“過去的這一年,美國或歐洲發(fā)生了很多包括數(shù)據(jù)泄露在內(nèi)的網(wǎng)絡(luò)攻擊事件。在大中華區(qū)也有很多泄漏事件,外在環(huán)境告訴我們現(xiàn)在企業(yè)越來越重視安全,因?yàn)橛泻芏嗟钠髽I(yè)遭受網(wǎng)絡(luò)的攻擊并不是在遙遠(yuǎn)的美國、歐洲,而是在離我們非常近的地方。這些客戶遇到了網(wǎng)絡(luò)攻擊,其實(shí)都在跟IBM做交流,想要了解IBM更先進(jìn)的安全技術(shù)。”IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐說。
IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐
近年來,網(wǎng)絡(luò)安全事件層出不窮,隨之而來的攻擊手段越來越多元化,幾乎每天都在發(fā)生成千上萬次的網(wǎng)絡(luò)攻擊,病毒的變種也達(dá)到了百萬級別,各種新型勒索軟件讓企業(yè)疲于應(yīng)對。攻擊者不再滿足于在傳統(tǒng)的服務(wù)器或終端等硬件上做文章,而是在網(wǎng)絡(luò)環(huán)境的薄弱環(huán)節(jié)植入惡意代碼,進(jìn)而去發(fā)起更多的連鎖感染。與此同時,更多的安全風(fēng)險開始在云端顯現(xiàn),錯誤配置、漏洞侵入等問題讓不少企業(yè)蒙受了至少數(shù)百萬美元的損失。
作為全球最大的企業(yè)網(wǎng)絡(luò)安全供應(yīng)商,IBM在世界范圍內(nèi)擁有9個安全運(yùn)維中心,每天監(jiān)控著700億次以上的安全事件,為大中型企業(yè)提供著全域的安全運(yùn)維服務(wù),這樣的全球視角使得IBM可以將各地實(shí)時發(fā)生的安全事件共享給其他地區(qū),以便在第一時間做好防御工作。陳文豐談到:“過去兩年,我們深耕大中華區(qū),取得了很好的進(jìn)展,同時整個的大環(huán)境也在改變,過去兩年大環(huán)境改變非常大。”
環(huán)境的巨大改變,云主機(jī),并沒有得到應(yīng)有的重視。一項由Ponemon Institute代表IBM開展的調(diào)查顯示,盡管調(diào)研表明企業(yè)若能在30天之內(nèi)快速有效地遏制網(wǎng)絡(luò)攻擊,平均可以節(jié)省超過100萬美元的數(shù)據(jù)泄露總成本,但遺憾的是,絕大多數(shù)的受訪企業(yè)仍未針對網(wǎng)絡(luò)安全事件做好恰當(dāng)?shù)臏?zhǔn)備工作,77% 的受訪者表示,他們并未在整個企業(yè)中統(tǒng)一實(shí)施網(wǎng)絡(luò)安全事件響應(yīng)計劃。
即便是已經(jīng)實(shí)施此類計劃的受訪企業(yè)中,有超過一半 (54%) 表示他們未對計劃進(jìn)行定期測試,這將使得這類企業(yè)無法在攻擊發(fā)生之初,對復(fù)雜流程和協(xié)調(diào)工作的管理做好必要的準(zhǔn)備。不利的影響在于,《通用數(shù)據(jù)保護(hù)條例》(GDPR)的出臺讓數(shù)據(jù)隱私和相關(guān)規(guī)范上了一個相當(dāng)高的層級,而網(wǎng)絡(luò)安全團(tuán)隊在實(shí)施響應(yīng)計劃時所遇到的阻礙,導(dǎo)致GDPR并沒有起到如期效果。近半數(shù)的受訪者 (46%) 表示,雖然 GDPR 正式實(shí)施已近一年,但企業(yè)尚未做到完全合規(guī)。
陳文豐透露,IBM在服務(wù)全球客戶的過程中,看到了這些客戶主要關(guān)注兩個方面的議題。第一個是應(yīng)急響應(yīng),IBM的解決方案可以將自身的安全運(yùn)維平臺與外部方案打通;第二個是引入了AI技術(shù),使得安全人員的決策時間大幅縮短,讓系統(tǒng)可以高度自動化的運(yùn)轉(zhuǎn)。要知道,只有不到四分之一的受訪者表示,他們的企業(yè)在事件響應(yīng)流程中大規(guī)模使用自動化技術(shù),如身份管理和身份驗(yàn)證、事件響應(yīng)平臺以及安全信息和事件管理(SIEM)工具等。
2018年數(shù)據(jù)泄露成本調(diào)研表明,自動化工具的部署和使用仍然是企業(yè)增強(qiáng)網(wǎng)絡(luò)彈性能力時有待關(guān)注的重要舉措。那些充分部署安全自動化解決方案的企業(yè),平均節(jié)省了150萬美元的數(shù)據(jù)泄露總成本;而未部署自動化技術(shù)的企業(yè)在這方面的成本要高很多。此外,那些充分利用自動化技術(shù)的受訪企業(yè),在處理網(wǎng)絡(luò)攻擊的多個方面的自我評分均高于整體樣本,包括網(wǎng)絡(luò)攻擊防御能力(69% vs. 53%);檢測能力(76% vs. 53%);響應(yīng)能力(68% vs. 53%)和遏制能力(74% vs. 49%)。
IBM QRadar SIEM可以將分散在整個網(wǎng)絡(luò)中的數(shù)千個設(shè)備、終端和應(yīng)用中的日志事件和網(wǎng)絡(luò)流數(shù)據(jù)整合起來,結(jié)合Sense Analytics引擎,對這些數(shù)據(jù)實(shí)施規(guī)范化和關(guān)聯(lián)處理,并確定需要調(diào)查的安全攻擊。QRadar SIEM能夠支持主流安全廠商的軟硬件方案,并且具有高度的自動化水平。例如IBM提供了EUBA和規(guī)則引擎等AI模塊,所有的事件進(jìn)來以后可以簡化、判斷、過濾,進(jìn)行關(guān)聯(lián)性的分析,最大程度削減安全人員的決策成本。
例如,directadmin漢化,安全分析人員每天都會收到大量告警,QRadar是以秒計收到多少安全事件的。很多安全事件發(fā)生時,誘發(fā)點(diǎn)可能是一些重復(fù)行為,例如有人試圖暴力破解密碼,安全人員看到的告警可能是有人登陸密碼錯誤,而背后的誘因或許是一臺或多臺服務(wù)器、防火墻、軟件認(rèn)證等等,信息頗為繁雜。而SIEM平臺所做的,首先就是簡化大量的重復(fù)信息,根據(jù)規(guī)則將告警“翻譯”成直觀的安全語言。
