在混合多云的時代，看 IBM 的安全視野

　　法國作家維克多·雨果說，“進步，意味著目標(biāo)不斷前移，階段不斷更新，它的視野總是不斷變化的?！庇眠@句話來審視 IBM 的安全業(yè)務(wù)發(fā)展軌跡，或許也是恰當(dāng)?shù)?。在混合多云時代，IBM 安全業(yè)務(wù)與時俱進、不斷變化的視野，從其近期發(fā)布的 Cloud Pak for Security 中，應(yīng)該可以得到很好的印證。

聯(lián)邦搜索和調(diào)查

不移動數(shù)據(jù)即可獲得安全洞察

　　在混合多云環(huán)境下，數(shù)據(jù)安全及其保護的重要性已毋庸置疑，大量的報告和事實都證明了這一點。同時，這也是各種類型的云公司關(guān)注的焦點。

　　IBM 在這方面當(dāng)然也會有自己的解決方案，比如 Guardium 和 Secret Server，其領(lǐng)先的探針技術(shù)，可以有效偵測在云上亂竄的數(shù)據(jù);還有 SIEM 平臺 QRadar 和針對 IAM 的身份認證 Cloud Identity;此外，像變形金剛一樣的移動式 X-Force Command Center 等，都可以很好地偵測各種威脅并告警和處理。

　　但在 IBM 看來，未來仍有很大的發(fā)展空間?！氨热纾芏嗟钠髽I(yè)過去在安全方面做了很多投資，從十幾家知名的企業(yè)買了很多安全產(chǎn)品，但彼此不聯(lián)通，而且還可能存在漏洞?！?IBM 大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐認為，這給企業(yè)的云安全管理帶來了巨大挑戰(zhàn)。

　　IBM 發(fā)起的一項全球性調(diào)查也證明了這一點。在該項調(diào)查中，近一半的受訪者 (48%) 表示，企業(yè)因為部署了太多獨立的安全工具，最終增加了運營復(fù)雜性，降低了對整體安全狀況的可視性。

　　基于此，IBM 在國外和 20多家安全廠商共同成立了 OCA(Open Cybersecurity Alliance，開放網(wǎng)絡(luò)安全聯(lián)盟)，希望通過建立統(tǒng)一的標(biāo)準(zhǔn)、統(tǒng)一的協(xié)議，采用開源的技術(shù)，讓聯(lián)盟之間、成員之間進行數(shù)據(jù)和信息交換，甚至是分享洞察，并使企業(yè)在安全工具方面的投資發(fā)揮出應(yīng)有的價值。

　　“IBM 最新發(fā)布的安全產(chǎn)品 Cloud Pak for Security 就是利用了 STIX Shift 開源工具，采用了標(biāo)準(zhǔn)協(xié)議，實現(xiàn)了與所有安全工具的互動，具備了即時威脅搜索、偵測和狩獵三大功能?！标愇呢S說，在 OCA 聯(lián)盟中，大家都可以利用這些開源的協(xié)議和工具，通過開箱即用的方式即可進行集成，而不需要開放 API。

　　事實上，這也是 Cloud Pak for Security 具備的第一個重要能力，即 Data Explorer(聯(lián)邦搜索與調(diào)查，F(xiàn)ederated Search & Investigation)。從表面上看，它只是該產(chǎn)品的一個能力，但其背后則體現(xiàn)了 IBM 的宏觀視野和與時俱進的安全觀。

　　眾所周知，為了在海量數(shù)據(jù)中區(qū)分出真正的威脅，業(yè)界紛紛推出了 SIEM 解決方案。如前所述，IBM 也有自己的 SIEM 平臺，但當(dāng) SIEM 發(fā)現(xiàn)某個威脅事件的時候，不可能第一步就采取行動，而是要針對這個威脅進行調(diào)查，此時就會發(fā)現(xiàn) SIEM 中的數(shù)據(jù)量根本不夠，必須要用更多的數(shù)據(jù)源來輔助調(diào)查。

　　“解決這一問題的思路之一是把所有數(shù)據(jù)都放到 SIEM 中進行調(diào)查，其二是在不移動數(shù)據(jù)的情況下進行調(diào)查、分析，顯然，前者將導(dǎo)致大量的成本增加、存儲壓力巨大。” IBM 大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)張紅衛(wèi)說，聯(lián)邦搜索與調(diào)查秉持的就是第二種思路——不移動數(shù)據(jù)，只是在數(shù)據(jù)之間建立連接，跨安全工具或云來搜索威脅，而獲得安全洞察。

