【51CTO.com原創(chuàng)稿件】　　根據(jù)IBM商業(yè)價(jià)值研究院調(diào)研報(bào)告顯示，全球85%的受訪企業(yè)已經(jīng)在多云環(huán)境中運(yùn)營(yíng)，而98%的企業(yè)計(jì)劃在3年內(nèi)使用混合、多云的服務(wù)。然而，在多云與混合云的時(shí)代，目前48%的企業(yè)缺乏有效的管理工具，面臨上云所產(chǎn)生的數(shù)據(jù)管理問(wèn)題、應(yīng)用開(kāi)發(fā)問(wèn)題、數(shù)據(jù)安全問(wèn)題等挑戰(zhàn)。

　　國(guó)內(nèi)外安全形勢(shì)嚴(yán)峻，企業(yè)上云挑戰(zhàn)重重

　　“在云和跨云的時(shí)代里，有幾件很重要的事，與安全是共通的。第一，上云需要有共同的標(biāo)準(zhǔn)，所以有容器化。第二，需要開(kāi)源的技術(shù)。第三，AI安全。不管是上公有云、私有云或者是混合云，都是這三個(gè)特性。” IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐在近日接受媒體采訪時(shí)如是說(shuō)。

[[286986]]

IBM大中華區(qū)安全事業(yè)部總經(jīng)理 陳文豐

　　他與記者分析道，當(dāng)前，國(guó)內(nèi)外安全形勢(shì)依舊嚴(yán)峻，自國(guó)外實(shí)施GDPR以后，某些行業(yè)受到黑客攻擊，導(dǎo)致數(shù)據(jù)泄露的企業(yè)面臨著高金額的處罰。而國(guó)內(nèi)數(shù)據(jù)泄露的事件也層出不窮，各行業(yè)企業(yè)都面臨著同樣的問(wèn)題，數(shù)據(jù)泄漏是大型企業(yè)普遍所面臨的議題。當(dāng)這些企業(yè)要上云的時(shí)候，他們所要考慮的問(wèn)題就變得更復(fù)雜。目前有很多企業(yè)雖然部署了一些安全工具，但是很難把數(shù)據(jù)與不同的安全和分析工具集成在一起，也很難跨云環(huán)境把數(shù)據(jù)整合起來(lái)，以發(fā)現(xiàn)高級(jí)威脅。而且企業(yè)在運(yùn)維管理中，絕大多數(shù)流程需手動(dòng)操作，這存在重大安全隱患。

　　IBM Cloud Pak for Security護(hù)航企業(yè)上云之旅

　　為了幫助更多用戶應(yīng)對(duì)上云挑戰(zhàn)，IBM多年來(lái)先后提供了多個(gè)云安全產(chǎn)品和解決方案，比如：針對(duì)云的管理可以支持很多的公有云的QRadar，針對(duì)云上身份認(rèn)證的Cloud Identity，數(shù)據(jù)安全產(chǎn)品Guardium等。

　　不僅如此，11月20日，一直具備前瞻性眼光的IBM在紐約正式發(fā)布了Cloud Pak for Security，創(chuàng)新性地實(shí)現(xiàn)了無(wú)需從原始數(shù)據(jù)源移動(dòng)數(shù)據(jù)而能連接任意安全工具、云和本地部署的系統(tǒng)。該平臺(tái)現(xiàn)已可用，包括了用于搜索威脅的開(kāi)源技術(shù)，能夠幫助加速自動(dòng)響應(yīng)網(wǎng)絡(luò)攻擊，而且可在任何環(huán)境中運(yùn)行。

　　據(jù)IBM大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)張紅衛(wèi)介紹，IBM Cloud Pak for Security采用 Red Hat OpenShift 等開(kāi)源技術(shù)開(kāi)發(fā)，這些技術(shù)是企業(yè)云環(huán)境的基礎(chǔ)。Cloud Pak for Security能夠搜索并轉(zhuǎn)換各種來(lái)源的安全數(shù)據(jù)，匯集企業(yè)多云IT環(huán)境中的關(guān)鍵安全洞察。該平臺(tái)是可擴(kuò)展的，因此可以隨著時(shí)間的推移添加更多的工具和應(yīng)用。“在這個(gè)平臺(tái)上，我們部署了一些安全解決方案，或者安全能力來(lái)提供給最終用戶。今年，我們先推出了兩個(gè)服務(wù)能力：Data Explorer(聯(lián)邦搜索與調(diào)查，F(xiàn)ederated Search & Investigation)與安全編排和自動(dòng)化響應(yīng)（Security Operation & Automation Response，簡(jiǎn)稱：SOAR）。”

