聯(lián)邦搜索和調(diào)查
不移動(dòng)數(shù)據(jù)即可獲得安全洞察
在混合多云環(huán)境下,數(shù)據(jù)安全及其保護(hù)的重要性已毋庸置疑,大量的報(bào)告和事實(shí)都證明了這一點(diǎn)。同時(shí),這也是各種類型的云公司關(guān)注的焦點(diǎn)。
IBM 在這方面當(dāng)然也會(huì)有自己的解決方案,比如 Guardium 和 Secret Server,其領(lǐng)先的探針技術(shù),可以有效偵測在云上亂竄的數(shù)據(jù);還有 SIEM 平臺(tái) QRadar 和針對 IAM 的身份認(rèn)證 Cloud Identity;此外,像變形金剛一樣的移動(dòng)式 X-Force Command Center 等,都可以很好地偵測各種威脅并告警和處理。
但在 IBM 看來,未來仍有很大的發(fā)展空間。“比如,很多的企業(yè)過去在安全方面做了很多投資,從十幾家知名的企業(yè)買了很多安全產(chǎn)品,但彼此不聯(lián)通,而且還可能存在漏洞。” IBM 大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐認(rèn)為,這給企業(yè)的云安全管理帶來了巨大挑戰(zhàn)。
IBM 發(fā)起的一項(xiàng)全球性調(diào)查也證明了這一點(diǎn)。在該項(xiàng)調(diào)查中,近一半的受訪者 (48%) 表示,企業(yè)因?yàn)椴渴鹆颂嗒?dú)立的安全工具,最終增加了運(yùn)營復(fù)雜性,降低了對整體安全狀況的可視性。
基于此,IBM 在國外和 20多家安全廠商共同成立了 OCA(Open Cybersecurity Alliance,開放網(wǎng)絡(luò)安全聯(lián)盟),希望通過建立統(tǒng)一的標(biāo)準(zhǔn)、統(tǒng)一的協(xié)議,采用開源的技術(shù),讓聯(lián)盟之間、成員之間進(jìn)行數(shù)據(jù)和信息交換,甚至是分享洞察,并使企業(yè)在安全工具方面的投資發(fā)揮出應(yīng)有的價(jià)值。
“IBM 最新發(fā)布的安全產(chǎn)品 Cloud Pak for Security 就是利用了 STIX Shift 開源工具,采用了標(biāo)準(zhǔn)協(xié)議,實(shí)現(xiàn)了與所有安全工具的互動(dòng),具備了即時(shí)威脅搜索、偵測和狩獵三大功能。”陳文豐說,在 OCA 聯(lián)盟中,大家都可以利用這些開源的協(xié)議和工具,通過開箱即用的方式即可進(jìn)行集成,而不需要開放 API。
事實(shí)上,這也是 Cloud Pak for Security 具備的第一個(gè)重要能力,即 Data Explorer(聯(lián)邦搜索與調(diào)查,F(xiàn)ederated Search & Investigation)。從表面上看,它只是該產(chǎn)品的一個(gè)能力,但其背后則體現(xiàn)了 IBM 的宏觀視野和與時(shí)俱進(jìn)的安全觀。
眾所周知,為了在海量數(shù)據(jù)中區(qū)分出真正的威脅,業(yè)界紛紛推出了 SIEM 解決方案。如前所述,IBM 也有自己的 SIEM 平臺(tái),但當(dāng) SIEM 發(fā)現(xiàn)某個(gè)威脅事件的時(shí)候,不可能第一步就采取行動(dòng),而是要針對這個(gè)威脅進(jìn)行調(diào)查,此時(shí)就會(huì)發(fā)現(xiàn) SIEM 中的數(shù)據(jù)量根本不夠,必須要用更多的數(shù)據(jù)源來輔助調(diào)查。
“解決這一問題的思路之一是把所有數(shù)據(jù)都放到 SIEM 中進(jìn)行調(diào)查,其二是在不移動(dòng)數(shù)據(jù)的情況下進(jìn)行調(diào)查、分析,顯然,前者將導(dǎo)致大量的成本增加、存儲(chǔ)壓力巨大。” IBM 大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)張紅衛(wèi)說,聯(lián)邦搜索與調(diào)查秉持的就是第二種思路——不移動(dòng)數(shù)據(jù),只是在數(shù)據(jù)之間建立連接,跨安全工具或云來搜索威脅,而獲得安全洞察。
目前,Cloud Pak for Security 也是業(yè)界第一款不需要將數(shù)據(jù)遷移至平臺(tái)即可進(jìn)行分析并支持此類搜索的工具,其開創(chuàng)價(jià)值不言而喻。
