“过去的这一年,美国或欧洲发生了很多包括数据泄露在内的网络攻击事件。在大中华区也有很多泄漏事件,外在环境告诉我们现在企业越来越重视安全,因为有很多的企业遭受网络的攻击并不是在遥远的美国、欧洲,而是在离我们非常近的地方。这些客户遇到了网络攻击,其实都在跟IBM做交流,想要了解IBM更先进的安全技术。”IBM大中华区安全事业部总经理陈文丰说。

智能云时代安全为先 IBM如何构筑“零风险”屏障?

IBM大中华区安全事业部总经理陈文丰

近年来,网络安全事件层出不穷,随之而来的攻击手段越来越多元化,几乎每天都在发生成千上万次的网络攻击,病毒的变种也达到了百万级别,各种新型勒索软件让企业疲于应对。攻击者不再满足于在传统的服务器或终端等硬件上做文章,而是在网络环境的薄弱环节植入恶意代码,进而去发起更多的连锁感染。与此同时,更多的安全风险开始在云端显现,错误配置、漏洞侵入等问题让不少企业蒙受了至少数百万美元的损失。

作为全球最大的企业网络安全供应商,IBM在世界范围内拥有9个安全运维中心,每天监控着700亿次以上的安全事件,为大中型企业提供着全域的安全运维服务,这样的全球视角使得IBM可以将各地实时发生的安全事件共享给其他地区,以便在第一时间做好防御工作。陈文丰谈到:“过去两年,我们深耕大中华区,取得了很好的进展,同时整个的大环境也在改变,过去两年大环境改变非常大。”

环境的巨大改变,并没有得到应有的重视。一项由Ponemon Institute代表IBM开展的调查显示,尽管调研表明企业若能在30天之内快速有效地遏制网络攻击,平均可以节省超过100万美元的数据泄露总成本,但遗憾的是,绝大多数的受访企业仍未针对网络安全事件做好恰当的准备工作,77% 的受访者表示,他们并未在整个企业中统一实施网络安全事件响应计划。

即便是已经实施此类计划的受访企业中,有超过一半 (54%) 表示他们未对计划进行定期测试,这将使得这类企业无法在攻击发生之初,对复杂流程和协调工作的管理做好必要的准备。不利的影响在于,《通用数据保护条例》(GDPR)的出台让数据隐私和相关规范上了一个相当高的层级,而网络安全团队在实施响应计划时所遇到的阻碍,导致GDPR并没有起到如期效果。近半数的受访者 (46%) 表示,虽然 GDPR 正式实施已近一年,但企业尚未做到完全合规。

陈文丰透露,IBM在服务全球客户的过程中,看到了这些客户主要关注两个方面的议题。第一个是应急响应,IBM的解决方案可以将自身的安全运维平台与外部方案打通;第二个是引入了AI技术,使得安全人员的决策时间大幅缩短,让系统可以高度自动化的运转。要知道,只有不到四分之一的受访者表示,他们的企业在事件响应流程中大规模使用自动化技术,如身份管理和身份验证、事件响应平台以及安全信息和事件管理(SIEM)工具等。

2018年数据泄露成本调研表明,自动化工具的部署和使用仍然是企业增强网络弹性能力时有待关注的重要举措。那些充分部署安全自动化解决方案的企业,平均节省了150万美元的数据泄露总成本;而未部署自动化技术的企业在这方面的成本要高很多。此外,那些充分利用自动化技术的受访企业,在处理网络攻击的多个方面的自我评分均高于整体样本,包括网络攻击防御能力(69% vs. 53%);检测能力(76% vs. 53%);响应能力(68% vs. 53%)和遏制能力(74% vs. 49%)。

IBM QRadar SIEM可以将分散在整个网络中的数千个设备、终端和应用中的日志事件和网络流数据整合起来,结合Sense Analytics引擎,对这些数据实施规范化和关联处理,并确定需要调查的安全攻击。QRadar SIEM能够支持主流安全厂商的软硬件方案,并且具有高度的自动化水平。例如IBM提供了EUBA和规则引擎等AI模块,所有的事件进来以后可以简化、判断、过滤,进行关联性的分析,最大程度削减安全人员的决策成本。

