今天,我們正在進(jìn)入一個(gè)越來(lái)越物聯(lián)、越來(lái)越數(shù)字化的時(shí)代,當(dāng)我們的生活、工作,當(dāng)一切運(yùn)作都越來(lái)在線化、網(wǎng)絡(luò)化,我們?cè)撊绾蝸?lái)構(gòu)建信息安全的防御體系。當(dāng)我們的對(duì)手從散兵游勇變成專(zhuān)業(yè)團(tuán)隊(duì),我們?cè)撊绾闻c之交手?在人工智能時(shí)代,信息安全是否也該改換朝代了? IBM大中華區(qū)網(wǎng)絡(luò)安全事業(yè)部總經(jīng)理陳文豐在接受《中國(guó)電子報(bào)》記者采訪時(shí)表示,面對(duì)如此惡劣的外部環(huán)境,企業(yè)應(yīng)該建立以認(rèn)知技術(shù)為為核心的,具備防御、偵測(cè)、響應(yīng)三大能力的 “三重防護(hù)”認(rèn)知安全免疫系統(tǒng)。
“道”與“魔”面臨新變局?
今年WannaCry勒索病毒與Petya勒索病毒的爆發(fā)讓很多中招的企業(yè)和人依然心有余悸。數(shù)據(jù)顯示,WannaCry在全球造成的經(jīng)濟(jì)損失大約為80億美元。而Petya電腦病毒襲擊了俄羅斯、英國(guó)、烏克蘭等在內(nèi)的歐洲多個(gè)國(guó)家以及美國(guó),機(jī)場(chǎng)、銀行及大型企業(yè)被報(bào)告感染病毒。
IBM的一項(xiàng)調(diào)查顯示,53%在過(guò)去兩年中至少經(jīng)歷過(guò)一次網(wǎng)絡(luò)攻擊。66%的企業(yè)對(duì)于自身的網(wǎng)絡(luò)攻擊應(yīng)對(duì)能力并不自信。平均每次數(shù)據(jù)泄露的成本高達(dá)700萬(wàn)美金,比前三年的平均數(shù)據(jù)高30%。全球企業(yè)們面臨著更頻繁的網(wǎng)絡(luò)攻擊,并損失慘重。
攻總是主動(dòng)的,防總是被動(dòng)的。俗話(huà)說(shuō),道高一尺,魔高一丈,這信息安全事件越來(lái)越多,挑戰(zhàn)越來(lái)越大,越來(lái)越復(fù)雜,作為“防”,我們是否已經(jīng)防不勝防了?
IBM全球安全事業(yè)部首席架構(gòu)師Ron Williams對(duì)《中國(guó)電子報(bào)》記者表示,其實(shí)信息安全的攻防與現(xiàn)實(shí)世界的很多場(chǎng)景很相似,無(wú)外乎幾種狀態(tài),就像你行走在路上,突然猛開(kāi)過(guò)來(lái)一輛車(chē),你的應(yīng)對(duì)就幾種方式,其一是看到它沖過(guò)來(lái),提前跳開(kāi),其二是它沖過(guò)來(lái)把你撞到了,其三是有一個(gè)墻擋住了車(chē)。信息安全的構(gòu)建和防御是同樣的道理。盡管這些年,環(huán)境發(fā)生了很大的變化,挑戰(zhàn)越來(lái)越多,但信息安全體系的構(gòu)建依然還是哪些原理。攻擊方之所以能夠攻破一個(gè)體系,一定是你的體系中有脆弱的地方,要么是人性的弱點(diǎn),要么是系統(tǒng)中有弱點(diǎn),攻方總是從脆弱的地方攻破的。所以我們要做的就是找出薄弱的地方,進(jìn)行加固,隔離。其實(shí)最大的挑戰(zhàn)是我們不知道威脅在哪里,威脅是什么?
