在混合多云的時(shí)代，看 IBM 的安全視野

　　法國作家維克多·雨果說，“進(jìn)步，意味著目標(biāo)不斷前移，階段不斷更新，它的視野總是不斷變化的?！庇眠@句話來審視 IBM 的安全業(yè)務(wù)發(fā)展軌跡，或許也是恰當(dāng)?shù)?。在混合多云時(shí)代，IBM 安全業(yè)務(wù)與時(shí)俱進(jìn)、不斷變化的視野，從其近期發(fā)布的 Cloud Pak for Security 中，應(yīng)該可以得到很好的印證。

聯(lián)邦搜索和調(diào)查

不移動(dòng)數(shù)據(jù)即可獲得安全洞察

　　在混合多云環(huán)境下，數(shù)據(jù)安全及其保護(hù)的重要性已毋庸置疑，大量的報(bào)告和事實(shí)都證明了這一點(diǎn)。同時(shí)，這也是各種類型的云公司關(guān)注的焦點(diǎn)。

　　IBM 在這方面當(dāng)然也會(huì)有自己的解決方案，比如 Guardium 和 Secret Server，其領(lǐng)先的探針技術(shù)，可以有效偵測在云上亂竄的數(shù)據(jù);還有 SIEM 平臺(tái) QRadar 和針對(duì) IAM 的身份認(rèn)證 Cloud Identity;此外，像變形金剛一樣的移動(dòng)式 X-Force Command Center 等，都可以很好地偵測各種威脅并告警和處理。

　　但在 IBM 看來，未來仍有很大的發(fā)展空間?！氨热?，很多的企業(yè)過去在安全方面做了很多投資，從十幾家知名的企業(yè)買了很多安全產(chǎn)品，但彼此不聯(lián)通，而且還可能存在漏洞。” IBM 大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐認(rèn)為，這給企業(yè)的云安全管理帶來了巨大挑戰(zhàn)。

　　IBM 發(fā)起的一項(xiàng)全球性調(diào)查也證明了這一點(diǎn)。在該項(xiàng)調(diào)查中，近一半的受訪者 (48%) 表示，企業(yè)因?yàn)椴渴鹆颂嗒?dú)立的安全工具，最終增加了運(yùn)營復(fù)雜性，降低了對(duì)整體安全狀況的可視性。

　　基于此，IBM 在國外和 20多家安全廠商共同成立了 OCA(Open Cybersecurity Alliance，開放網(wǎng)絡(luò)安全聯(lián)盟)，希望通過建立統(tǒng)一的標(biāo)準(zhǔn)、統(tǒng)一的協(xié)議，采用開源的技術(shù)，讓聯(lián)盟之間、成員之間進(jìn)行數(shù)據(jù)和信息交換，甚至是分享洞察，并使企業(yè)在安全工具方面的投資發(fā)揮出應(yīng)有的價(jià)值。

　　“IBM 最新發(fā)布的安全產(chǎn)品 Cloud Pak for Security 就是利用了 STIX Shift 開源工具，采用了標(biāo)準(zhǔn)協(xié)議，實(shí)現(xiàn)了與所有安全工具的互動(dòng)，具備了即時(shí)威脅搜索、偵測和狩獵三大功能?！标愇呢S說，在 OCA 聯(lián)盟中，大家都可以利用這些開源的協(xié)議和工具，通過開箱即用的方式即可進(jìn)行集成，而不需要開放 API。

　　事實(shí)上，這也是 Cloud Pak for Security 具備的第一個(gè)重要能力，即 Data Explorer(聯(lián)邦搜索與調(diào)查，F(xiàn)ederated Search & Investigation)。從表面上看，它只是該產(chǎn)品的一個(gè)能力，但其背后則體現(xiàn)了 IBM 的宏觀視野和與時(shí)俱進(jìn)的安全觀。

　　眾所周知，為了在海量數(shù)據(jù)中區(qū)分出真正的威脅，業(yè)界紛紛推出了 SIEM 解決方案。如前所述，IBM 也有自己的 SIEM 平臺(tái)，但當(dāng) SIEM 發(fā)現(xiàn)某個(gè)威脅事件的時(shí)候，不可能第一步就采取行動(dòng)，而是要針對(duì)這個(gè)威脅進(jìn)行調(diào)查，此時(shí)就會(huì)發(fā)現(xiàn) SIEM 中的數(shù)據(jù)量根本不夠，必須要用更多的數(shù)據(jù)源來輔助調(diào)查。

　　“解決這一問題的思路之一是把所有數(shù)據(jù)都放到 SIEM 中進(jìn)行調(diào)查，其二是在不移動(dòng)數(shù)據(jù)的情況下進(jìn)行調(diào)查、分析，顯然，前者將導(dǎo)致大量的成本增加、存儲(chǔ)壓力巨大?！?IBM 大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)張紅衛(wèi)說，聯(lián)邦搜索與調(diào)查秉持的就是第二種思路——不移動(dòng)數(shù)據(jù)，只是在數(shù)據(jù)之間建立連接，跨安全工具或云來搜索威脅，而獲得安全洞察。

