法国作家维克多·雨果说,“进步,意味着目标不断前移,阶段不断更新,它的视野总是不断变化的。”用这句话来审视IBM的安全业务发展轨迹,或许也是恰当的。
在混合多云时代,IBM安全业务的进步、目标的前移与阶段的更新,恰恰反映了IBM与时俱进、不断变化的视野——这从其近期发布的Cloud Pak for Security中,应该可以得到很好的印证。
联邦搜索和调查——不移动数据即可获得安全洞察
在混合多云环境下,数据安全及其保护的重要性已毋庸置疑,大量的报告和事实都证明了这一点。同时,这也是各种类型的云公司关注的焦点。
IBM在这方面当然也会有自己的解决方案,比如Guardium和Secret Server,其领先的探针技术,可以有效侦测在云上乱窜的数据;还有SIEM平台QRadar和针对IAM的身份认证Cloud Identity;此外,像变形金刚一样的移动式X-Force Command Center等,都可以很好地侦测各种威胁并告警和处理。
IBM大中华区安全事业部总经理 陈文丰
但在IBM看来,未来仍有很大的发展空间。“比如,很多的企业过去在安全方面做了很多投资,从十几家知名的企业买了很多安全产品,但彼此不联通,而且还可能存在漏洞。” IBM大中华区安全事业部总经理陈文丰认为,这给企业的云安全管理带来了巨大挑战。
IBM发起的一项全球性调查也证明了这一点。在该项调查中,近一半的受访者 (48%) 表示,企业因为部署了太多独立的安全工具,最终增加了运营复杂性,降低了对整体安全状况的可视性。
基于此,IBM在国外和20多家安全厂商共同成立了OCA(Open Cybersecurity Alliance,开放网络安全联盟),希望通过建立统一的标准、统一的协议,采用开源的技术,让联盟之间、成员之间进行数据和信息交换,甚至是分享洞察,并使企业在安全工具方面的投资发挥出应有的价值。
“IBM最新发布的安全产品Cloud Pak for Security就是利用了开源工具STIX Shift开源工具,采用了标准协议,实现了与所有安全工具的互动,具备了即时威胁搜索、侦测和狩猎三大功能。”陈文丰说,在OCA联盟中,大家都可以利用这些开源的协议和工具,通过开箱即用的方式即可进行集成,而不需要开放API。
事实上,这也是Cloud Pak for Security具备的第一个重要能力,即联邦搜索与调查 Data Explorer(Federated Search & Investigation)。从表面上看,它只是该产品的一个能力,但其背后则体现了IBM的宏观视野和与时俱进的安全观。
众所周知,为了在海量数据中区分出真正的威胁,业界纷纷推出了SIEM解决方案。如前所述,IBM也有自己的SIEM平台,但当SIEM发现某个威胁事件的时候,不可能第一步就采取行动,而是要针对这个威胁进行调查,此时就会发现SIEM中的数据量根本不够,必须要用更多的数据源来辅助调查。
“解决这一问题的思路之一是把所有数据都放到SIEM中进行调查,其二是在不移动数据的情况下进行调查、分析,显然,前者将导致大量的成本增加、存储压力巨大。” IBM大中华区安全事业部技术总监张红卫说,联邦搜索与调查秉持的就是第二种思路——不移动数据,只是在数据之间建立连接,跨安全工具或云来搜索威胁,进而获得安全洞察。
IBM大中华区安全事业部技术总监 张红卫
目前,Cloud Pak for Security也是业界第一款不需要将数据迁移至平台即可进行分析并支持此类搜索的工具,其开创价值不言而喻。
安全编排和自动化响应——引领国内外安全发展趋势
如何通过自动化部署处理网络攻击,也是IBM安全业务的视角。这里谈到的自动化是指启用安全技术,在发现与遏制网络攻击或数据泄露事件的过程中增强或取代人为干预活动。这些技术依赖于人工智能、机器学习、分析以及编排能力。
IBM一项有关自动化部署的调查活动,证明了该部署的重要性——充分利用自动化技术的受访企业,在处理网络攻击等多个方面的自我评分均高于整体样本,包括网络攻击防御能力、检测能力、响应能力和遏制能力等。那些充分部署安全自动化解决方案的企业,平均节省了150 万美元的数据泄露总成本;而未部署自动化技术的企业在这方面的成本要高出很多。
众所周知,安全信息和事件管理平台(SIEM)是企业网络安全的大脑,虽然 SIEM 被金融、医疗和大型企业等安全运维团队视为检测和管理威胁必不可少的工具,但成功的威胁管理需要快速的事件响应,以帮助企业能够快速修复威胁,并加强其安全状态以防止数据泄露。
这一观察视角在IBM全新推出的Cloud Pak for Security中自然有所体现,即安全编排和自动化响应(Security Operation & Automation Response,SOAR)。用陈文丰的话说,“这是为了顺应国内外的整体安全防护趋势,帮助用户提升事件响应自动化水平,应对上云过程中面临的人才和技能挑战。”
