IBM大中华区网络安全事业部总经理陈文丰
今天,我们正在进入一个越来越物联、越来越数字化的时代,当我们的生活、工作,当一切运作都越来在线化、网络化,我们该如何来构建信息安全的防御体系。当我们的对手从散兵游勇变成专业团队,我们该如何与之交手?在人工智能时代,信息安全是否也该改换朝代了? IBM大中华区网络安全事业部总经理陈文丰在接受记者采访时表示,面对如此恶劣的外部环境,企业应该建立以认知技术为为核心的,具备防御、侦测、响应三大能力的 “三重防护”认知安全免疫系统。
“道”与“魔”面临新变局?
今年WannaCry勒索病毒与Petya勒索病毒的爆发让很多中招的企业和人依然心有余悸。数据显示,WannaCry在全球造成的经济损失大约为80亿美元。而Petya电脑病毒袭击了俄罗斯、英国、乌克兰等在内的欧洲多个国家以及美国,机场、银行及大型企业被报告感染病毒。
IBM的一项调查显示,53%在过去两年中至少经历过一次网络攻击。66%的企业对于自身的网络攻击应对能力并不自信。平均每次数据泄露的成本高达700万美金,比前三年的平均数据高30%。全球企业们面临着更频繁的网络攻击,并损失惨重。
攻总是主动的,防总是被动的。俗话说,道高一尺,魔高一丈,这信息安全事件越来越多,挑战越来越大,越来越复杂,作为“防”,我们是否已经防不胜防了?
IBM全球安全事业部首席架构师Ron Williams对《中国电子报》记者表示,其实信息安全的攻防与现实世界的很多场景很相似,无外乎几种状态,就像你行走在路上,突然猛开过来一辆车,你的应对就几种方式,其一是看到它冲过来,提前跳开,其二是它冲过来把你撞到了,其三是有一个墙挡住了车。信息安全的构建和防御是同样的道理。尽管这些年,环境发生了很大的变化,挑战越来越多,但信息安全体系的构建依然还是哪些原理。攻击方之所以能够攻破一个体系,一定是你的体系中有脆弱的地方,要么是人性的弱点,要么是系统中有弱点,攻方总是从脆弱的地方攻破的。所以我们要做的就是找出薄弱的地方,进行加固,隔离。其实最大的挑战是我们不知道威胁在哪里,威胁是什么?
过去的攻方相对“散兵游勇”,现在的攻方越来越专业作战,越来越强调经济效应,越来越产业化运作,这对于防护、对于信息安全来对是更难办还是更好对付他们?Ron Williams认为,当黑客或网络犯罪越来越组织化防御起来会更加容易。就像初创企业和类似IBM这样的大型企业的区别,初创企业行动特别快,只要把产品抓紧做出来就行。而大型企业有标准、有流程、有一致性的。而最近的勒索软件的攻击,其实他们的能力和打法很相似,对于我们来说能够更快的找到他们的特点,进行防御工作。
Ron Williams同时表示,现在想端掉犯罪团伙难度也越来越大。就好像打掉某些犯罪团伙或者犯罪的组织者,更多的是需要各国主权执法,超越了商业范围也超越了一个企业的范畴。
应该如何防?
在这些原则下,我们应该具体怎么做?
要实现Ron Williams所表达的完备防御,IBM大中华区安全事业部总经理陈文丰表示,这其中有三个关键,其一是需要有效的威胁情报,其二是要有一个能够实现联动和协同的平台,其三是要有运营安全中心的理念。
陈文丰认为,威胁情报是做安全的精髓,应该有大而全的情报,共享的构建快速响应情报中心是信息安全的一个关键。IBM自己也是这样践行的,据介绍,目前IBM安全服务部每天管理超过200亿个事件。IBM安全事业部托管着全球规模最大的URL数据库之一,内含超过250亿个网页和图像,每天可收集1,000多个金融恶意软件样本,利用超过2.7个终端及其他来源的情报。与此同时IBM在全球运营着10个SOC,在过去5年中,IBM已经为数十个行业的客户建立了300多个安全运营中心(SOC)。他们将这些信息通过x-force报告定期分享给业界。
具体如何来实现三重保护,IBM认为防护的“第一重”是智能的安全平台。安全智能平台能够使企业资产、风险可视化,同时具备实时的侦测能力,通过关联发现正在发生的威胁,及时响应并执行。IBM有一系列的产品来帮助企业建设这样的平台,代表性的是IBM
QRadar,它可将用户行为与日志事件、网络流、威胁情报、漏洞和业务上下文相匹配,从而分析和预测风险。
防护的“第二重”是安全运维中心。企业拥有了一个智能安全平台和IT架构后,如何保证其发挥作用,安全运营就显得至关重要。现在很多企业用管理普通IT架构的方法来管理企业的安全平台,这显然无法适应瞬息万变的网络环境。普通的IT架构的管理重点在于系统顺畅的运营和稳定,但网络安全的重点则在于紧密的检测和及时的相应。这是一个非常特殊的领域,必须引入专业的人、流程、安全策略,并单独建立安全运维中心。
防护的“第三重”是最新的网络威胁信息:安全运维中心需要外部的信息帮助企业,一个是威胁情报,这些信息会告诉你漏洞在哪里,哪些
是恶意攻击等,所以企业需要及时获取信息进行及时的打补丁,防御。
中国企业应该如何做?
目前在中国市场用户所面临的安全挑战与全球有什么不一样,如何让中国用户快速构建起牢固的安全防御体系?
陈文丰表示,目前中国用户在安全方面的最大挑战其实是安全理念的缺失。一些中国企业还没有完全建立安全的意识,认为买买防病毒软件就能保护企业的安全了。多数企业安全意识薄弱,认为企业安全只是简单的病毒防御。国内很多企业依然片面强调“防御”的安全战略,在对安全产品的采购上也大多停留在单个的安全产品。这种零散的端点保护能力,使得企业安全防御“能见度不足”。
认识不到重要性,所以就在投入上也偏低。中国企业安全方面投入远低于国际水平。根据一项最新进行的SANS调查,在2016年,大多数美国公司预计的IT预算均值为500,000到1,000,000美元,占企业总体IT预算的7-9%。目前我国30.3%的企业每年基本上没有信息安全预算,而进行信息安全投入的企业投入占比也仅为整体IT投入的2%,远低于欧美市场 8-12%的水平。
IBM是全球领先的企业级网络安全技术和服务提供商, 在企业安全领域拥有公认的领先地位,有超过 3500 项安全专利。拥有一支为133个国家或地区超过12000位客户提供支持的7500人安全团队。现在IBM希望把这样的能力更多地带到中国市场,联手国内合作伙伴一起服务更多的中国用户。
陈文丰表示,IBM希望输出在全球SOC建设方面的技术和经验,协助本地的合作伙伴建设新一代的安全运营中心,开放包括APP exchange、Qradar API, IBM X-Force Exchange API,等接口帮助安全厂商开发安全产品,并将最新的x-force网络威胁情报分享给企业,帮助中国的企业抵御网络安全风险。
据陈文丰透露,安全运营中心的建设至少需要5-6个月以上,所以目前IBM与中国本地伙伴正在构建安全运营中心已经在紧锣密鼓的实施中,很快就有第一家面市。他同时表示,希望与中国拥有行业背景或者是拥有自主安全技术的厂商合作,加速将IBM的国际安全经营、技术与本地市场和行业做更深度的融合。