　　目前，Cloud Pak for Security 也是業(yè)界第一款不需要將數(shù)據(jù)遷移至平臺(tái)即可進(jìn)行分析并支持此類搜索的工具，其開創(chuàng)價(jià)值不言而喻。

安全編排和自動(dòng)化響應(yīng)

引領(lǐng)國內(nèi)外安全發(fā)展趨勢

　　如何通過自動(dòng)化部署處理網(wǎng)絡(luò)攻擊，也是 IBM 安全業(yè)務(wù)的視角。這里談到的自動(dòng)化是指啟用安全技術(shù)，在發(fā)現(xiàn)與遏制網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露事件的過程中增強(qiáng)或取代人為干預(yù)活動(dòng)。這些技術(shù)依賴于人工智能、機(jī)器學(xué)習(xí)、分析以及編排能力。

　　IBM 一項(xiàng)有關(guān)自動(dòng)化部署的調(diào)查活動(dòng)，證明了該部署的重要性——充分利用自動(dòng)化技術(shù)的受訪企業(yè)，在處理網(wǎng)絡(luò)攻擊等多個(gè)方面的自我評(píng)分均高于整體樣本，包括網(wǎng)絡(luò)攻擊防御能力、檢測能力、響應(yīng)能力和遏制能力等。那些充分部署安全自動(dòng)化解決方案的企業(yè)，平均節(jié)省了 150萬美元的數(shù)據(jù)泄露總成本;而未部署自動(dòng)化技術(shù)的企業(yè)在這方面的成本要高出很多。

　　眾所周知，安全信息和事件管理平臺(tái)(SIEM)是企業(yè)網(wǎng)絡(luò)安全的大腦，雖然 SIEM 被金融、醫(yī)療和大型企業(yè)等安全運(yùn)維團(tuán)隊(duì)視為檢測和管理威脅必不可少的工具，但成功的威脅管理需要快速的事件響應(yīng)，以幫助企業(yè)能夠快速修復(fù)威脅，并加強(qiáng)其安全狀態(tài)以防止數(shù)據(jù)泄露。

　　這一觀察視角在全新推出的 Cloud Pak for Security 中自然有所體現(xiàn)，即安全編排和自動(dòng)化響應(yīng)(Security Operation & Automation Response，SOAR)。用陳文豐的話說，“這是為了順應(yīng)國內(nèi)外的整體安全防護(hù)趨勢，幫助用戶提升事件響應(yīng)自動(dòng)化水平，應(yīng)對(duì)上云過程中面臨的人才和技能挑戰(zhàn)?！?/P>

　　在 IBM 看來， SOAR 平臺(tái)因?yàn)槿斯ぶ悄艿膶?dǎo)入能夠顯著提升企業(yè)事件響應(yīng)自動(dòng)化水平，同時(shí) SOAR 還可減輕安全分析師的手動(dòng)工作量，并提高他們優(yōu)先處理最緊迫威脅和快速修復(fù)的能力，進(jìn)而幫助企業(yè)解決安全人才短缺的問題。

　　“SOAR (Security Operation & Automation Response)可以說是 Cloud Pak for Security 具備的第二個(gè)能力，它集成了 IBM 的 Resilient 產(chǎn)品，包括三個(gè)平臺(tái)，即 Case 管理、自動(dòng)化響應(yīng)和威脅情報(bào)平臺(tái)?！睆埣t衛(wèi)說，IBM 的 SOAR 與業(yè)界同類產(chǎn)品相比具有突出優(yōu)勢，比如在 Case 管理的時(shí)候有一個(gè) Knowledge Base;針對(duì)不同的安全事件有一個(gè)響應(yīng)的 Template，可以基于這個(gè)模板來定制公司的響應(yīng)流程。

　　除此之外，該產(chǎn)品集成到 Cloud Paks 平臺(tái)上并實(shí)現(xiàn)容器化以后，還具有了額外價(jià)值——IBM 的安全編排和自動(dòng)化響應(yīng)功能可與 Red Hat Ansible 相集成，并提供更多的自動(dòng)化規(guī)程，企業(yè)能夠更快、更有效地做出響應(yīng)，同時(shí)為自己提供加強(qiáng)監(jiān)管審查所需的信息。

　　陳文豐說，利用聯(lián)邦搜索與調(diào)查 Data Explorer 完成搜索、偵測并找出根源后，接下來就進(jìn)入響應(yīng)階段，以前主要是人工響應(yīng)，實(shí)現(xiàn)自動(dòng)化響應(yīng)并與 Red Hat Ansible 集成后，局面將會(huì)大為不同?！凹僭O(shè)公司有 1萬臺(tái)電腦，其中有 100臺(tái)電腦受到了某種類型的病毒攻擊，啟動(dòng)自動(dòng)化流程后，通過 Ansible 就可以自動(dòng)把補(bǔ)丁打上去，而且可以精準(zhǔn)地打到那 100臺(tái)電腦上，其好處已經(jīng)不局限于企業(yè)內(nèi)部上云，還包括公有云、私有云等。”

