种方法是使用认知模型作为一种建议,以增强计算环境的安全性并扩展人类的分析能力。
在[13]中,作者提出了基于机器学习的检测和基于时间逻辑的分析的组合,这允许区分异常并实现动态网络响应。在[14]中,包括了对个人设备使用认知安全,以允许设备识别所有者并进行自主安全,从而使设备可以做出自己的安全决策。基于函数和依赖关系的知识[15],可以实现诊断的自动化。在“数字服务生态系统中的自主计算方法研究”[16]中,提出了25种不同的应用自主计算概念的数字生态系统。在[13]中提出了认知安全方法如何建立“良好异常”来建立正常的运行参数,以及任何变化如何生成网络设备的自动重新配置来控制数据流。
第三,认知技能和网络安全
情境意识
从心理学领域来看,情境意识被定义为一种基于自身经验对生活产生理解的能力[17]。这个概念已经应用到计算机系统领域;例如,Lewis将计算系统的自我意识定义为基于内部和外部事件获取自身知识的能力[18]。在[19]中,自我意识被定义为为计算机系统生成关于自身和环境的知识,并根据这些知识决定要执行的动作的能力。
1)网络安全态势感知(CSA):态势感知(SA)的概念描述了组织当前面临的威胁和攻击,可能受到的攻击的影响,攻击者的识别和用户行为[20]。分析师必须了解安全形势,并确定影响的可能性。为了产生情境意识,我们可以使用OODA循环。布勒东提出的认知OODA循环是基于感知、理解和投射的认知过程[21]。表1显示了认知阶段、认知过程和根据Brenton的建议生产的产品之间的关系。
2)网络认知情境意识(CCSA):
为了建立一个组织对网络安全状况的认知,我们可以依靠认知支持决策过程。适应于网络空间中感知、理解和投射的认知过程,我们将具有表2所示的关系。
B.非技术技能
国土安全部(DHS)和国家网络安全联盟(NCSA)等组织都启动了国家网络安全意识月,并于2018 [22]庆祝了第15届会议,以促进社区了解数字环境中风险和威胁的相关方面。在这些领域,安全专业人员必须具备非技术技能,以便能够以清晰和一致的方式向一群没有技术背景的人传播知识。对于组织中的网络安全,防御策略以风险管理为基础,分为网络安全风险管理生命周期的四个层次,如图2所示。
在网络安全风险管理的生命周期中,至少需要以下人员:
?团队领导/协调员;
?负责系统和信息安全;
?传播团队或公共关系;
?分类或分类;
?事件管理团队-二级;
?法律团队。
这强调了在不同学科的专业人员协作的环境中发展协作技能的必要性,因此团队合作对于网络安全专家来说是非常重要的技能。纽斯特伦提到,21世纪的组织或公司更灵活,能快速适应变化,有更有效的横向关系;因此,今天的组织更注重灵活的结构和横向沟通。任务和角色以更加开放的方式定义,环境更加动态,团队的创建允许所描述的方面得以实现。莫林认为,复杂性和多学科工作是21世纪的一部分,未来的教育必须关注人类的状况和人类之间的多元化关系。莫兰在《21世纪教育》中提到的另一个重要方面是让学生做好准备,面对日常生活中不同事件所带来的不确定性。
关于Morin关于关注学生人性的第一个方面,开始强调以强化技能为重点的训练可能很重要。Mountford将技能分为四类[25]:
1)认知能力;
2)人际交往能力;
3)业务技能;
4)策略技巧。
一般来说,网络安全领域的大学主要侧重于提高认知、商业和策略技能,对非技术技能的关注较少。根据芒福德的分类,团队合作、协作、沟通和网络都属于人际交往技能的范畴。未来的网络安全专业人才都在大学学习;因此,工程教育需要鼓励非技术技能的发展。Kyllonen提出了21世纪所需要的技能,其中提到了以下几点[7]:
?批判性思维;
?口头和书面交流;
?劳动伦理;
?团队合作;
?合作;
?专业;
?故障排除。
良好的网络安全人员框架[26]为安全专业人员建立了一套与非技术方面相关的知识、技能和能力,例如:
?能够参与计划小组、协调小组和任务小组的工作;
?使用合作技能和策略的能力;
