路沙

2019年，一個(gè)能夠隨意展開、變形，類似于變形金剛的IBM移動(dòng)式安全響應(yīng)中心開始越來越多地出現(xiàn)在人們的視野當(dāng)中。在這里，安全運(yùn)維團(tuán)隊(duì)通過沉浸式的體驗(yàn)，能夠感受到緊張激烈的真實(shí)攻擊場(chǎng)景，從而可以及時(shí)掌握實(shí)戰(zhàn)經(jīng)驗(yàn)，做好應(yīng)對(duì)安全事件的準(zhǔn)備。同時(shí)，它還可以作為網(wǎng)絡(luò)戰(zhàn)術(shù)行動(dòng)中心，開展網(wǎng)絡(luò)調(diào)查的無菌環(huán)境或特殊安全事件現(xiàn)場(chǎng)監(jiān)測(cè)，并可以與經(jīng)驗(yàn)豐富的事件響應(yīng)人員、滲透測(cè)試人員、設(shè)計(jì)思維專家和 IBM 高管會(huì)面，共同制定和優(yōu)化網(wǎng)絡(luò)安全和事件響應(yīng)戰(zhàn)略。

在IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐看來，IBM將移動(dòng)式安全響應(yīng)中心形象地描述為“網(wǎng)絡(luò)靶場(chǎng)”。 這個(gè)靶場(chǎng)更多的是幫助客戶梳理自身在安全偵測(cè)、安全預(yù)防、安全響應(yīng)順滑程度等方面存在的問題。雖然這不是真實(shí)的對(duì)抗場(chǎng)景，但是IBM通過注入標(biāo)準(zhǔn)化、真實(shí)場(chǎng)景下的數(shù)據(jù)能夠讓企業(yè)學(xué)習(xí)并掌握通用性安全問題行之有效的處理辦法。

對(duì)此，陳文豐進(jìn)一步解釋道，移動(dòng)式安全響應(yīng)中心集中體現(xiàn)了IBM在云安全、數(shù)據(jù)防護(hù)及自動(dòng)化響應(yīng)等方面最新的研發(fā)技術(shù)和發(fā)展理念。這三個(gè)方面將是IBM 2019年在安全領(lǐng)域的重點(diǎn)關(guān)注方向，透過深入的行業(yè)應(yīng)用能夠使得IBM提升洞察力并獲取企業(yè)整體安全防護(hù)需求的能力。

企業(yè)安全防護(hù) IBM一直在路上

在過去一年中，全球網(wǎng)絡(luò)安全事件頻發(fā)，DDOS攻擊、零日漏洞、勒索病毒等攻擊手段不僅多樣，且變化多端，網(wǎng)絡(luò)攻擊者更是善于利用創(chuàng)新和技術(shù)進(jìn)步發(fā)現(xiàn)新漏洞并躲避安全檢測(cè)，企業(yè)安全防護(hù)形勢(shì)日漸嚴(yán)峻。同時(shí)，隨著我國《網(wǎng)絡(luò)安全法》和歐洲《通用數(shù)據(jù)保護(hù)條例》的推出，也對(duì)企業(yè)內(nèi)部安全防護(hù)和合規(guī)提出了更高的要求。

陳文豐認(rèn)為，內(nèi)外部環(huán)境的變化使得網(wǎng)絡(luò)安全問題變得愈發(fā)普遍和難以預(yù)測(cè)。作為全球最大的企業(yè)網(wǎng)絡(luò)安全供應(yīng)商，IBM目前在全球已經(jīng)擁有9個(gè)安全運(yùn)維中心，每天監(jiān)控700億次以上的安全事件，能夠及時(shí)了解眾多用戶發(fā)生的安全防護(hù)問題，可以快速、有效地為用戶提供安全運(yùn)維服務(wù)。

如今，IBM的安全產(chǎn)品和解決方案已經(jīng)覆蓋了全球銀行、保險(xiǎn)、證券、醫(yī)療及航空等領(lǐng)域的大多數(shù)企業(yè)。而在這個(gè)過程當(dāng)中，IBM發(fā)現(xiàn)，在安全層面，應(yīng)急響應(yīng)和AI技術(shù)的導(dǎo)入越來越受到用戶的重視和關(guān)注。在一份IBM最新的調(diào)研報(bào)告中，77%的受訪者表示，他們并未在整個(gè)企業(yè)中實(shí)施網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃，且自動(dòng)化防護(hù)水平、技能缺口和隱私保護(hù)仍然與現(xiàn)實(shí)需求存在巨大差距。在記者看來，現(xiàn)實(shí)與理想之間存在的鴻溝和矛盾將造就巨大的市場(chǎng)潛力。這也從另一個(gè)角度印證了IBM聚焦云安全、數(shù)據(jù)防護(hù)以及自動(dòng)化響應(yīng)三大領(lǐng)域的初衷和目的所在。

