关于 Alphabet 神秘新公司 Chronicle 我们知道些什么

网络安全领域出现了一个有趣的新玩家，它就是 Chronicle。它之所以引人注目是因为它隶属于谷歌的母公司，它诞生于 Alphabet 的“moonshot”孵化器 X。上周，Chronicle 在 Medium 上的两篇不同博客文章中宣布，它将专注于帮助公司理解自己的安全数​​据，并根据该公司首席执行官的说法，“在网络攻击造成危害之前阻止它们”。

在像 WannaCry 这样的全球计算机病毒或像 Meltdown 和 Spectre 这样的计算机处理器漏洞频发的时代，像谷歌这样的公司将重点和资源转向网络安全是件好事。但关于它如何运作的信息有限。

该公司联合创始人兼首席执行官斯蒂芬·吉列特 (Stephen Gillett) 在一篇博客文章中写道，该公司的一个分支将是“一个新的网络安全情报和分析平台，我们希望它能帮助企业更好地管理和理解自己的安全相关数据。”他补充说，一些公司已经在试用该平台的初始版本。他们的系统还将使用机器学习，这是一种人工智能。

虽然该公司没有分享已公开信息以外的细节，但机器学习代表着一种强大的工具，可以解读公司收集的大量网络安全数据。

Shape Security 首席技术官、前谷歌点击​​欺诈主管 Shuman Ghosemajumder 表示：“我认为，利用谷歌数据来改善整个生态系统的网络安全的想法是对只有谷歌才拥有的信息的非常直接的应用。”

数据淹没

根据 Gillett 对公司的解释，Chronicle 将帮助公司理解其内部防御系统产生的“安全警报”——每天警报数量可达数万。“一家大型组织通常会部署数十种安全产品，而数据激增反而让团队更难检测和调查威胁，而不是更容易，”他写道。而且，所有这些数据的存储成本也很高。

卡内基梅隆大学计算机科学副教授 Bryan Parno 表示，有关公司网络活动的数据可以以事件日志的形式出现。在计算机网络上，事件可以很简单，比如某人早上登录他们的计算机、计算机之间的通信或人们下载的文件。这些事件日志还可以包括安全警报，例如登录尝试失败。防病毒软件也会发出通知，其他安全设备也是如此。Parno 推测，Chronicle 可能想要处理的就是这类数据。

帕诺说，下一步是进行“异常检测”，即查看数据并找出正常流量和异常流量之间的差异的过程。

释放人工智能

机器学习可以发挥作用，它能从大量数据中获取见解。“安全分析师经常花费大量时间说，‘好吧，我们收到了所有这些警报，我们需要以某种方式对它们进行分类，’”Parno 说。目标是将真正的威胁与正常流量区分开来。

机器学习擅长从数据中学习——一个典型的例子是，通过向学习算法提供大量猫科动物的图片，然后让它解读关于猫外观的规则，而不是试图明确地编写这些规则，来教会学习算法猫的样子。然后，该软件可以在新图像中识别它认为是长胡须的动物。

在这种情况下，数据不是毛茸茸的宠物。正如吉列特在他的博客文章中所说，它是安全警报之类的信息，或者可能是那些事件日志。帕诺说，工程师倾向于用“好东西”来训练他们的系统——向它展示正常流量的样子，以便它能从中学习，因为大多数流量都是良性的。

Parno 说：“你主要在进行善意的训练，并说‘任何我认为不是善意的东西可能都是坏的’。” Chronicle 可以训练其算法来识别来自良好流量、不良流量或两者的信号。（该公司的一部分包括 2012 年谷歌收购的 VirusTotal，该公司专注于恶意软件检测。）简而言之，Chronicle 是一个旨在快速分析公司自身网络安全状况的平台。（类似地，另一家新公司创建了一个人工智能系统，旨在帮助 CIA 类型的情报分析师理解报告和其他数据。）

帕尔诺表示，即使出现了问题（例如计算机感染了恶意软件），该系统也能加快拼凑事件经过的艰苦过程。

但专注于计算机安全和密码学的帕诺却发出了警告。他补充道：“从历史上看，将机器学习非常有效地应用于安全问题一直是一项挑战。”这是因为它擅长识别他所说的“平均情况”。如果 Siri 或 Alexa 99% 的时间都能理解你所说的话，那基本上可以接受。但在安全领域，他说，99% 是不够的。“异常检测的致命弱点一直是攻击者只是说，‘好吧，我会非常小心地策划我的攻击，让它看起来像正常活动。’”