有光必有影,人们向往光明,却也无法避免黑暗。大数据与人工智能技术,可以让人更深入、更全面的对事物进行了解,但这种技术如果落到用心不良人手中,反而会蒙蔽大家的双眼。当黑产比我们更懂人工智能,企业又将如何去进行应对?
数字化智能时代 黑色产业变化新趋势
当黑色产业比企业更加熟练运用人工智能会发生什么?
以大数据分析为基础的人工智能技术的优势在于,可以对企业所产生的数据进行更加深度的挖掘,这种技术与黑色产业相结合后,所产生的危害,决不是一加一等于二这么简单。
对于个人用户而言,像获取用户密码、转走用户存款、骗取网贷,这种竭泽而渔的做法,太容易让黑客暴露,可以榨取金钱也有限,未免得不偿失。而对于企业用户而言,智能化的黑色产业就要用“恐怖”两个字来进行形容了。
就拿人们津津乐道的薅羊毛来讲,比商家更关注打折活动的是谁?不是用户,而是黑产。用户只不过是用业余时间去关注或参与一下,黑产可以24小时不停歇的全程参与;用户抢优惠卷靠手工,黑产抢优惠卷靠编程;用户积赞靠亲朋,黑产积攒靠水军、肉鸡、号池,漏过一点企业优惠就算他输!
企业如果不发券,而是直接打折呢?那样就更简单了,真有价格优势的,直接下单全部买空,再转手卖出。就算没有价格优势也可以买完随手就退货,让企业白忙一场。
企业的数字化转型,连营销都做不下去,憋也能把企业给憋死。但这还不是最严重的,更严重的是让黑客抓到企业在云端(公有云、私有云或混合云中)的系统漏洞,从而渗入企业内部盗取营销数据、客户信息,甚至在企业业务应用中夹杂木马,如此除了可以让黑客再获取大量肉鸡、壮大水军之外,还可以对目标企业进行全面掌控,影响其决策,操控其生死……
黑产的成因与安全的缺失
既然黑色产业对数字化企业的危害如此巨大,那么用什么方式才可以斩断黑色产业链条,还给企业一片澄净的数字天空呢?那就需要从黑色产业的形成原因开始谈起。
与大部分想要证明自身技术实力的黑客不同,黑色产业链之所以会存在,就是因为在这方面有着足以满足其生存需要的业务需求和极为巨大利润空间。
什么人会对黑产有业务需求?很可能就是进行数字化业务的厂商!当然,它们也有更通用的称呼,叫做“友商”。“薅羊毛”也许挣不到多少钱,但是破坏一次友商精心准备的商业活动,顺带着薅点羊毛,这样的利益可就不能说不大了。窃取了企业机密、客户信息,不变现只能是一堆垃圾数据,可是向友商一出售,那就是真金白银,甚至还可以反复多次的贩卖,直到把机密变成尽人皆知的秘密。数据泄露的厂商自然会形象大损,承受巨大损失。还有企业在开展数字化业务前期,同样也需要借住黑产进行流量推广,这种不黑不白的灰色产业链,也在为黑产提供源源不绝的资金来源。
有需求自然会有市场,想从资金源头对黑产进行遏制,目前看来将会是一件在短期内,很难完成的工作。因此,数字化企业要想抵御黑产的骚扰,还需要在健全自身的数字安全体系上想办法。
那么企业自身的数字安全体系健全吗?目前看来,同样无法乐观。
专业安全咨询缺失,引发的企业被动威胁防御态势
在近期至顶网进行的云安全调研中发现,在对如何了解及应对应用系统漏洞威胁的问题上,企业选择定期采用安全工具进行漏洞扫描占比68%、定期升级系统并安装补丁占比64.7%、留意安全厂商或资讯预警信息占比57.5%、聘请安全团队,进行安全托管占比25.5%,还有5.9%的用户选择的是不闻不问。
防漏洞就要做漏扫、打补丁,这话听着好没有错误。但实际上,里面有很多问题。首先,要看你是做的什么扫描,打的是哪些方面的补丁,确实有公有云厂商非常负责任,系统漏洞发现的很及时,打好补丁之后有利于系统的稳定运行。但是一些用开源系统搭建的私有云系统中,就是另外一个情况了,更何况现在企业运用更多的是一些开源应用软件,有很多只是贡献者觉得很有用,就贡献给开源社区了,平时连进行维护的人都没有,而这些应用,也正是漏洞的重灾区。而企业为了实现业务快速上线,往往会采用大量的开源应用,其中的风险自然可想而知。
