【原】全球信息安全产业剧变，IBM安全率先发布三大战略、三个“黑科技”

IBM X-Force Command Center（网络靶场、演练场）

导语

从全球500强企业对网络攻击的应对措施看，目前有两个明显趋势：一是建立应急响应体系；二是AI的导入。

全球信息安全产业正面临着前所未有的技术挑战。

一方面，云计算、大数据、人工智能、物联网、移动互联网等新兴技术的快速发展，使企业用户内部的传统IT架构发生巨大变化，企业原有的安全身份认证技术、安全设备和安全策略，已无法支撑新技术、新应用的发展，数据泄密、网络攻击等信息安全事件频发，企业对技术更先进的信息安全产品和服务的需求逐步上升。

另一方面，新技术的快速发展也催生信息安全产品朝着更加智能化和集成化的程度发展，比如在安全产品中引入人工智能（AI）技术，以辅助安全人员提高安全事件处理效率和决策速度。

在这场由新技术催生的信息安全产业大变革中，企业如何有效应对网络攻击？信息安全产品和服务将如何演变？ 5月9日，IBM大中华区安全事业部总经理陈文丰分享了全球企业面临的信息安全挑战、IBM安全推出的应对方案、产品规划和核心优势，让我们一窥全球最前沿的信息安全产品与服务趋势。

新技术催生信息安全新挑战

企业用户正面临信息安全方面的种种新挑战。

随着云计算业务的快速发展，越来越多企业将业务搬至云端，网络犯罪分子试图挖掘云基础设施的各种漏洞，以完成网络攻击，因此，云安全成为了企业普遍面临的挑战。调研机构Forrester预计，到2020年全球公有云服务的市场规模将升至2360亿美元，而与之伴随的是全球云安全解决方案的支出将达到35亿美元，年增长率高达28%。

随着数据资产的快速增长，企业数据安全、隐私保护、数据合规问题越发凸显。尽管国内网络安全法、欧盟GDRPR（《通用数据保护条例》）相继颁布，但数据泄露事件仍层出不穷。据陈文丰介绍，在IBM近期开展的一项调研中，78%的受访者表示企业的数据保密能力极为重要。只有20%的受访者完全信任与之开展业务的企业有能力保护其数据隐私。

IBM大中华区安全事业部总经理陈文丰

人工智能（AI）的逐渐成熟，也使黑客能够利用机器学习等技术手段掌握攻击目标的数据库规则与防护策略，从而探测网络和系统中的漏洞。以往这些工作需要长时间的人工模拟测试与经验积累才能完成，而人工智能（AI）给黑客攻击提供了高效的技术手段，降低攻击成本。

安全人才的短缺也是全球包括中国在内很多企业的严峻挑战。很多企业购买了很多安全工具，包括硬件、软件、服务，却没有有效的安全人员来支撑这些安全工具。IBM最近发布的一项全球调研报告显示，高达 75% 的受访者表示，他们较难或很难招聘到并留住高技能的网络安全人员。许多受访者谈到他们缺少合格人才，无法有效维持和检验事件响应计划，网络安全团队普遍存在10-20 人的缺口；网络安全岗位的空缺从2018年的100万个增加到2020年底的150万个。

这使得智能化、自动化的安全运维成为企业的迫切需求,但形势不容乐观。由IBM发起的2018年数据泄漏成本调研显示，目前全球70%的企业都尚未实现自动化，那些充分部署安全自动化解决方案的企业，平均节省了150万美元的数据泄露总成本。

面对上述种种挑战，企业在遭受网络攻击发生之后，更是缺乏有效的安全应急响应体系,导致核心系统宕机时间过长而造成巨大的经济损失。

企业如何应对新形势下的安全挑战？

全球500强企业应对之道与IBM安全的三大战略

陈文丰表示，从全球500强企业对网络攻击的应对措施看，目前有两个明显趋势：

一是建立应急响应体系。很多企业虽然搭建了某种程度的安全运维平台，但安全系统不可能无懈可击，有时候黑客会绕开防御机制（或者攻击者就来自系统内部），所以在遭受攻击时，如何及时响应、保证系统快速恢复才是当前重点考虑的问题。