過(guò)去的攻方相對(duì)“散兵游勇”,現(xiàn)在的攻方越來(lái)越專(zhuān)業(yè)作戰(zhàn),越來(lái)越強(qiáng)調(diào)經(jīng)濟(jì)效應(yīng),越來(lái)越產(chǎn)業(yè)化運(yùn)作,這對(duì)于防護(hù)、對(duì)于信息安全來(lái)對(duì)是更難辦還是更好對(duì)付他們?Ron Williams認(rèn)為,當(dāng)黑客或網(wǎng)絡(luò)犯罪越來(lái)越組織化防御起來(lái)會(huì)更加容易。就像初創(chuàng)企業(yè)和類(lèi)似IBM這樣的大型企業(yè)的區(qū)別,初創(chuàng)企業(yè)行動(dòng)特別快,只要把產(chǎn)品抓緊做出來(lái)就行。而大型企業(yè)有標(biāo)準(zhǔn)、有流程、有一致性的。而最近的勒索軟件的攻擊,其實(shí)他們的能力和打法很相似,對(duì)于我們來(lái)說(shuō)能夠更快的找到他們的特點(diǎn),進(jìn)行防御工作。
Ron Williams同時(shí)表示,現(xiàn)在想端掉犯罪團(tuán)伙難度也越來(lái)越大。就好像打掉某些犯罪團(tuán)伙或者犯罪的組織者,更多的是需要各國(guó)主權(quán)執(zhí)法,超越了商業(yè)范圍也超越了一個(gè)企業(yè)的范疇。
應(yīng)該如何防?
在這些原則下,我們應(yīng)該具體怎么做?
要實(shí)現(xiàn)Ron Williams所表達(dá)的完備防御,IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐表示,這其中有三個(gè)關(guān)鍵,其一是需要有效的威脅情報(bào),其二是要有一個(gè)能夠?qū)崿F(xiàn)聯(lián)動(dòng)和協(xié)同的平臺(tái),其三是要有運(yùn)營(yíng)安全中心的理念。
陳文豐認(rèn)為,威脅情報(bào)是做安全的精髓,應(yīng)該有大而全的情報(bào),共享的構(gòu)建快速響應(yīng)情報(bào)中心是信息安全的一個(gè)關(guān)鍵。IBM自己也是這樣踐行的,據(jù)介紹,目前IBM安全服務(wù)部每天管理超過(guò)200億個(gè)事件。IBM安全事業(yè)部托管著全球規(guī)模最大的URL數(shù)據(jù)庫(kù)之一,內(nèi)含超過(guò)250億個(gè)網(wǎng)頁(yè)和圖像,每天可收集1,000多個(gè)金融惡意軟件樣本,利用超過(guò)2.7個(gè)終端及其他來(lái)源的情報(bào)。與此同時(shí)IBM在全球運(yùn)營(yíng)著10個(gè)SOC,在過(guò)去5年中,IBM已經(jīng)為數(shù)十個(gè)行業(yè)的客戶(hù)建立了300多個(gè)安全運(yùn)營(yíng)中心(SOC)。他們將這些信息通過(guò)x-force報(bào)告定期分享給業(yè)界。
具體如何來(lái)實(shí)現(xiàn)三重保護(hù),IBM認(rèn)為防護(hù)的“第一重”是智能的安全平臺(tái)。安全智能平臺(tái)能夠使企業(yè)資產(chǎn)、風(fēng)險(xiǎn)可視化,同時(shí)具備實(shí)時(shí)的偵測(cè)能力,通過(guò)關(guān)聯(lián)發(fā)現(xiàn)正在發(fā)生的威脅,及時(shí)響應(yīng)并執(zhí)行。IBM有一系列的產(chǎn)品來(lái)幫助企業(yè)建設(shè)這樣的平臺(tái),代表性的是IBM
QRadar,它可將用戶(hù)行為與日志事件、網(wǎng)絡(luò)流、威脅情報(bào)、漏洞和業(yè)務(wù)上下文相匹配,從而分析和預(yù)測(cè)風(fēng)險(xiǎn)。
防護(hù)的“第二重”是安全運(yùn)維中心。企業(yè)擁有了一個(gè)智能安全平臺(tái)和IT架構(gòu)后,如何保證其發(fā)揮作用,安全運(yùn)營(yíng)就顯得至關(guān)重要?,F(xiàn)在很多企業(yè)用管理普通IT架構(gòu)的方法來(lái)管理企業(yè)的安全平臺(tái),這顯然無(wú)法適應(yīng)瞬息萬(wàn)變的網(wǎng)絡(luò)環(huán)境。普通的IT架構(gòu)的管理重點(diǎn)在于系統(tǒng)順暢的運(yùn)營(yíng)和穩(wěn)定,但網(wǎng)絡(luò)安全的重點(diǎn)則在于緊密的檢測(cè)和及時(shí)的相應(yīng)。這是一個(gè)非常特殊的領(lǐng)域,必須引入專(zhuān)業(yè)的人、流程、安全策略,并單獨(dú)建立安全運(yùn)維中心。
防護(hù)的“第三重”是最新的網(wǎng)絡(luò)威脅信息:安全運(yùn)維中心需要外部的信息幫助企業(yè),一個(gè)是威脅情報(bào),這些信息會(huì)告訴你漏洞在哪里,哪些
是惡意攻擊等,所以企業(yè)需要及時(shí)獲取信息進(jìn)行及時(shí)的打補(bǔ)丁,防御。
中國(guó)企業(yè)應(yīng)該如何做?