因此,企业要想保障自身的数字化业务安全,好还是聘请安全技术团队,进行安全托管。然而目前选择专业安全团队进行安全托管的选项里,只有25.5%的企业选择,仅次于平时不闻不问的选择。企业的数字化安全防护态势由此可见一斑。
从我们的另一项调查中也可以证明这一点。在最关注的安全功能中,系统、数据漏洞扫描所占比例高,达到77.8%。用户管理占比50.3%、应用行为分析占比49.7%、安全合规占比43.1%、威胁可视化管理与安全工具集成管理的关注度最低,仅占36.6%主35.9%。在这里只能说最后两项功能的重要性同样被大大忽视了。
当前企业的数字化业务,通常分别部署在企业内部的私有云和各大云厂商的公有云之上。云计算系统环境有很大差异,上面部署的业务应用更是千差万别。这样企业在进行安全行为分析的时候,就更加需要有大局观,从整体上去看待问题。黑客从外网入侵,要找漏洞做嗅探,放木马做提权,这是一个系列性的动作,并且可能会有很长一段时间的潜伏期存在。企业通过单一安全防护工具,可能并不能准确发现问题,警报很容易被忽略。更何况攻击并非全部出现在外部,企业内部的人员管控不利的话,更有可能引发严重的数据泄露风险。
有了安全工具集成管理就会产生很大不同,它可以将多种安全工具的警报信息统一进行归纳,再通过威胁可视化管理系统进行分析,从而对黑客行为,入侵路径准确进行判定,从而为企业提供应用行为分析能力。
要说在这方面解决方案的成熟和完善,还得说是IBM。下面我们就来看一下IBM Security 如针对企业数字化转型提供的混合云安全解决方案。
企业由如何发展由被动向主动转变的安全新态势
近期,IBM Security 宣布了即将发布的 Cloud Pak for Security 的新功能,其中包括一款在同类产品中排名第一的数据安全解决方案,可帮助企业跨混合云环境检测、响应针对其最敏感数据的威胁并实施数据保护。为了统一之前互不关联的安全技术,IBM 对 Cloud Pak for Security 进行了扩展,在其中纳入了一些新的数据源、集成和服务,使得安全运营团队可以从单个控制台管理整个威胁生命周期。
通过这些更新,Cloud Pak for Security 能够访问 6个威胁情报源、25个与 IBM 及第三方数据源的预构建连接,以及 165个案例管理集成,这些案例管理集成通过高级 AI 进行连接,对威胁进行优先排序,同时提供自动化运行手册,简化安全团队的响应措施。 凭借即将发布的新功能,Cloud Pak for Security 成为了业内首款将数据级洞察力和用户行为分析与威胁检测、调查和响应关联一体的平台。
这些进一步增强 Cloud Pak for Security 的新功能包括:
获得行业领先的威胁情报:Cloud Pak for Security 扩大了威胁情报收集范围,旨在帮助客户检测影响全球企业的主动威胁活动的预警信号。除了 IBM X-Force 威胁情报源外,该平台还将提供一些预构建的集成,包括计划于 2020年第四季度可用的来自第三方来源的五个其他威胁情报源,含 AlienVault OTX、Cisco Threatgrid、MaxMind Geolocation、SANS Internet StormCenter 和 Virustotal;预计在 2021 年还将增加更多其他的威胁源。 协调威胁响应与数据安全:IBM 在业内首创的新方法使安全团队可以了解数据活动、合规和风险,而无需离开他们的主要响应平台。计划于第四季度全面上市的新内置数据安全中心能够让分析人员快速获取情境信息,了解其敏感数据在混合云环境中所处的位置、有权访问此类数据的用户、他们使用此类数据的方式以及保护此类数据的最佳方法。弥合数据安全与威胁管理之间的脱节可以缩短数据泄露响应所需时间——就目前而言,根据近期对组织机构的调研,识别和遏制数据泄露平均需要六个月以上的时间。 专用服务和支持:IBM 推出了一些新的专用安全服务来帮助客户通过一种整体的产品和服务连接方法,利用 Cloud Pak for Security 实现现代化的安全运营。通过广泛的灵活服务选项,IBM 专家可以通过端到端威胁管理、托管安全服务以及战略咨询和集成支持等选项,帮助客户跨任何环境部署和管理 Cloud Pak for Security。