[[286987]]

IBM大中華區(qū)安全事業(yè)部技術(shù)總監(jiān) 張紅衛(wèi)

　　IBM Cloud Pak for Security兩大能力：聯(lián)邦搜索和調(diào)查與SOAR

　　為了更好的讓大家理解這兩大能力，張紅衛(wèi)解釋道，IBM利用了邊緣計(jì)算的概念實(shí)現(xiàn)了聯(lián)邦搜索和調(diào)查能力，可以不移動(dòng)數(shù)據(jù)，只與數(shù)據(jù)之間建立一個(gè)連接，就可以在終端通過(guò)聯(lián)邦搜索和調(diào)查的命令下達(dá)到各個(gè)數(shù)據(jù)源做調(diào)查，收集相應(yīng)的結(jié)果反饋。

　　張紅衛(wèi)強(qiáng)調(diào)，聯(lián)邦搜索和調(diào)查能力之所以能夠不移動(dòng)數(shù)據(jù)就可以實(shí)現(xiàn)，是因?yàn)椴捎昧碎_(kāi)放網(wǎng)絡(luò)安全聯(lián)盟（Open Cybersecurity Alliance）中基于標(biāo)準(zhǔn)協(xié)議的STIX Shift開(kāi)源工具。聯(lián)盟成員均可以將開(kāi)源的協(xié)議和工具，利用在自家產(chǎn)品中，所有成員就可以開(kāi)箱即用。

　　談到SOAR能力安全圈的人都不陌生，那么IBM的SOAR有何不同呢？張紅衛(wèi)回答記者，與業(yè)界SOAR產(chǎn)品相同，IBM的產(chǎn)品Resilient也包含了三個(gè)平臺(tái)：事件管理、自動(dòng)化響應(yīng)和威脅情報(bào)平臺(tái)，并且已經(jīng)被集成到Cloud Pak for Security中。Resilient的優(yōu)勢(shì)在于：

　　第一，針對(duì)不同的安全事件有不同的模板，企業(yè)可以基于模板定制響應(yīng)流程。

　　第二，模塊化的響應(yīng)流程。比如：人力主管由張三換成李四時(shí)，只需要在模塊里面把張三的名字換成李四的名字，就會(huì)將所有的“張三”替換掉，而不需要去每個(gè)戰(zhàn)術(shù)手冊(cè)里尋找替換。

　　第三，擁有隱私模塊。這是十分獨(dú)特的一項(xiàng)功能，該模塊集成了很多關(guān)于個(gè)人隱私的法律法規(guī)條例，當(dāng)安全事件牽涉到個(gè)人隱私時(shí)，企業(yè)用戶可以根據(jù)所在行業(yè)、地區(qū)判斷應(yīng)該遵守哪些法律法規(guī)，然后基于這些法律法規(guī)采取行動(dòng)。

　　此外，Resilient還開(kāi)放了API，可以和很多設(shè)備進(jìn)行集成聯(lián)動(dòng)，這些集成的應(yīng)用發(fā)布到APP 市場(chǎng)里，大家可以到網(wǎng)站上下載，然后和Resilient集成。

　　陳文豐總結(jié)說(shuō)，無(wú)論是在企業(yè)內(nèi)部，還是在混合云、多云時(shí)代，Cloud Pak for Security能夠添加很多安全工具，非常容易搜索和偵測(cè)安全隱患，然后再去調(diào)查，找出根源，進(jìn)入自動(dòng)化響應(yīng)階段。舉個(gè)例子，假設(shè)公司有1萬(wàn)臺(tái)電腦，有100臺(tái)受到某種類(lèi)型的病毒攻擊。我們偵測(cè)出來(lái)要去啟動(dòng)自動(dòng)流程，通過(guò)自動(dòng)化運(yùn)維工具Ansible自動(dòng)為這100臺(tái)打補(bǔ)，這就是一個(gè)應(yīng)用場(chǎng)景。所以即使是安全專(zhuān)業(yè)能力不足的人也能夠很容易使用這款產(chǎn)品，自動(dòng)化處理安全事件。