目前在中國(guó)市場(chǎng)用戶(hù)所面臨的安全挑戰(zhàn)與全球有什么不一樣,如何讓中國(guó)用戶(hù)快速構(gòu)建起牢固的安全防御體系?
陳文豐表示,目前中國(guó)用戶(hù)在安全方面的最大挑戰(zhàn)其實(shí)是安全理念的缺失。一些中國(guó)企業(yè)還沒(méi)有完全建立安全的意識(shí),認(rèn)為買(mǎi)買(mǎi)防病毒軟件就能保護(hù)企業(yè)的安全了。多數(shù)企業(yè)安全意識(shí)薄弱,認(rèn)為企業(yè)安全只是簡(jiǎn)單的病毒防御。國(guó)內(nèi)很多企業(yè)依然片面強(qiáng)調(diào)“防御”的安全戰(zhàn)略,在對(duì)安全產(chǎn)品的采購(gòu)上也大多停留在單個(gè)的安全產(chǎn)品。這種零散的端點(diǎn)保護(hù)能力,使得企業(yè)安全防御“能見(jiàn)度不足”。
認(rèn)識(shí)不到重要性,所以就在投入上也偏低。中國(guó)企業(yè)安全方面投入遠(yuǎn)低于國(guó)際水平。根據(jù)一項(xiàng)最新進(jìn)行的SANS調(diào)查,在2043年,大多數(shù)美國(guó)公司預(yù)計(jì)的IT預(yù)算均值為500,000到1,000,000美元,占企業(yè)總體IT預(yù)算的7-9%。目前我國(guó)30.3%的企業(yè)每年基本上沒(méi)有信息安全預(yù)算,而進(jìn)行信息安全投入的企業(yè)投入占比也僅為整體IT投入的2%,遠(yuǎn)低于歐美市場(chǎng) 8-12%的水平。
IBM是全球領(lǐng)先的企業(yè)級(jí)網(wǎng)絡(luò)安全技術(shù)和服務(wù)提供商, 在企業(yè)安全領(lǐng)域擁有公認(rèn)的領(lǐng)先地位,有超過(guò) 3500 項(xiàng)安全專(zhuān)利。擁有一支為133個(gè)國(guó)家或地區(qū)超過(guò)12000位客戶(hù)提供支持的7500人安全團(tuán)隊(duì)。現(xiàn)在IBM希望把這樣的能力更多地帶到中國(guó)市場(chǎng),聯(lián)手國(guó)內(nèi)合作伙伴一起服務(wù)更多的中國(guó)用戶(hù)。
陳文豐表示,IBM希望輸出在全球SOC建設(shè)方面的技術(shù)和經(jīng)驗(yàn),協(xié)助本地的合作伙伴建設(shè)新一代的安全運(yùn)營(yíng)中心,開(kāi)放包括APP exchange、Qradar API, IBM X-Force Exchange API,等接口幫助安全廠商開(kāi)發(fā)安全產(chǎn)品,并將最新的x-force網(wǎng)絡(luò)威脅情報(bào)分享給企業(yè),幫助中國(guó)的企業(yè)抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
據(jù)陳文豐透露,安全運(yùn)營(yíng)中心的建設(shè)至少需要5-6個(gè)月以上,所以目前IBM與中國(guó)本地伙伴正在構(gòu)建安全運(yùn)營(yíng)中心已經(jīng)在緊鑼密鼓的實(shí)施中,很快就有第一家面市。他同時(shí)表示,希望與中國(guó)擁有行業(yè)背景或者是擁有自主安全技術(shù)的廠商合作,加速將IBM的國(guó)際安全經(jīng)營(yíng)、技術(shù)與本地市場(chǎng)和行業(yè)做更深度的融合。
|
||
|