通过上述IBM Cloud Pak for Security 新功能介绍我们可以看到:为了应对数字化威胁,首先需要了解最新的威胁情况,在这里IBM Cloud Pak for Security除了集成可在全球130多个国家或地区每天监测700亿起安全事件,并根据对这些事件的洞察和观察开展了分析的 IBM X-Force 威胁情报源外,还具备来自第三方来源的五个其他威胁情报源。及时获取黑客动向,就可以有针对性去进行防范,有助于减少威胁的发生,但这毕竟还属于被动防御的范畴。
更主要的是IBM Cloud Pak for Security向企业提供了协调威胁响应与数据安全能力的IBM QRadar,能够以SIEM日志管理和日志分析为核心,为企业安全团队提供快速而精准地检测内部和云环境威胁、理清威胁主次、展开调查并积极应对所需的可视性和分析技术,进而发现企业在安全上的短板和不足。这才是数字化安全由被动变为主动的核心所在。
最后是人的因素。工具再智能,也只是增加使用的便利性,最关键的是需要专业技术人员来进行运营。IBM通过提供专家进行安全托管、战略资询等服务的形式,可以有效的弥补企业专业安全技能不足的短板,让企业更有效的实现安全管理,从而发展出由被动向主动转变的安全新态势。
用户管理对于企业的重要作用
上面的安全措施可以有效防止黑客威胁,但是面对黑产的威胁,还是存在不足。这就需要企业可以对客户的真实性,具备很好的验证和管理能力。在这方面,IBM也推出了相应的身份管理身份与访问管理解决方案(IAM)解决方案。
IBM 提供两种IAM 服务选项:一个是成熟的软件交付IAM 产品,名为IBM Security Verify (IBM IAM),另一个是由SaaS 交付的IAM 产品,名为Cloud Identity。两者均提供核心的IAM 功能。IBM IAM是一款传统的WAM 产品,可为内部应用和非标准应用提供专有SSO,而Cloud Identity 平台则提供了一种基于现代身份协议的IAM 方法,面向的是SaaS 应用和内部应用。IBM 拥有一个广泛的IAM 和安全功能库,该功能库可通过与IAM 产品的其他集成加以利用。IBM IAM 平台可针对会话管理提供细粒度控件,而Cloud Identity 则仅提供基本功能。IBM 致力于开发公有区块链基础架构,旨在推动创新,同时遵循去中心化的身份标准,而且还推出了用于身份证明的IBM Blockchain Trusted Identity 产品。
如此一来,企业可以通过对内部和外部不同用户的精准判定,在营销、推广活动中,对客户进行准确判断,从而有效避免黑产水军对企业数字化营销的破坏活动。
搭建全向安全的混合云系统架构
此外,Cloud Pak for Security 利用开放技术创建了一个可互操作的基础,并在 IBM 和第三方工具之间建立了更深的联系。举例来说,该平台使用 STIX-Shifter,这是一个开源代码库,允许安全分析人员通过单个查询在所有连接的数据源中搜索威胁指示器。此外,Cloud Pak for Security 基于 Red Hat OpenShift 而构建,提供了一个开放的容器化基础,可以轻松地在内部、公有云和私有云环境中进行部署。
这种开放的方法使得 Cloud Pak for Security 不仅可以是一组安全功能,还可以是一个能够跨工具和云完全集成安全流程的平台。该平台使用先进的 AI、分析和自动化功能来简化威胁管理的整个生命周期 - 包括安全信息和事件监控 (SIEM)、威胁情报、用户行为分析、数据安全和安全编排自动化与响应的原生功能。这些功能通过一个统一的用户界面提供,该界面通过端到端的工作流程(从检测到响应)将整个威胁管理过程连接在一起。 从而可以协助用户搭建出全向全安的混合云系统架构。