　　在張紅衛(wèi)看來(lái)，Cloud Pak for Security是企業(yè)安全“大腦”的一部分。企業(yè)安全架構(gòu)核心“大腦”的能力是做安全分析和事件響應(yīng)，它們的主要功能就是威脅的偵測(cè)和調(diào)查、事件的編排和自動(dòng)化響應(yīng)。“雖然目前Cloud Pak for Security推出的兩大能力只是‘大腦’的一部分，我們還會(huì)繼續(xù)加強(qiáng)‘大腦’，讓它更強(qiáng)壯。”

　　開(kāi)放網(wǎng)絡(luò)安全聯(lián)盟是做什么的？

　　上文提到，IBM在新產(chǎn)品Cloud Pak for Security中率先實(shí)施了開(kāi)源項(xiàng)目，使安全工具在整個(gè)安全生態(tài)系統(tǒng)中能夠自然的協(xié)同工作，而其中采用的開(kāi)源工具來(lái)自于近期新成立的開(kāi)放網(wǎng)絡(luò)安全聯(lián)盟。

　　記者了解到，為進(jìn)一步加速業(yè)界向開(kāi)放安全的遷移，作為開(kāi)放網(wǎng)絡(luò)安全聯(lián)盟的創(chuàng)始成員之一，IBM 和其他 20多家組織正在共同研究開(kāi)放標(biāo)準(zhǔn)和開(kāi)放源代碼技術(shù)，以實(shí)現(xiàn)產(chǎn)品的互操作性，避免安全行業(yè)的供應(yīng)商鎖定問(wèn)題。

　　“開(kāi)放網(wǎng)絡(luò)安全聯(lián)盟的目的是通過(guò)建立統(tǒng)一的標(biāo)準(zhǔn)和協(xié)議，甚至開(kāi)源的代碼，讓聯(lián)盟之間、成員之間可以進(jìn)行數(shù)據(jù)交換、信息交換，甚至是分享洞察。大家跟隨一定的標(biāo)準(zhǔn)，實(shí)現(xiàn)開(kāi)箱即用的目標(biāo)。聯(lián)盟希望用開(kāi)放云代碼的技術(shù)，把各廠商的安全產(chǎn)品更有效地互通、互聯(lián)，讓我們能夠在開(kāi)放的世界里面更有效地整合。” 陳文豐表示，IBM Cloud Pak for Security就是利用這樣的技術(shù)，通過(guò)開(kāi)源的技術(shù)可以跟所有的安全工具做互動(dòng)，實(shí)現(xiàn)了即時(shí)偵測(cè)、威脅偵測(cè)、威脅狩獵的功能，這就是利用開(kāi)放的界面。

　　“目前，這個(gè)數(shù)據(jù)源已經(jīng)支持很多廠家，比如基于Elastic開(kāi)發(fā)的SIEM，已經(jīng)實(shí)現(xiàn)連接，可以進(jìn)行開(kāi)箱即用的集成。另外，針對(duì)終端的一些設(shè)備，也有一些缺省和集成。IBM的目標(biāo)是不斷擴(kuò)大數(shù)據(jù)源的集成，一個(gè)是基于開(kāi)放網(wǎng)絡(luò)安全聯(lián)盟的，一個(gè)就是我們會(huì)主動(dòng)去做。” 張紅衛(wèi)補(bǔ)充說(shuō)。

　　陳文豐坦言：“我們希望更多的人加入聯(lián)盟，利用開(kāi)箱即用的方式來(lái)進(jìn)行集成。不管是國(guó)內(nèi)還是國(guó)外的安全公司，都應(yīng)該朝著這個(gè)方向去努力。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】