二是AI的导入。随着黑客攻击手段越来越智能化，如何用AI对抗AI也成为信息安全行业的当下所需。AI的导入可以缩短安全人员做判断的时间，也避免安全人员被挖墙脚之后，没有人去维护的风险。

针对当前企业用户面临的信息安全新挑战，陈文丰表示，IBM安全发布三大战略：云安全（Cloud Security）、人工智能响应平台SOAR（ Security Operation & Automation Response）和数据保护，以帮助企业化解挑战。

在云安全（Cloud Security）方面，IBM从三个关键领域全面保障云安全：安全的身份及网络（Secure identity and networks）、数据和工作流程保护（Protect data and workloads）、威胁应对与合规管理（Manage threats and compliance）。

举例来说，只要企业使用两种以上的SAAS服务，都可以引入IBM Cloud Identity，以简化用户访问，进行多重身份验证、保障安全，还可以利用企业本地现有的身份管理平台以保护已有的投资和用户隐私，实现云端应用的快速、可配置的访问管理。

IBM人工智能响应平台SOAR则是业界第一个人工智能响应平台，也是目前Gartner所定义的“第一个”能够对事件进行自动快速编排和响应的端到端平台，它采用智能、统筹且自动化的方式在一个平台上无缝协作，快速抵御攻击。

IBM人工智能响应平台SOAR更是在波士顿建立全球首个商业性质的安全模拟设施(IBM X-Force Command Center)——网络靶场&演练车，可以让安全人员和业务领导亲身体验基于安全运营中心 (SOC) 的模拟环境; 甚至与经验丰富的事件响应人员、渗透测试人员、设计思维专家和 IBM 高管会面，共同制定和优化网络安全和事件响应战略。

举例来说，在2017年温布尔登网球赛150周年之际，借助IBM人工智能响应平台SOAR，温布尔登网球赛的威胁响应速度从1小时变为1分钟，安全威胁调查速度实现60倍提升，在数秒内完成对结构化数据和非结构化数据的理解、推理和学习；通过将简单任务自动化，让分析师从SOC监测到的海量事件中解放出来，专注应对关键威胁并进行决策，提升威胁响应速度，实现了温布尔登网站及品牌零数据泄露。

在数据保护方面，IBM推出两个主打产品：数据安全系统Guardium与特权账户系统Secret Server,并使二者完美整合。IBM Guardium主要是解决整个数据库安全与合规／审计问题，它可以通过网络数据的采集、分析、识别，实施监控数据库中后台的所有访问操作。通过与特权账号管理产品Secret Server的结合，IBM安全系统还可以用来管理企业内部的一些特权账号。

所谓特权账号，就是企业内部管理数据库的人一般都拥有一些特别的权力，比如特权账号的密码及使用等，通过对这些账号的管理以防范内部人员所造成的数据泄露。比如广为人知的Facebook数据泄露事件，其中一例就是因为两名员工利用测试应用收集用户私密数据，并在用户消息流中插入广告，导致受害用户达6000多万。

面向未来的三个“黑科技”

面对市场上同类安全产品，差别在于，谁的安全产品能够更快速侦测到真正的网络攻击，然后更快地进行响应和提供防御措施，这都需要先进的安全技术和方案做支撑。陈文丰表示，目前IBM安全业务提供三个前沿“黑科技”，支撑着IBM安全三大战略的落地。

首先，引入人工智能Watson实现安全运维自动化。

为了加强自身的安全响应能力，IBM于2016年收购了事件响应领域的领先者Resilient Systems，并注入Watson强大的认知能力，打造人工智能响应平台SOAR。

从威胁的预防、侦测、响应三步骤上来说，Resilient更像是一款事中、事后的解决方案，它并不试图阻止攻击，而是在企业遭遇攻击后，向客户提供一套应急预案，包括全方位管理网络漏洞响应，有效地发现、跟踪、响应和报告安全事件；还可以基于于公司的具体情况给予具体建议，比如通知正确的执法人员，联系保险公司，关闭受影响的工作站等。