安全編排和自動(dòng)化響應(yīng)
引領(lǐng)國內(nèi)外安全發(fā)展趨勢
如何通過自動(dòng)化部署處理網(wǎng)絡(luò)攻擊,也是 IBM 安全業(yè)務(wù)的視角。這里談到的自動(dòng)化是指啟用安全技術(shù),在發(fā)現(xiàn)與遏制網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露事件的過程中增強(qiáng)或取代人為干預(yù)活動(dòng)。這些技術(shù)依賴于人工智能、機(jī)器學(xué)習(xí)、分析以及編排能力。
IBM 一項(xiàng)有關(guān)自動(dòng)化部署的調(diào)查活動(dòng),證明了該部署的重要性——充分利用自動(dòng)化技術(shù)的受訪企業(yè),在處理網(wǎng)絡(luò)攻擊等多個(gè)方面的自我評分均高于整體樣本,包括網(wǎng)絡(luò)攻擊防御能力、檢測能力、響應(yīng)能力和遏制能力等。那些充分部署安全自動(dòng)化解決方案的企業(yè),平均節(jié)省了 150萬美元的數(shù)據(jù)泄露總成本;而未部署自動(dòng)化技術(shù)的企業(yè)在這方面的成本要高出很多。
眾所周知,安全信息和事件管理平臺(tái)(SIEM)是企業(yè)網(wǎng)絡(luò)安全的大腦,雖然 SIEM 被金融、醫(yī)療和大型企業(yè)等安全運(yùn)維團(tuán)隊(duì)視為檢測和管理威脅必不可少的工具,但成功的威脅管理需要快速的事件響應(yīng),以幫助企業(yè)能夠快速修復(fù)威脅,并加強(qiáng)其安全狀態(tài)以防止數(shù)據(jù)泄露。
這一觀察視角在全新推出的 Cloud Pak for Security 中自然有所體現(xiàn),即安全編排和自動(dòng)化響應(yīng)(Security Operation & Automation Response,SOAR)。用陳文豐的話說,“這是為了順應(yīng)國內(nèi)外的整體安全防護(hù)趨勢,幫助用戶提升事件響應(yīng)自動(dòng)化水平,應(yīng)對上云過程中面臨的人才和技能挑戰(zhàn)。”
在 IBM 看來, SOAR 平臺(tái)因?yàn)槿斯ぶ悄艿膶?dǎo)入能夠顯著提升企業(yè)事件響應(yīng)自動(dòng)化水平,同時(shí) SOAR 還可減輕安全分析師的手動(dòng)工作量,并提高他們優(yōu)先處理最緊迫威脅和快速修復(fù)的能力,進(jìn)而幫助企業(yè)解決安全人才短缺的問題。
“SOAR (Security Operation & Automation Response)可以說是 Cloud Pak for Security 具備的第二個(gè)能力,它集成了 IBM 的 Resilient 產(chǎn)品,包括三個(gè)平臺(tái),即 Case 管理、自動(dòng)化響應(yīng)和威脅情報(bào)平臺(tái)。”張紅衛(wèi)說,IBM 的 SOAR 與業(yè)界同類產(chǎn)品相比具有突出優(yōu)勢,比如在 Case 管理的時(shí)候有一個(gè) Knowledge Base;針對不同的安全事件有一個(gè)響應(yīng)的 Template,可以基于這個(gè)模板來定制公司的響應(yīng)流程。
除此之外,該產(chǎn)品集成到 Cloud Paks 平臺(tái)上并實(shí)現(xiàn)容器化以后,還具有了額外價(jià)值——IBM 的安全編排和自動(dòng)化響應(yīng)功能可與 Red Hat Ansible 相集成,并提供更多的自動(dòng)化規(guī)程,企業(yè)能夠更快、更有效地做出響應(yīng),同時(shí)為自己提供加強(qiáng)監(jiān)管審查所需的信息。
陳文豐說,利用聯(lián)邦搜索與調(diào)查 Data Explorer 完成搜索、偵測并找出根源后,接下來就進(jìn)入響應(yīng)階段,以前主要是人工響應(yīng),實(shí)現(xiàn)自動(dòng)化響應(yīng)并與 Red Hat Ansible 集成后,局面將會(huì)大為不同。“假設(shè)公司有 1萬臺(tái)電腦,其中有 100臺(tái)電腦受到了某種類型的病毒攻擊,啟動(dòng)自動(dòng)化流程后,通過 Ansible 就可以自動(dòng)把補(bǔ)丁打上去,而且可以精準(zhǔn)地打到那 100臺(tái)電腦上,其好處已經(jīng)不局限于企業(yè)內(nèi)部上云,還包括公有云、私有云等。”
混合多云