　　目前，Cloud Pak for Security 也是業(yè)界第一款不需要將數(shù)據(jù)遷移至平臺即可進行分析并支持此類搜索的工具，其開創(chuàng)價值不言而喻。

安全編排和自動化響應(yīng)

引領(lǐng)國內(nèi)外安全發(fā)展趨勢

　　如何通過自動化部署處理網(wǎng)絡(luò)攻擊，也是 IBM 安全業(yè)務(wù)的視角。這里談到的自動化是指啟用安全技術(shù)，在發(fā)現(xiàn)與遏制網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露事件的過程中增強或取代人為干預(yù)活動。這些技術(shù)依賴于人工智能、機器學(xué)習(xí)、分析以及編排能力。

　　IBM 一項有關(guān)自動化部署的調(diào)查活動，證明了該部署的重要性——充分利用自動化技術(shù)的受訪企業(yè)，在處理網(wǎng)絡(luò)攻擊等多個方面的自我評分均高于整體樣本，包括網(wǎng)絡(luò)攻擊防御能力、檢測能力、響應(yīng)能力和遏制能力等。那些充分部署安全自動化解決方案的企業(yè)，平均節(jié)省了 150萬美元的數(shù)據(jù)泄露總成本;而未部署自動化技術(shù)的企業(yè)在這方面的成本要高出很多。

　　眾所周知，安全信息和事件管理平臺(SIEM)是企業(yè)網(wǎng)絡(luò)安全的大腦，雖然 SIEM 被金融、醫(yī)療和大型企業(yè)等安全運維團隊視為檢測和管理威脅必不可少的工具，但成功的威脅管理需要快速的事件響應(yīng)，以幫助企業(yè)能夠快速修復(fù)威脅，并加強其安全狀態(tài)以防止數(shù)據(jù)泄露。

　　這一觀察視角在全新推出的 Cloud Pak for Security 中自然有所體現(xiàn)，即安全編排和自動化響應(yīng)(Security Operation & Automation Response，SOAR)。用陳文豐的話說，“這是為了順應(yīng)國內(nèi)外的整體安全防護趨勢，幫助用戶提升事件響應(yīng)自動化水平，應(yīng)對上云過程中面臨的人才和技能挑戰(zhàn)?！?/P>

　　在 IBM 看來， SOAR 平臺因為人工智能的導(dǎo)入能夠顯著提升企業(yè)事件響應(yīng)自動化水平，同時 SOAR 還可減輕安全分析師的手動工作量，并提高他們優(yōu)先處理最緊迫威脅和快速修復(fù)的能力，進而幫助企業(yè)解決安全人才短缺的問題。

　　“SOAR (Security Operation & Automation Response)可以說是 Cloud Pak for Security 具備的第二個能力，它集成了 IBM 的 Resilient 產(chǎn)品，包括三個平臺，即 Case 管理、自動化響應(yīng)和威脅情報平臺?！睆埣t衛(wèi)說，IBM 的 SOAR 與業(yè)界同類產(chǎn)品相比具有突出優(yōu)勢，比如在 Case 管理的時候有一個 Knowledge Base;針對不同的安全事件有一個響應(yīng)的 Template，可以基于這個模板來定制公司的響應(yīng)流程。

　　除此之外，該產(chǎn)品集成到 Cloud Paks 平臺上并實現(xiàn)容器化以后，還具有了額外價值——IBM 的安全編排和自動化響應(yīng)功能可與 Red Hat Ansible 相集成，并提供更多的自動化規(guī)程，企業(yè)能夠更快、更有效地做出響應(yīng)，同時為自己提供加強監(jiān)管審查所需的信息。

　　陳文豐說，利用聯(lián)邦搜索與調(diào)查 Data Explorer 完成搜索、偵測并找出根源后，接下來就進入響應(yīng)階段，以前主要是人工響應(yīng)，實現(xiàn)自動化響應(yīng)并與 Red Hat Ansible 集成后，局面將會大為不同。“假設(shè)公司有 1萬臺電腦，其中有 100臺電腦受到了某種類型的病毒攻擊，啟動自動化流程后，通過 Ansible 就可以自動把補丁打上去，而且可以精準(zhǔn)地打到那 100臺電腦上，其好處已經(jīng)不局限于企業(yè)內(nèi)部上云，還包括公有云、私有云等?！?/P>