据陈文丰介绍，一般来说，企业搭建一个安全运维平台，需要找有3-5年有经验的安全专家。导入IBM的AI技术，只需半年到一年，企业就可上手。

传统安全运维的做法是，当100台机器遭受攻击时，安全人员去判断这100台是真还是假，然后再派给某位工程师，工程师再去做判断，之后可能启动某个程序去打补丁，这是一种完全人力的操作方式。而通过与SIEM平台的集成，Resilient System可以快速判断这100台机器里可能有50台是真正有效的攻击，然后自动启动打补丁的程序。

至于IBM人工智能平台如何辅助安全人员来快速启动安全响应？IBM大中华区安全事业部安全产品架构架构师刘璐莹举了一个例子：

安全分析人员每天都能收到大量告警（QRadar以秒计收到多少安全事件），里面有很多重复信息，比如某个试图暴力破解服务器的密码，安全人员看到的是告警，还有是登陆密码错误。安全人员可能会被这些大量信息淹没。SIEM平台则可以帮分析人员去简化，帮你整理这一台机器在5分钟之内收到1000条登陆错误的告警中抽取一条，整理好，再集成一些安全规则在里面，就会判断出这样一个行为就是暴力破解的行为，它翻译成你可以理解的安全语言。

在报警时还会加入权重值。所有的事件判断会分成三个角度：第一个角度是严重级别，第二个角度是确定的程度，第三个是业务的影响。把这些加进去供安全人员判断。假如一台重要的核心ERP服务器在5分钟内遭受了1000条的暴力破解攻击，Level 1的人看到信息觉得需要人工处理就把这个转给Level2，Level 2的人看到信息就会迅速采取行动，譬如先关掉服务器，然后再开展后续调查。

“IBM人工智能响应平台SOAR内建了很多规则引擎，所有事件进来后可以很快速地简化、关联分析、判断过滤，这是很多SIEM平台做不到的，也是自动化运维平台的价值所在。”陈文丰说到。

其次，“探针”技术全面保障数据安全。

区别于大多数的数据解决方案，IBM Guardium数据库方案中的 “探针”技术，可以找出所有受监管数据和数据库中的漏洞，包括特权用户的本地访问，以降低数据泄露的风险。

“就像是进出大楼一样，市场上大多数方案都只知道谁进出了大楼，但是这个人进入大楼后进入了哪个楼层，做了哪些事情，有哪些活动轨迹，他们没办法知道。而IBM探针技术可以真正知道他在数据库里到底做了什么样的访问。”陈文丰介绍说。

Guardium探针技术与特权账户系统Secret Server的完美整合，既可以通过实时数据活动监测和阻断/屏蔽功能，也同步实现敏感数据保护和特权账号管理，既保护“王冠上的明珠”，又保护“通往王国的钥匙”。“不管是来自外部的攻击，还是内部人员的疏忽，都能有效保护企业数据。”陈文丰说到。

其三，打造全球首个移动式安全响应中心。

IBM移动式的X-Force Command Center

今年，IBM导入了移动式的X-Force Command Center（网络靶场、演练场），就是把模拟中心的高科技装备全都“搬”到卡车中，包括所有的软件、硬件和工作人员，这辆卡车可以开到任何一个可能被攻击的大型活动或赛事现场，实现实时监控和响应。

“这也是全球第一个移动式的安全响应中心。像变形金刚一样，车子里面布置了很多高科技的武器。”陈文丰说到。

在获取最新网络威胁信息方面，IBM X-Force拥有全球规模最大、涉及面最广的安全情报数据库，掌握了大量最新的网络威胁信息，并以报告的形式定期向业界公布。目前，IBM在全球有9个安全运维中心为很多大中型企业提供安全的运维服务，每天监控700亿次以上的安全事件。

版权声明：本文版权归《OBT商业科技观察》所有，未经允许，任何单位或个人不得转载，复制或以任何其他方式使用本文全部或部分，侵权必究。