【51CTO.com原創(chuàng)稿件】　　根據(jù)IBM商業(yè)價值研究院調(diào)研報告顯示，全球85%的受訪企業(yè)已經(jīng)在多云環(huán)境中運(yùn)營，而98%的企業(yè)計劃在3年內(nèi)使用混合、多云的服務(wù)。然而，在多云與混合云的時代，目前48%的企業(yè)缺乏有效的管理工具，面臨上云所產(chǎn)生的數(shù)據(jù)管理問題、應(yīng)用開發(fā)問題、數(shù)據(jù)安全問題等挑戰(zhàn)。

　　國內(nèi)外安全形勢嚴(yán)峻，企業(yè)上云挑戰(zhàn)重重

　　“在云和跨云的時代里，有幾件很重要的事，與安全是共通的。第一，上云需要有共同的標(biāo)準(zhǔn)，所以有容器化。第二，需要開源的技術(shù)。第三，AI安全。不管是上公有云、私有云或者是混合云，都是這三個特性。” IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐在近日接受媒體采訪時如是說。

[[286986]]

IBM大中華區(qū)安全事業(yè)部總經(jīng)理 陳文豐

　　他與記者分析道，當(dāng)前，國內(nèi)外安全形勢依舊嚴(yán)峻，自國外實(shí)施GDPR以后，某些行業(yè)受到黑客攻擊，導(dǎo)致數(shù)據(jù)泄露的企業(yè)面臨著高金額的處罰。而國內(nèi)數(shù)據(jù)泄露的事件也層出不窮，各行業(yè)企業(yè)都面臨著同樣的問題，數(shù)據(jù)泄漏是大型企業(yè)普遍所面臨的議題。當(dāng)這些企業(yè)要上云的時候，他們所要考慮的問題就變得更復(fù)雜。目前有很多企業(yè)雖然部署了一些安全工具，但是很難把數(shù)據(jù)與不同的安全和分析工具集成在一起，也很難跨云環(huán)境把數(shù)據(jù)整合起來，以發(fā)現(xiàn)高級威脅。而且企業(yè)在運(yùn)維管理中，絕大多數(shù)流程需手動操作，這存在重大安全隱患。

　　IBM Cloud Pak for Security護(hù)航企業(yè)上云之旅

　　為了幫助更多用戶應(yīng)對上云挑戰(zhàn)，IBM多年來先后提供了多個云安全產(chǎn)品和解決方案，比如：針對云的管理可以支持很多的公有云的QRadar，針對云上身份認(rèn)證的Cloud Identity，數(shù)據(jù)安全產(chǎn)品Guardium等。

　　不僅如此，11月20日，一直具備前瞻性眼光的IBM在紐約正式發(fā)布了Cloud Pak for Security，創(chuàng)新性地實(shí)現(xiàn)了無需從原始數(shù)據(jù)源移動數(shù)據(jù)而能連接任意安全工具、云和本地部署的系統(tǒng)。該平臺現(xiàn)已可用，包括了用于搜索威脅的開源技術(shù)，能夠幫助加速自動響應(yīng)網(wǎng)絡(luò)攻擊，而且可在任何環(huán)境中運(yùn)行。

　　據(jù)IBM大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)張紅衛(wèi)介紹，IBM Cloud Pak for Security采用 Red Hat OpenShift 等開源技術(shù)開發(fā)，這些技術(shù)是企業(yè)云環(huán)境的基礎(chǔ)。Cloud Pak for Security能夠搜索并轉(zhuǎn)換各種來源的安全數(shù)據(jù)，匯集企業(yè)多云IT環(huán)境中的關(guān)鍵安全洞察。該平臺是可擴(kuò)展的，因此可以隨著時間的推移添加更多的工具和應(yīng)用。“在這個平臺上，我們部署了一些安全解決方案，或者安全能力來提供給最終用戶。今年，我們先推出了兩個服務(wù)能力：Data Explorer(聯(lián)邦搜索與調(diào)查，F(xiàn)ederated Search & Investigation)與安全編排和自動化響應(yīng)（Security Operation & Automation Response，簡稱：SOAR）。”

[[286987]]

IBM大中華區(qū)安全事業(yè)部技術(shù)總監(jiān) 張紅衛(wèi)

　　IBM Cloud Pak for Security兩大能力：聯(lián)邦搜索和調(diào)查與SOAR

　　為了更好的讓大家理解這兩大能力，張紅衛(wèi)解釋道，IBM利用了邊緣計算的概念實(shí)現(xiàn)了聯(lián)邦搜索和調(diào)查能力，可以不移動數(shù)據(jù)，只與數(shù)據(jù)之間建立一個連接，就可以在終端通過聯(lián)邦搜索和調(diào)查的命令下達(dá)到各個數(shù)據(jù)源做調(diào)查，收集相應(yīng)的結(jié)果反饋。

　　張紅衛(wèi)強(qiáng)調(diào)，聯(lián)邦搜索和調(diào)查能力之所以能夠不移動數(shù)據(jù)就可以實(shí)現(xiàn)，是因?yàn)椴捎昧碎_放網(wǎng)絡(luò)安全聯(lián)盟（Open Cybersecurity Alliance）中基于標(biāo)準(zhǔn)協(xié)議的STIX Shift開源工具。聯(lián)盟成員均可以將開源的協(xié)議和工具，利用在自家產(chǎn)品中，所有成員就可以開箱即用。