混合多云

容器能運行的環(huán)境都可安裝部署

　　混合多云是 IBM 整個公司層面的轉(zhuǎn)型方向，也是安全產(chǎn)品研發(fā)需要具有的境界和視野，在 Cloud Pak for Security 上當(dāng)然也應(yīng)該得到體現(xiàn)。

　　關(guān)于混合多云的發(fā)展態(tài)勢，已無太多著墨的必要。根據(jù) IBM 商業(yè)調(diào)查報告，85% 的客戶都在使用多云環(huán)境;另外，98% 的受訪者客戶在未來三年不只采用多云環(huán)境，還會采用混合云環(huán)境。

　　需要提及的是，在這樣明朗的態(tài)勢下，48% 的用戶沒有有效的管理工具，面臨著上云過程中產(chǎn)生的數(shù)據(jù)、應(yīng)用、開發(fā)、安全等諸多挑戰(zhàn)。也正因為此，IBM 在不久前發(fā)布了經(jīng)優(yōu)化后可在紅帽 OpenShift 上運行 IBM Cloud Paks 軟件組合，為企業(yè)上云提供各項能力，這些軟件和服務(wù)將在 IBM 混合多云的平臺上提供。

　　繼 IBM Cloud Paks 有關(guān)應(yīng)用、數(shù)據(jù)、集成、自動化、多云管理等五大解決方案發(fā)布之后，第六大解決方案 Cloud Pak for Security 隆重登場，同樣架構(gòu)在紅帽 OpenShift 的平臺之上，只要容器能運行的環(huán)境都可以安裝部署，體現(xiàn)了 IBM 對客戶在混合多云環(huán)境下數(shù)據(jù)安全問題的重視。

　　“當(dāng)企業(yè)把關(guān)鍵業(yè)務(wù)遷移到混合云環(huán)境后，數(shù)據(jù)會分布到不同的工具、云和 IT 基礎(chǔ)設(shè)施中，造成的漏洞威脅會更大，安全部門的維護復(fù)雜程度將大大增加，成本也會非常高昂，甚至需要手動操作?！标愇呢S說，Cloud Pak for Security 發(fā)布后，為建立混合多云環(huán)境下更加連接的安全生態(tài)系統(tǒng)奠定了基礎(chǔ)。

　　事實上，在混合多云的環(huán)境下，用戶也確實需要這樣的工具。盡管他們可能部署了公有云、私有云，甚至是混合多云，但并不希望由此增加管理難度，購買更多的安全管理工具，而是希望用一個平臺、一套工具、一種方式保護他們的數(shù)據(jù)安全。而 Cloud Pak for Security 提供的恰恰就是這樣一個管理混合多云環(huán)境的安全解決方案。

　　在這些開放靈活的構(gòu)建模塊上開發(fā)的 Cloud Pak for Security 支持跨任何云或者本地環(huán)境，輕松的實現(xiàn)“容器化”部署。隨著企業(yè)不斷添加新的云部署和遷移，Cloud Pak for Security 可以輕松地適應(yīng)這些新環(huán)境并支持不斷擴展——客戶甚至能夠?qū)⒚舾泻完P(guān)鍵任務(wù)工作負載放到云中，在中心安全平臺上持續(xù)監(jiān)視這些負載并進行控制。

　　當(dāng)然，IBM 的安全視野并不只有混合云時代的技術(shù)和產(chǎn)品，還包括安全合規(guī)，比如歐盟推行的 GDPR 和中國已于 12月 1日正式實施的等保 2.0，以及由此帶動的廣闊市場。IBM 認為，等保 2.0 實施后中國企業(yè)會更加重視安全防范，而符合要求的 IBM 產(chǎn)品機會將會很大。事實上，近兩年 IBM 的安全業(yè)務(wù)每個季度都在增長，也是國內(nèi) AIRO(Analytics, Intelligence, Response, Orchestration)市場外企占有率最高的廠商。

　　除了產(chǎn)品之外，IBM 的視野里還包括服務(wù)。受限于安全人才的短缺，企業(yè)將需要更多安全托管服務(wù)，這一模式在國外也非常普遍，IBM 也十分看重這一市場。為此，Cloud Pak for Security 還為托管安全服務(wù)提供商(MSSP)提供了模型，使這些提供商能夠大規(guī)模的高效運營、連接安全孤島并優(yōu)化其安全流程。企業(yè)還可以使用各種 IBM 安全服務(wù)，例如，按需咨詢、定制開發(fā)和事故響應(yīng)等。

（轉(zhuǎn)載）