?应用批判性阅读/思考技能的能力;
?与他人有效合作的能力。
关于Morin计算机科学的第二个方面,即不确定性,有作者如[27]、[28]提到,软件开发过程中的不确定性可能与人的参与、并发性和问题域的不确定性有关。在软件环境中,产品的开发和用户初始需求的变化之间可能存在不确定性。在网络安全领域,不确定性可能与其他方面有关,例如网络攻击的时间、类型和目标。
团队合作也会产生不确定性;在[29]中,作者提到,不确定性可以在人的功能和环境工作中产生,取决于预见、利他智能、收获和意外收获等变量。在[30]中,作者认为不确定性取决于团队的结构和成员之间的相互作用。
如图3所示,在21世纪的教育背景下,对计算机科学与工程专业的学生进行网络安全领域的教育,主要必须做到四个方面。
第四,基于认知技能的网络安全自动响应
我们对事件响应自动化的建议是基于在了解组织安全的积极和消极方面的基础上建立情景意识和做出正确决策的重要性。我们的建议使用协作方法来产生自我意识和决策,这是基于安全分析师的认知过程的重要性,以便能够确定一个安全事件在多个事件中,并且它必须被识别为异常行为,这可以警告攻击。我们建议的一个方面是加强认知过程。在2065 438+07 RSA大会上,IBM[31]展示了安全分析师在调查事件时必须执行的认知任务。在表三中,我们提出了认知任务和网络安全认知过程之间的关系。
对于自动响应安全事件的过程,我们提出了如图4所示的分层架构。我们的建议强调分析层,在这一层中可以理解从不同来源(如传感器、日志或安全博客)获得的数据。此外,在这一层中,安全分析师的经验和有效沟通是最基本的,因为它会预测和充分评估事件,将其归类为事件,并建立最合适的决策以减少攻击的影响。具体来说,在这一层,我们提出了两个子组件来建立情境意识:I)自动学习的子组件和ii)团队合作。这两个子组件* * *享有一种直接通信的方式,目的是基于分析师通过交互和思想交流产生的知识,为训练监督学习算法产生标签。另一方面,无监督学习算法可以检测不容易检测到的模式或异常,并提醒安全分析师确定它们是否对应相同的安全攻击。
设计了一个基于数据管理流程的框架,以确保不同级别数据的完整性和质量。然后,它包括:
?收藏;
?准备;
?分析;
?可视化;
?参观。
在下面的图4中,我们将详细描述构成我们提出的框架的各个层。
a)网络收集层:涵盖将用于创建网络安全态势感知的信息源。在数据源中,您可以考虑以下情况:
?网络仿真平台;
?传感器;
?入侵检测系统;
?脆弱性分析;
?安全门户、博客或订阅源;
?netflow
?服务器和网络设备日志。
b)基础设施层:基础设施层包括以下组件:
?数据收集服务器,从不同来源获取信息。考虑至少三台服务器来实现负载平衡和高可用性。
?索引服务器,在这些服务器中执行数据索引的过程,并在此基础上定义属性,在此基础上调试和处理数据,生成可视化层的信息。考虑至少两台服务器用于负载平衡和高可用性流程。
?队列管理服务器,建立流程管理大数据解决方案的处理资源,在多个请求信息中同时进行报表服务器和数据可视化。该服务器处理数据可视化工具,并允许分析师执行交互式信息查询。
?入侵检测服务器,其中定义了用于检测与安全攻击相关的模式的规则,并且服务器可以访问安全传感器。
?警报管理服务器,其中警报管理被定义为当检测到异常模式时通知分析师,包含事件管理系统,并允许在检测到安全事件之前对升级进行流程控制。
c)索引层:用于定义搜索字典。
d)情境感知层:这一层是我们的核心提案。这个级别的目标是建立一个具有基线安全状态的组织。为此,我们考虑两个部分。第一部分是机器学习算法,它允许根据来自不同数据源的预处理数据服务器日志来识别模式或异常。第二部分称为团队合作,以CSIRT安全分析师的合作为基础创建自我意识。基于团队产生的知识,你可以训练学习算法来提高其准确性。
e)分类层:它定义了为安全分析师、CsIRT或事件管理流程中的其他参与者生成的警报。根据良好的实践,定义警报级别的分类是明智的。