例如,安全分析人员每天都会收到大量告警,QRadar是以秒计收到多少安全事件的。很多安全事件发生时,诱发点可能是一些重复行为,例如有人试图暴力破解密码,安全人员看到的告警可能是有人登陆密码错误,而背后的诱因或许是一台或多台服务器、防火墙、软件认证等等,信息颇为繁杂。而SIEM平台所做的,首先就是简化大量的重复信息,根据规则将告警“翻译”成直观的安全语言。

IBM大中华区安全事业部安全产品架构师刘璐莹表示,系统告警的时候会加入权重值,如果是一台生产机器,就会把优先级提高。所有事件的判断会分成三个角度:第一个角度是严重的级别,第二个角度是确定的程度,第三个是业务的影响。

“你看到有一台服务器是重要核心的ERP服务器,五分钟内遭受了一千条的暴力破解你的攻击,Level One的人看到了这样的信息,觉得需要人工处理把这个转给Level Two,Level Two也看到了同样的信息,而且是非常快速的在一个界面看到了这些信息就会采取行动。”刘璐莹介绍称,“比如看到密码都是从哪个IP或服务器过来的,采取行动也许是先把这个服务器停掉,不让它登陆系统,然后再调查为什么这台系统一直在登陆,是有登陆,还是有人装了木马等等,就会展开后续调查。这是整个安全分析的价值所在。”

通常,IBM会建议客户将QRadar SIEM和Resilient配合使用,前者的主要工作是检测,发现问题之后及时响应,Resilient则更关注事中和事后的工作。二者体现出的化学效应之一是,假设有100个机器被WannaCry攻击,如果安全运维平台认为这100台里面有50台是真的有效攻击,Resilient就可以启动打补丁的程序。而在此之前,前期的冗余工作都要由人来进行。

刘璐莹以上面的示例做了进一步阐述:“我们把它自动化之后,代表一个安全分析员在他的控制台上就可以得到所有的信息,供他来做判断。判断的依据通过人工智能的方式把信息一次性列表:WannaCry是什么时间发现的,特征是什么。如果有一个文件,MD5是什么。分钟级就已经能够获得所有的内容,然后去决定采取什么样的行动。行动也不用一台台去打补丁,可以触发一个脚本就全部打上了。自动化和人工智能不是替代人们做确定,而是帮助人们更快、更准确地做决定。”

过去两年的时间内,QRadar SIEM平台收获了全球大批的金融客户,而IBM也凭借其全面、智能、专业的安全产品及服务能力,吸引到了银行、保险、证券、制造、零售等更多行业客户的关注。如果将这些能力聚合起来,可以从三个领域看到IBM的安全领先性。

第一点是云安全,随着混合云和多云时代的到来,IBM在中国市场提供了针对性的产品。Cloud Identity,以SaaS的形式简化了包括云在内各个环境的用户访问,进行多重身份验证、保障安全,利用企业本地现有的身份管理平台以保护已有的投资和用户隐私,实现云端应用的快速、可配置的访问管理,该服务由世纪互联运营。此外,IBM还提供了数据库保护和网络安全的监控与响应机制QRadar on Cloud,可以支持阿里云、腾讯云等本土CSP的应用状况查看。

第二点是IBM SOAR(Security Operation & Automation Response):采用智能、统筹且自动化的方式在一个平台上无缝协作,抵御攻击。现代化安全人员的短缺是很多企业都在面临的问题,调研机构Gartner指出,网络安全岗位的空缺将从2018年的100万个增加到2020年底的150万个;根据IBM的调研表示,只有 30% 的受访者表示,他们企业的网络安全人员配置足以实现高水平的网络弹性能力。

“假如今天客户要去建一个安全运维平台,原来需要找三年、五年经验的安全专家,导入了IBM的AI技术,可以让他找Level One的人半年就可以上手,Level Two的专业人员可能需要三年、五年的,现在需要一年就能上手。”陈文丰说。