容器能運(yùn)行的環(huán)境都可安裝部署
混合多云是 IBM 整個(gè)公司層面的轉(zhuǎn)型方向,也是安全產(chǎn)品研發(fā)需要具有的境界和視野,在 Cloud Pak for Security 上當(dāng)然也應(yīng)該得到體現(xiàn)。
關(guān)于混合多云的發(fā)展態(tài)勢,已無太多著墨的必要。根據(jù) IBM 商業(yè)調(diào)查報(bào)告,85% 的客戶都在使用多云環(huán)境;另外,98% 的受訪者客戶在未來三年不只采用多云環(huán)境,還會(huì)采用混合云環(huán)境。
需要提及的是,在這樣明朗的態(tài)勢下,48% 的用戶沒有有效的管理工具,面臨著上云過程中產(chǎn)生的數(shù)據(jù)、應(yīng)用、開發(fā)、安全等諸多挑戰(zhàn)。也正因?yàn)榇,IBM 在不久前發(fā)布了經(jīng)優(yōu)化后可在紅帽 OpenShift 上運(yùn)行 IBM Cloud Paks 軟件組合,為企業(yè)上云提供各項(xiàng)能力,這些軟件和服務(wù)將在 IBM 混合多云的平臺(tái)上提供。
繼 IBM Cloud Paks 有關(guān)應(yīng)用、數(shù)據(jù)、集成、自動(dòng)化、多云管理等五大解決方案發(fā)布之后,第六大解決方案 Cloud Pak for Security 隆重登場,同樣架構(gòu)在紅帽 OpenShift 的平臺(tái)之上,只要容器能運(yùn)行的環(huán)境都可以安裝部署,體現(xiàn)了 IBM 對客戶在混合多云環(huán)境下數(shù)據(jù)安全問題的重視。
“當(dāng)企業(yè)把關(guān)鍵業(yè)務(wù)遷移到混合云環(huán)境后,數(shù)據(jù)會(huì)分布到不同的工具、云和 IT 基礎(chǔ)設(shè)施中,造成的漏洞威脅會(huì)更大,安全部門的維護(hù)復(fù)雜程度將大大增加,成本也會(huì)非常高昂,甚至需要手動(dòng)操作。”陳文豐說,Cloud Pak for Security 發(fā)布后,為建立混合多云環(huán)境下更加連接的安全生態(tài)系統(tǒng)奠定了基礎(chǔ)。
事實(shí)上,在混合多云的環(huán)境下,用戶也確實(shí)需要這樣的工具。盡管他們可能部署了公有云、私有云,甚至是混合多云,但并不希望由此增加管理難度,購買更多的安全管理工具,而是希望用一個(gè)平臺(tái)、一套工具、一種方式保護(hù)他們的數(shù)據(jù)安全。而 Cloud Pak for Security 提供的恰恰就是這樣一個(gè)管理混合多云環(huán)境的安全解決方案。
在這些開放靈活的構(gòu)建模塊上開發(fā)的 Cloud Pak for Security 支持跨任何云或者本地環(huán)境,輕松的實(shí)現(xiàn)“容器化”部署。隨著企業(yè)不斷添加新的云部署和遷移,Cloud Pak for Security 可以輕松地適應(yīng)這些新環(huán)境并支持不斷擴(kuò)展——客戶甚至能夠?qū)⒚舾泻完P(guān)鍵任務(wù)工作負(fù)載放到云中,在中心安全平臺(tái)上持續(xù)監(jiān)視這些負(fù)載并進(jìn)行控制。
當(dāng)然,IBM 的安全視野并不只有混合云時(shí)代的技術(shù)和產(chǎn)品,還包括安全合規(guī),比如歐盟推行的 GDPR 和中國已于 12月 1日正式實(shí)施的等保 2.0,以及由此帶動(dòng)的廣闊市場。IBM 認(rèn)為,等保 2.0 實(shí)施后中國企業(yè)會(huì)更加重視安全防范,而符合要求的 IBM 產(chǎn)品機(jī)會(huì)將會(huì)很大。事實(shí)上,近兩年 IBM 的安全業(yè)務(wù)每個(gè)季度都在增長,也是國內(nèi) AIRO(Analytics, Intelligence, Response, Orchestration)市場外企占有率最高的廠商。
除了產(chǎn)品之外,IBM 的視野里還包括服務(wù)。受限于安全人才的短缺,企業(yè)將需要更多安全托管服務(wù),這一模式在國外也非常普遍,IBM 也十分看重這一市場。為此,Cloud Pak for Security 還為托管安全服務(wù)提供商(MSSP)提供了模型,使這些提供商能夠大規(guī)模的高效運(yùn)營、連接安全孤島并優(yōu)化其安全流程。企業(yè)還可以使用各種 IBM 安全服務(wù),例如,按需咨詢、定制開發(fā)和事故響應(yīng)等。本文轉(zhuǎn)載自:商業(yè)伙伴