在IBM看来,对于企业而言,SOAR 平台因为人工智能的导入,能够显著提升企业事件响应自动化水平,同时 SOAR 还可减轻安全分析师的手动工作量,并提高他们优先处理最紧迫威胁和快速修复的能力,进而帮助企业解决安全人才短缺的问题。
“SOAR 是Cloud Pak for Security具备的第二个能力,它集成了IBM的Resilient产品,包括三个平台,即Case管理、自动化响应和威胁情报平台。”张红卫说,IBM的SOAR与业界同类产品相比具有突出优势,比如在Case管理的时候有一个Knowledge Base;针对不同的安全事件有一个响应的Template,可以基于这个模板来定制公司的响应流程。
除此之外,该产品集成到Cloud Paks平台上并实现容器化以后,还具有了额外价值——IBM的安全编排和自动化响应功能可与Red Hat Ansible相集成,并提供更多的自动化规程,企业能够更快、更有效地做出响应,同时为自己提供加强监管审查所需的信息。
陈文丰说,利用联邦搜索与调查Data Explorer完成搜索、侦测并找出根源后,接下来就进入响应阶段,以前主要是人工响应,实现自动化响应并与Red Hat Ansible集成后,局面将会大为不同。“假设公司有1万台电脑,其中有100台电脑受到了某种类型的病毒攻击,启动自动化流程后,通过Ansible就可以自动把补丁打上去,而且可以精准地打到那100台电脑上,其好处已经不局限于企业内部上云,还包括公有云、私有云等。”
混合多云——容器能运行的环境都可安装部署
混合多云是IBM整个公司层面的转型方向,也是安全产品研发需要具有的境界和视野,在Cloud Pak for Security上当然也应该得到体现。
关于混合多云的发展态势,已无太多着墨的必要。根据IBM商业调查的调查报告,85%的客户都在使用多云环境;另外,98%的受访者客户在未来三年不只采用多云环境,他们还会采用混合云环境。
需要提及的是,在这样明朗的态势下,48%的用户没有有效的管理工具,面临着上云过程中产生的数据、应用、开发、安全等诸多挑战。也正因为此,IBM在不久前发布了经优化后可在红帽OpenShift上运行IBM Cloud Paks 软件组合,为企业上云提供各项能力,这些软件和服务将在IBM混合多云的平台上提供。
继IBM Cloud Paks有关应用、数据、集成、自动化、多云管理等五大解决方案发布之后,第六大解决方案Cloud Pak for Security隆重登场,同样架构在红帽OpenShift的平台之上,只要容器能运行的环境都可以安装部署,体现了IBM对客户在混合多云环境下数据安全问题的重视。
“当企业把关键业务迁移到混合云环境后,数据会分布到不同的工具、云和IT基础设施中,造成的漏洞威胁会更大,安全部门的维护复杂程度将大大增加,成本也会非常高昂,甚至需要手动操作。”陈文丰说,Cloud Pak for Security发布后,为建立混合多云环境下更加连接的安全生态系统奠定了基础。
事实上,在混合多云的环境下,用户也确实需要这样的工具。尽管他们可能部署了公有云、私有云,甚至是混合多云,但并不希望由此增加管理难度,购买更多的安全管理工具,而是希望用一个平台、一套工具、一种方式保护他们的数据安全。而Cloud Pak for Security提供的恰恰就是这样一个管理混合多云环境的安全解决方案。
在这些开放灵活的构建模块上开发的Cloud Pak for Security支持跨任何云或者本地环境,轻松的实现“容器化”部署。随着企业不断添加新的云部署和迁移,Cloud Pak for Security可以轻松地适应这些新环境并支持不断扩展——客户甚至能够将敏感和关键任务工作负载放到云中,在中心安全平台上持续监视这些负载并进行控制。
当然,IBM的安全视野并不只有混合云时代的技术和产品,还包括安全合规,比如欧盟推行的GDPR和中国已于本月1日正式实施的等保2.0,以及由此带动的广阔市场。IBM认为,等保2.0实施后中国企业会更加重视安全防范,而符合要求的IBM产品机会将会很大。事实上,近两年IBM的安全业务每个季度都在增长,也是国内 AIRO(Analytics, Intelligence, Response, Orchestration)市场外企占有率最高的厂商。
除了产品之外,IBM的视野里还包括服务。受限于安全人才的短缺,企业将需要更多安全托管服务,这一模式在国外也非常普遍,IBM也十分看重这一市场。为此,Cloud Pak for Security还为托管安全服务提供商(MSSP)提供了模型,使这些提供商能够大规模的高效运营、连接安全孤岛并优化其安全流程。企业还可以使用各种IBM安全服务,例如,按需咨询、定制开发和事故响应等。