f)自动响应层:定义自动响应行动,因为需要建立安全事件管理计划。
动词 (verb的缩写)讨论
在心理学研究中,工作绩效是一个寻求提高工作绩效的主题,考虑了个人和环境变量。我们在这项研究中分析的变量是在网络安全领域执行事件管理的专业人员的认知技能。我们认为,与执行功能相关的认知过程越高,安全分析师解决的任务的性能越好,这是由于对快速响应以减少攻击影响的要求越高。为此,加强认知灵活性至关重要,以便I)扩展事件数据的分析,ii)可视化更多面对网络攻击的可能性,ii)开发抑制控制以提高其决策的准确性和有效性。另一方面,工作记忆在经验的存储和随后对这些信息的使用中起着重要作用,因此这种认知过程也有助于形成对组织所面临的风险和威胁的意识。另一个关键变量与事故管理专业人员工作中的压力管理有关,以便制定策略,使他们能够抵消劳动力需求。
在基于态势感知的网络安全管理模型中,分析执行功能是否整合了感知、理解和投射的过程,可以提高任务绩效,增强决策过程。非技术技能在很多方面起着至关重要的作用,因为如果没有足够的沟通和享受知识的能力,网络安全团队就无法达到应对安全攻击所需的效率。例如,面对新出现的事件或问题,处理复杂性不应该由安全分析师简单地推理,而是应该能够生成代表复杂性的心理模型,并作为一个团队工作。这种理解可能比较复杂,所以管理* * *享受的思维导图之类的建议可能意义重大。另一个事实是,多学科工作需要不同领域专家的参与。但是,由于合作方的知识有限,技术词汇不同,工作方法异构,因此存在交互问题。最后,处理活动结果的不确定性或与其他团队成员的互动。
所提出的大数据模型涵盖了在网络安全状态(网络安全态势感知)的知识生成中必须考虑的不同组件。仅仅实施大数据架构不足以解决处理海量数据的问题。我们应该致力于寻找可靠的信息来源,建立数据质量控制流程,生成安全承诺指标,并定义更新数据的时间。
为了从安全分析师可以处理的信息中建立态势感知,我们提出了一个由四个模块组成的框架,如图5所示:来源、认知过程、协作安全任务和软技能。团队合作支持四个模块。在[23]中,作者提到团队的目标是鼓励成员分析他们合作的方式,找出他们的弱点,并开发新的合作形式。要做到这一点,学习过程必须以任务为中心。根据纽斯特伦的设备建设模型[23],我们在网络安全领域提出以下建议:
?训练有素的专家识别问题;
?数据收集;
?反馈行动计划的制定;
?产生情境意识;
?解决方案经验;
?持续改进。
不及物动词结论和未来工作
技术和社会的变化产生了动态复杂的环境和大量的数据。这一事实给安全分析师带来了新的挑战,他们必须处理数据以确定模式或异常,从而识别威胁或安全攻击。认知安全的使用提供了在短时间内处理大量不同格式数据的能力,从而提高了安全操作的有效性。在网络安全领域,大数据主要用于监控动作和异常检测。这些行动侧重于反应性安全策略,但其他安全活动可以通过大数据分析得到增强,并用于主动策略,如威胁搜索或网络欺骗。
事件管理的网络安全任务包括识别有关事件的数据,以确定攻击场景的范围。从有关威胁和攻击的数据中积累经验可以增强网络安全意识。建立网络安全态势感知需要认知和情感技能,其中认知过程的能力非常重要;感知和注意力是安全分析师从外部环境中收集信息的第一个过滤器。与工作记忆、认知灵活性和抑制控制相关的高级认知过程参与决策和事件管理任务中的外化行为。
通过以下两项技能,可以不断提高安全分析师的认知过程:
1)过程控制。过程控制是团队成员的一项重要技能,因为它有助于他们有建设性地感受、理解和反应。
2)反馈让你有数据支持你的决策,并根据他们对团队其他成员的看法修正自己。
关于大数据和机器学习在安全领域的应用,商业和学术领域有不同的建议;然而,它们并没有得到广泛实施。我们认为,今后一项可能的任务是分析造成这种情况的原因。总的来说,可能是预算、人员经验、技术支持不足。此外,通过焦点小组的审查可能是一个重要的贡献,以补充这项研究。