通則不痛!IBM用開源技術打通云安全的“數據血栓”
責編:gltian |2019-12-23 15:39:40隨著企業數字化轉型的深入,越來越多的企業應用和數據分布在公有云、私有云和本地系統的異構環境中,保護這些日益支離破碎的 IT 基礎設施和數據對于企業的安全團隊來說是個艱巨的挑戰;與此同時,“安全工具過剩” 也導致企業安全分析和安全運營的難度和成本不斷上升,而 IBM 的 Cloud Pak for Security 正是瞄準了這個痛點。這一次,IBM 一次性脫手飛出兩個殺手锏:一個是跨云跨平臺跨工具且無需移動數據源的 “吸星大法”,另一個是開放開源的 “生態自信”。
云安全一直是一個很重要的議題,IBM 商業調查報告顯示 85% 的客戶在使用多云環境,另外,98% 的受訪者客戶在未來三年不只采用多云環境,他們還會采用混合云環境。在多云跟混合云的時代里,企業面臨著上云過程中產生的數據、應用、開發,包括數據的安全等諸多挑戰。很多知名企業購買多種云安全工具保護數據,但是安全工具之間相互獨立,各類風險使企業上云愈加復雜化。
IBM 近期發布了 Cloud Pak for Security,系統無需從原始數據源移動數據而能連接任意安全工具、云和本地部署。這是一次開拓性的創新。安全牛采訪了 IBM 大中華區安全事業部總經理陳文豐和 IBM 大中華區安全事業部技術總監張紅衛。
IBM 大中華區安全事業部總經理 陳文豐
企業上云困境
企業在上云過程中遇到過,可能同時購買使用幾十個工具和解決方案, 產生大量的日志,安全管理人員能否有效的處理日志里的告警?相當一部分的答案是沒有,原因是:
首先,數據量龐大,安全管理人員過少;
其次,日志數據中噪音量太多,無法在海量數據里確認真正威脅。
目前安全廠商推出的解決方案 SIEM,收集日志數據,通過關聯分析發現真實告警信息和真正威脅。當 SIEM 發現安全事件時,響應的第一步是對其進行調查,安全分析人員發現,SIEM 平臺中數據不夠,需要外界情報、第三方數據等協同完成調查分析。調查時可能還會涉及HR信息等多種數據源輔助調查,得出結論。如果把需要的數據全都傳給SIEM,成本較高,大多 SIEM 按照存儲或EPS方式計費,而且數據存儲壓力相當大。
基于現在市場上安全廠商的解決方案,IBM 發布了不移動數據即可完成調查、分析的產品——Data Explorer (聯邦搜索與調查) ,它是 IBM Cloud Pak for Security 的功能之一。該平臺包括了用于搜索威脅的開源技術,能夠幫助加速自動響應網絡攻擊,而且可在任何環境中運行。它能夠跨任何安全工具和跨不同云來搜索威脅,幫助組織作出基于風險的決策。
Cloud Pak for Security 跨多平臺搜索
2019 年國內發布的等保 2.0 已經于 12 月 1 日正式實施,整個信息安全行業將得到重要的邊際改善。等保 2.0 的實施范圍也擴大到了基礎的網絡設備,所要保護的對象是從工業安全、云安全、大數據安全多維度的保護。IBM 看到整個國內外的變化,并積極應對變革。
Cloud Pak for Security 高效利用、合理調用安全工具,通過開源的技術可以跟所有的安全工具實現互通、互聯。實現威脅分析、威脅狩獵的功能。產品應用容器化技術,提供自動化響應能力,解決上云面臨的挑戰。
IBM 大中華區安全事業部技術總監 張紅衛
Cloud Pak for Security 三項初始功能
01、在不移動數據的情況下獲得安全洞察
為進行分析而傳輸數據會帶來額外的復雜性。IBM Cloud Pak for Security 能夠連接所有數據源,以發現隱藏的威脅,從而做出更好的基于風險的決策,而無需移動數據。利用 Cloud Pak for Security 的 Data Explorer 應用,安全分析師能夠非常順利的跨任何安全工具或者跨云來搜索威脅。如果沒有此功能,安全部門將不得不在每一個單獨的環境中手動搜索相同的威脅指標。Cloud Pak for Security 是業界第一款不需要將數據遷移至平臺即可進行分析以支持此類搜索的工具。
02、自動的快速響應安全事件