　　談到SOAR能力安全圈的人都不陌生，那么IBM的SOAR有何不同呢？張紅衛(wèi)回答記者，與業(yè)界SOAR產(chǎn)品相同，IBM的產(chǎn)品Resilient也包含了三個平臺：事件管理、自動化響應(yīng)和威脅情報平臺，并且已經(jīng)被集成到Cloud Pak for Security中。Resilient的優(yōu)勢在于：

　　第一，針對不同的安全事件有不同的模板，企業(yè)可以基于模板定制響應(yīng)流程。

　　第二，模塊化的響應(yīng)流程。比如：人力主管由張三換成李四時，只需要在模塊里面把張三的名字換成李四的名字，就會將所有的“張三”替換掉，而不需要去每個戰(zhàn)術(shù)手冊里尋找替換。

　　第三，擁有隱私模塊。這是十分獨(dú)特的一項(xiàng)功能，該模塊集成了很多關(guān)于個人隱私的法律法規(guī)條例，當(dāng)安全事件牽涉到個人隱私時，企業(yè)用戶可以根據(jù)所在行業(yè)、地區(qū)判斷應(yīng)該遵守哪些法律法規(guī)，然后基于這些法律法規(guī)采取行動。

　　此外，Resilient還開放了API，可以和很多設(shè)備進(jìn)行集成聯(lián)動，這些集成的應(yīng)用發(fā)布到APP 市場里，大家可以到網(wǎng)站上下載，然后和Resilient集成。

　　陳文豐總結(jié)說，無論是在企業(yè)內(nèi)部，還是在混合云、多云時代，Cloud Pak for Security能夠添加很多安全工具，非常容易搜索和偵測安全隱患，然后再去調(diào)查，找出根源，進(jìn)入自動化響應(yīng)階段。舉個例子，假設(shè)公司有1萬臺電腦，有100臺受到某種類型的病毒攻擊。我們偵測出來要去啟動自動流程，通過自動化運(yùn)維工具Ansible自動為這100臺打補(bǔ)，這就是一個應(yīng)用場景。所以即使是安全專業(yè)能力不足的人也能夠很容易使用這款產(chǎn)品，自動化處理安全事件。

　　在張紅衛(wèi)看來，Cloud Pak for Security是企業(yè)安全“大腦”的一部分。企業(yè)安全架構(gòu)核心“大腦”的能力是做安全分析和事件響應(yīng)，它們的主要功能就是威脅的偵測和調(diào)查、事件的編排和自動化響應(yīng)。“雖然目前Cloud Pak for Security推出的兩大能力只是‘大腦’的一部分，我們還會繼續(xù)加強(qiáng)‘大腦’，讓它更強(qiáng)壯。”

　　開放網(wǎng)絡(luò)安全聯(lián)盟是做什么的？

　　上文提到，IBM在新產(chǎn)品Cloud Pak for Security中率先實(shí)施了開源項(xiàng)目，使安全工具在整個安全生態(tài)系統(tǒng)中能夠自然的協(xié)同工作，而其中采用的開源工具來自于近期新成立的開放網(wǎng)絡(luò)安全聯(lián)盟。

　　記者了解到，為進(jìn)一步加速業(yè)界向開放安全的遷移，作為開放網(wǎng)絡(luò)安全聯(lián)盟的創(chuàng)始成員之一，IBM 和其他 20多家組織正在共同研究開放標(biāo)準(zhǔn)和開放源代碼技術(shù)，以實(shí)現(xiàn)產(chǎn)品的互操作性，避免安全行業(yè)的供應(yīng)商鎖定問題。

　　“開放網(wǎng)絡(luò)安全聯(lián)盟的目的是通過建立統(tǒng)一的標(biāo)準(zhǔn)和協(xié)議，甚至開源的代碼，讓聯(lián)盟之間、成員之間可以進(jìn)行數(shù)據(jù)交換、信息交換，甚至是分享洞察。大家跟隨一定的標(biāo)準(zhǔn)，實(shí)現(xiàn)開箱即用的目標(biāo)。聯(lián)盟希望用開放云代碼的技術(shù)，把各廠商的安全產(chǎn)品更有效地互通、互聯(lián)，讓我們能夠在開放的世界里面更有效地整合。” 陳文豐表示，IBM Cloud Pak for Security就是利用這樣的技術(shù)，通過開源的技術(shù)可以跟所有的安全工具做互動，實(shí)現(xiàn)了即時偵測、威脅偵測、威脅狩獵的功能，這就是利用開放的界面。

　　“目前，這個數(shù)據(jù)源已經(jīng)支持很多廠家，比如基于Elastic開發(fā)的SIEM，已經(jīng)實(shí)現(xiàn)連接，可以進(jìn)行開箱即用的集成。另外，針對終端的一些設(shè)備，也有一些缺省和集成。IBM的目標(biāo)是不斷擴(kuò)大數(shù)據(jù)源的集成，一個是基于開放網(wǎng)絡(luò)安全聯(lián)盟的，一個就是我們會主動去做。” 張紅衛(wèi)補(bǔ)充說。

　　陳文豐坦言：“我們希望更多的人加入聯(lián)盟，利用開箱即用的方式來進(jìn)行集成。不管是國內(nèi)還是國外的安全公司，都應(yīng)該朝著這個方向去努力。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】