聚焦三大領(lǐng)域

加速安全防護(hù)進(jìn)程

在云安全方面，IBM可從安全的身份及網(wǎng)絡(luò)、數(shù)據(jù)和工作流程保護(hù)、威脅應(yīng)對(duì)與合規(guī)管理三個(gè)關(guān)鍵領(lǐng)域全面保障云安全，并通過簡(jiǎn)化包括云在內(nèi)各個(gè)環(huán)境的用戶訪問，進(jìn)行多重身份驗(yàn)證、保障安全。

同時(shí)利用企業(yè)本地現(xiàn)有的身份管理平臺(tái)以保護(hù)已有的投資和用戶隱私，實(shí)現(xiàn)云端應(yīng)用的快速、可配置的訪問管理。在這方面，IBM推出了基于云上網(wǎng)絡(luò)安全監(jiān)控和響應(yīng)的產(chǎn)品QRadar on Cloud，可以實(shí)現(xiàn)對(duì)國內(nèi)國外諸多云廠商云上應(yīng)用的實(shí)時(shí)監(jiān)控和應(yīng)急響應(yīng)。

在數(shù)據(jù)保護(hù)方面，將數(shù)據(jù)安全系統(tǒng)Guardium與特權(quán)賬戶系統(tǒng)Secret Server完美整合，通過實(shí)時(shí)數(shù)據(jù)活動(dòng)監(jiān)測(cè)和阻斷/屏蔽功能，同步實(shí)現(xiàn)敏感數(shù)據(jù)保護(hù)和特權(quán)賬號(hào)管理。Guardium探針技術(shù)能夠找出受監(jiān)管數(shù)據(jù)和數(shù)據(jù)庫中的漏洞以降低風(fēng)險(xiǎn)，并可以監(jiān)測(cè)到進(jìn)入數(shù)據(jù)庫后臺(tái)進(jìn)行的訪問行為。

在自動(dòng)化響應(yīng)方面，IBM SOAR（ Security Operation & Automation Response）采用智能、統(tǒng)籌且自動(dòng)化的方式在一個(gè)平臺(tái)上無縫協(xié)作，抵御攻擊。

目前，SOAR是業(yè)界第一個(gè)人工智能響應(yīng)平臺(tái)，也是目前第一個(gè)Gartner所定義的能夠?qū)κ录M(jìn)行自動(dòng)快速編排和響應(yīng)的端到端平臺(tái)?；诖耍琁BM還推出了業(yè)界第一個(gè)導(dǎo)入AI技術(shù)的自動(dòng)響應(yīng)產(chǎn)品Resilient。Resilient能夠使得所有流程實(shí)現(xiàn)自動(dòng)化，并實(shí)現(xiàn)所有發(fā)生事件的自動(dòng)響應(yīng)，這個(gè)過程并不需要人工的介入。

陳文豐提到，IBM的解決方案不只可以跟自己的安全運(yùn)維平臺(tái)結(jié)合，也可以跟友商的安全運(yùn)維平臺(tái)結(jié)合。在這個(gè)過程當(dāng)中，無論是部署Qradar，還是Resilient，IBM都建議首先部署安全運(yùn)維平臺(tái)SIEM，因?yàn)檎w的威脅管理，業(yè)內(nèi)公認(rèn)的步驟是威脅洞察、威脅預(yù)防、威脅檢測(cè)、威脅響應(yīng)和威脅恢復(fù)。SIEM平臺(tái)更聚焦威脅的檢測(cè)，而Resilient是專注于事中、事后的響應(yīng)，所以SIEM平臺(tái)和安全響應(yīng)平臺(tái)的結(jié)合其實(shí)是最好的。

最后，陳文豐表示，IBM在全球擁有大量的實(shí)踐經(jīng)驗(yàn)，包括在軟件、硬件以及執(zhí)行、實(shí)施及運(yùn)維方面的豐富經(jīng)驗(yàn)。IBM希望將這些經(jīng)驗(yàn)和解決方案帶到中國市場(chǎng)，可以幫助中國企業(yè)用戶構(gòu)建起高效的安全防護(hù)體系。