混合多云

容器能運(yùn)行的環(huán)境都可安裝部署

　　混合多云是 IBM 整個(gè)公司層面的轉(zhuǎn)型方向，也是安全產(chǎn)品研發(fā)需要具有的境界和視野，在 Cloud Pak for Security 上當(dāng)然也應(yīng)該得到體現(xiàn)。

　　關(guān)于混合多云的發(fā)展態(tài)勢，已無太多著墨的必要。根據(jù) IBM 商業(yè)調(diào)查報(bào)告，85% 的客戶都在使用多云環(huán)境;另外，98% 的受訪者客戶在未來三年不只采用多云環(huán)境，還會(huì)采用混合云環(huán)境。

　　需要提及的是，在這樣明朗的態(tài)勢下，48% 的用戶沒有有效的管理工具，面臨著上云過程中產(chǎn)生的數(shù)據(jù)、應(yīng)用、開發(fā)、安全等諸多挑戰(zhàn)。也正因?yàn)榇耍琁BM 在不久前發(fā)布了經(jīng)優(yōu)化后可在紅帽 OpenShift 上運(yùn)行 IBM Cloud Paks 軟件組合，為企業(yè)上云提供各項(xiàng)能力，這些軟件和服務(wù)將在 IBM 混合多云的平臺(tái)上提供。

　　繼 IBM Cloud Paks 有關(guān)應(yīng)用、數(shù)據(jù)、集成、自動(dòng)化、多云管理等五大解決方案發(fā)布之后，第六大解決方案 Cloud Pak for Security 隆重登場，同樣架構(gòu)在紅帽 OpenShift 的平臺(tái)之上，只要容器能運(yùn)行的環(huán)境都可以安裝部署，體現(xiàn)了 IBM 對(duì)客戶在混合多云環(huán)境下數(shù)據(jù)安全問題的重視。

　　“當(dāng)企業(yè)把關(guān)鍵業(yè)務(wù)遷移到混合云環(huán)境后，數(shù)據(jù)會(huì)分布到不同的工具、云和 IT 基礎(chǔ)設(shè)施中，造成的漏洞威脅會(huì)更大，安全部門的維護(hù)復(fù)雜程度將大大增加，成本也會(huì)非常高昂，甚至需要手動(dòng)操作?！标愇呢S說，Cloud Pak for Security 發(fā)布后，為建立混合多云環(huán)境下更加連接的安全生態(tài)系統(tǒng)奠定了基礎(chǔ)。

　　事實(shí)上，在混合多云的環(huán)境下，用戶也確實(shí)需要這樣的工具。盡管他們可能部署了公有云、私有云，甚至是混合多云，但并不希望由此增加管理難度，購買更多的安全管理工具，而是希望用一個(gè)平臺(tái)、一套工具、一種方式保護(hù)他們的數(shù)據(jù)安全。而 Cloud Pak for Security 提供的恰恰就是這樣一個(gè)管理混合多云環(huán)境的安全解決方案。

　　在這些開放靈活的構(gòu)建模塊上開發(fā)的 Cloud Pak for Security 支持跨任何云或者本地環(huán)境，輕松的實(shí)現(xiàn)“容器化”部署。隨著企業(yè)不斷添加新的云部署和遷移，Cloud Pak for Security 可以輕松地適應(yīng)這些新環(huán)境并支持不斷擴(kuò)展——客戶甚至能夠?qū)⒚舾泻完P(guān)鍵任務(wù)工作負(fù)載放到云中，在中心安全平臺(tái)上持續(xù)監(jiān)視這些負(fù)載并進(jìn)行控制。

　　當(dāng)然，IBM 的安全視野并不只有混合云時(shí)代的技術(shù)和產(chǎn)品，還包括安全合規(guī)，比如歐盟推行的 GDPR 和中國已于 12月 1日正式實(shí)施的等保 2.0，以及由此帶動(dòng)的廣闊市場。IBM 認(rèn)為，等保 2.0 實(shí)施后中國企業(yè)會(huì)更加重視安全防范，而符合要求的 IBM 產(chǎn)品機(jī)會(huì)將會(huì)很大。事實(shí)上，近兩年 IBM 的安全業(yè)務(wù)每個(gè)季度都在增長，也是國內(nèi) AIRO(Analytics, Intelligence, Response, Orchestration)市場外企占有率最高的廠商。

　　除了產(chǎn)品之外，IBM 的視野里還包括服務(wù)。受限于安全人才的短缺，企業(yè)將需要更多安全托管服務(wù)，這一模式在國外也非常普遍，IBM 也十分看重這一市場。為此，Cloud Pak for Security 還為托管安全服務(wù)提供商(MSSP)提供了模型，使這些提供商能夠大規(guī)模的高效運(yùn)營、連接安全孤島并優(yōu)化其安全流程。企業(yè)還可以使用各種 IBM 安全服務(wù)，例如，按需咨詢、定制開發(fā)和事故響應(yīng)等。

（轉(zhuǎn)載）