IBM Cloud Pak for Security 在統一的界面下把安全工作流與自動規程連接起來,這樣,安全部門能夠更快地對安全事件做出響應。該平臺支持企業編排數百種常見安全場景的響應,指導用戶完成整個過程,用戶能夠迅速訪問適用的安全數據,使用合適的工具。IBM 的安全編排、自動化和響應功能與 Red Hat Ansible 相集成,提供了更多的自動化規程。通過規范整個企業的安全流程和活動,企業能夠更快、更有效地做出響應,同時為自己提供了加強監管審查所需的信息。
03、可在任何地方運行,開放的安全連接
IBM Cloud Pak for Security 可以輕松地安裝在任何環境中,無論是本地、私有云還是公有云。它提供的統一界面簡化了操作,由預集成了 Red Hat OpenShift 的容器化軟件組成——OpenShift 是行業最完善的企業級 Kubernetes 平臺。
IBM 在設計過程中與數十家客戶和服務提供商合作,開發的解決方案解決了遍布整個安全行業的關鍵互操作性難題。Cloud Pak for Security 包括了用于與流行安全工具進行預集成的初始連接器,這些工具來自 IBM、Carbon Black、Tenable、Elastic、BigFix、Splunk,以及包括 IBM 云、AWS 和微軟 Azure 在內的公有云提供商。該解決方案建立在開放標準上,因此它可以在企業的整個基礎設施上連接其他安全工具和數據。
Enterprise Strategy Group (企業戰略集團)資深首席分析師 Jon Oltsik 評論說:
企業已迅速采用新的安全技術來應對最新的威脅,而現在卻不得不使用數十種相互獨立的工具,這些工具并不總是能很好地協同工作。業界應轉向更開放的技術和統一平臺來幫助客戶解決這個問題,這些技術和平臺可以充當安全單點工具之間的 ‘粘合劑’。IBM 的方法符合這一需求,并有可能把安全堆棧的每一層整合到一個簡化的單一界面中。
為進一步加速業界向開放安全的遷移,IBM 還率先實施了開源項目,使安全工具在整個安全生態系統中能夠自然的協同工作。此前,IBM 同全球二十幾家安全廠商成立了 Open Cybersecurity Alliance(開放網絡安全聯盟),該聯盟旨在開放云代碼技術,達到開放世界里有效的整合,以此完成不移動數據實現搜索和自動化響應。開放網絡安全聯盟正在共同研究開放標準和開放源代碼技術,以實現產品的互操作性,避免安全行業的供應商鎖定問題。
安全市場持續發力
從 IBM 此次發布 Cloud Pak for Security,可以發現該平臺不僅能關聯各個安全工具之間的數據,還可以良好完成云支撐,推進著安全管理的變革。IBM 還表示在過去的兩年中已推出態勢感知平臺——QRadar,并在中國推行不同行業的企業免疫力檢查,例如銀行業、金融、保險、證券、汽車業、高科技、制造業、房地產業、餐飲業。
目前中國企業安全問題主要體現在兩個方面:第一,安全的意識相對薄弱;第二,預算不夠充足。
調查顯示企業大部分問題還是在偏硬件、防火墻,沒有一個整體的安全梳理,即使態勢感知平臺都不是做的那么完整,所以他們并沒有發覺問題。如何從海量數據中挑出真實威脅,對企業的運營是至關重要的。盡管國內等保 2.0 以后,相信大部分企業會重視安全的防范。大多數組織認為購買部署硬件防火墻即可解決問題,其實離安全防護還有一定距離。企業購買使用幾十項安全工具,但仍受困于安全人才短缺,組織更加需要將各平臺之間的數據完成關聯,便于進行管理和審計。
可以發現產品和服務均是相輔相成,今年 IBM 在安全業務的領域增長較為明顯。因等保 2.0 的實施,逐漸會有很多合作伙伴一同發展。希望 IBM 的產品能夠協助國內所有客戶,更好的符合法律法規的要求。關于安全托管服務,IBM 在全球都有做安全托管,這個模式在國外非常普遍,而且很多客戶企業是因為人才的短缺。在中國IBM選擇和國內伙伴展開合作,謀求中國市場更加良好的發展。
后記
企業上云帶來了軟件開發部署模式上的革新,但依然面臨諸多挑戰,信通院的《2018年中國混合云發展調查報告》數據顯示,受調查企業有 22.9% 存在資源調配能力及效率低的問題,而多種安全工具的使用難以避免的使安全管理的 “門檻” 升高。此次 Cloud Pak for Security 的發布,首創了關聯搜索功能,可以跨安全工具和多種云平臺收集數據。從另一種角度看,IBM 發布自動化的關聯搜索類產品,加強了威脅告警速率,開放更為安全的連接。