在2017年温布尔登网球赛150周年之际,IBM Security帮助其在赛事信息、直播、用户互动、APP等方面成功拦截了安全威胁,实现了安全威胁调查速度60倍提升,以及对5倍于以往的安全意外事件进行分析,做到温布尔登网站及品牌零数据泄露。为了让安防措施更加深入到商业环境,IBM在波士顿推出了IBM X-Force Command网络靶场、网络战术行动中心(C-TOC)、指挥报告中心,不仅可以让安全人员和业务人员相互配合模拟作战,还能与IBM专家团队共同制定和优化网络安全及事件响应战略。

值得一提的是,IBM首次将这一先进的功放演练平台打造成移动式安全响应中心——安装在一辆炫酷的移动卡车上,客户可利用其实现监控、配置、软硬件管理等操作,安全团队的人员可以各自分工进行配合工作,感受到Qradar、Resilient、Watson等IBM最新技术加持下的完整的安全运维中心体验。

智能云时代安全为先 IBM如何构筑“零风险”屏障?

IBM X-Force Command Center

最后一点是数据安全,尤其是在欧盟《通用数据保护条例》和《2018加州消费者隐私法案》(California Consumer Privacy Act, CCPA)等新法规颁布实施之后,客户在做出 IT 采购决策之前会优先考虑数据保护问题。IBM近期开展的一项调研中,78%的受访者表示企业的数据保密能力极为重要,但只有20%的受访者完全信任与之开展业务的企业有能力保护其数据隐私。

对此,IBM给出的解决方案是将数据安全系统Guardium与特权账户系统Secret Server完美整合,通过实时数据活动监测和阻断/屏蔽功能,同步实现敏感数据保护和特权账号管理,既保护“王冠上的明珠”,又保护“通往王国的钥匙”。探针技术Guardium可以找出受监管数据和数据库中的漏洞以降低风险,了解指令在数据库里面做到什么样的访问,其在部署上采用在数据库服务器上安装agent的方式,不同于采用SPAN方式(监控交换机的上的网络流量),因此可以监测到进入数据库后台进行的访问行为。

至于Secret Server,则可以作为特权账号管理。“特权账号就是管理数据库的人,他有特别的权力。这些人可能是内部的员工,这些内部的员工可能有很大的权力,怎么管理特权账号的密码,包括使用,也是让我们的数据不要因为内部的人员造成数据泄漏。”陈文丰解释称,“这两个技术可以让数据保护更加牢固,不管是来自外部的攻击,或者因为内部人员的原因,能够有效保护数据的管理。”

如今,IBM安全事业部每天在130多个国家/地区监控700亿次安全事件,已在全球范围内获得了超过1万项安全专利,多年的技术积累使得其在云计算和人工智能的时代构建了一套完善的响应机制,而这种领先的技术优势也势必会为企业带来一道强有力的安全屏障。

【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】

IBM

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-05-22 16:15:28
云资讯 IBM中国论坛:本土化推进 筑造新生态系统
北京时间5月21日消息,在2019 IBM中国论坛召开期间,200多个合作伙伴共聚IBM合作伙伴领导力论坛,一同见证了在“智能+”时代下IBM为合作伙伴打造的新生代生态系统。同时,I <详情>
IBM
2019-05-21 17:09:46
云资讯 百年IBM痴迷云服务:落后、收购和追赶
走过108个年头,IBM丢掉昔日硬件霸主的身份,进军云界 <详情>
2019-05-10 09:43:25
国际资讯 美司法部“放行”,IBM收购红帽再进一步
近日,在红帽峰会上,该公司发布了委托IDC进行的一项研究。结果显示,预计2019年仅在红帽企业Linux系统(RHEL)上运行的软件和应用程序就将为全球业务收入贡献10万亿美元以上 <详情>
2019-05-08 13:10:02
云技术 IBM发布2019年Q1财报:云营收增长加速
美国东部时间2019年4月16日,IBM发布了2019年第一季度业绩报告。第一季度,IBM营收总额为182亿美元,较去年同期下降4.7%(按调整后汇率计算同比下降0.9%),云营收增长加速 <详情>
IBM
2019-05-08 12:50:21
云技术 IBM:70%企业自动化水平亟需增强
日前,IBM安全事业部发布了一项全球调研结果,揭示了企业抵御和应对网络攻击的准备情况。这项调研由Ponemon Institute代表IBM开展,调查显示,绝大多数的受访企业仍未针对 <详情>
IBM