近期,首都北京的疫情防控出现新的变化,受covid-19病毒特性影响,可以预见很长一段时间我们都将面临疫情带来的持续压力和不确定性,由此带来的对数字化工具产生的爆发式需求和形成的使用习惯、远程办公模式,也将随着疫情不断继续和深化。
这也给企业安全带来了新的挑战。一方面,当企业通过数字化工具和新的办公模式重塑业务时,网络安全的边界也随着扩大变得更加复杂。例如企业在进行混合云部署时,涉及从本地到多个公有云之间的接入,入口的增多不仅带来了管理困难,也意味着出现更多的安全漏洞和更大的被攻击风险。
另一方面,疫情正在成为不法分子普遍选择的网络攻击诱饵。相较于去年,勒索病毒虽然数量有所降低,但是攻击手段却在持续创新。当你近期收到一封冒以人事经理或部门领导之名的“xx市最新疫情感染者名单及行动轨迹”的邮件时,对于疫情的恐惧和信息需求的增加将导致这封钓鱼邮件被点开的几率大大增加。
因此,对于企业而言,如何应对网络安全挑战、解决痛点,这是后疫情时代下必须直面并深入思考的问题。在ibm近期举办的“新常态下的云安全与安全策略”线上沟通会上,ibm大中华区云计算与认知软件业务信息安全技术总监高爽和ibm大中华区安全事业部服务经理王巍针对后疫情时代的网络安全风险、混合云安全策略以及企业如何针对未知威胁防护进行了分享。
在王巍看来:“云计算、大数据以及人工智能带来的技术变革正在不断改变我们的业务模式;尤其是疫情当下,我们都在以新的方式开展工作。在数字化转型的大背景下,持续关注不断变化的网络安全环境,了解企业在安全风险、挑战和目标方面的现状将变得尤为重要。”
“新常态”下的网络安全挑战
面对疫情在全球范围内的持续发酵以及国内的零星复燃,“新冠病毒”正在被越来越多的不法分子所利用,如勒索软件、网络钓鱼及其他恶意软件发送工具,纳入新冠肺炎关键字以利用人们的恐惧心理来达成攻击目的。高爽介绍,早在1月中旬,ibm就关注到针对疫情的恶意邮件,攻击者伪装成世界卫生组织(who)、疾病控制预防中心(cdc)等实体,骗得受害者信任后设法进入收件箱。
“ibm的调查显示,勒索软件已经成为cio最为关注的问题。”王巍表示,当前网络攻击正在向高级威胁过渡,复杂化、组织化、专业化成为网络攻击愈加明显的特征,网络攻击分子会千方百计地寻找潜在的安全漏洞,这将带来持续增长的网络安全风险。
王巍表示,本次疫情对于企业也是一次倒逼,很多企业为了保证业务连续性,被迫采用线上办公、远程协同的工作模式,但仓促上阵难以对安全威胁进行全面的评估和考虑。例如现在越来越多的企业选择迁移到云端,从而获得更高的灵活性、敏捷性、扩展性以及更具成本优势。然而,公有云基础设施也会放大安全风险和合规挑战。任何一款云应用使用的数据都有所不同,这需要企业有针对性地进行评估。
更重要的是,几乎所有云供应商都会在其平台上内置某种形式的安全措施,并且企业用户往往都认定这些由供应商提供的安全措施足够有效,但事实上却远非如此。
王巍表示,云安全应该是一种责任共担。“对于用户而言,平台基础设施的安全应该由云供应商负责,而确保数据安全则是企业的责任。”王巍介绍,很有可能用户对于权限的一个配置错误,就会使数据暴露在互联网上,遭受黑客的攻击。
特别是在金融行业,王巍认为,用户必须通过一个完整的视角去审查自身数据中心、云端之间安全形态,而不仅仅依赖公有云上的云原生安全管控。“在云安全风险管控上,国内企业对云服务商抱有过度信心,认为云供应商提供的安全功能足以保护其免受威胁,往往忽视了自身必须进行的云安全工作。”王巍坦言道。
“化零为整”将成为混合云安全趋势
根据idc数据显示,云的采用率在迅速增长,但研究发现企业仅有大约20%的工作负载部署在云上,阻碍企业上云最普遍的因素在于企业缺乏在多个云环境之间迁移和管理数据、服务和工作流的能力。这一现状促使技术部门认识到,混合多云才是云计算的未来。
“在面对混合云架构的时候,安全问题则变的更为复杂。”高爽介绍在企业将更多应用迁移到不同云的过程中,如何建立混合云策略去解决企业遇到的安全问题,包括数据保护和协议、可视化以及云管理等就变成了一个新的课题。正是观察到这种趋势,ibm于去年第四季度推出了专门针对混合多云环境的ibm cloud pak for security安全凯发k8官网下载的解决方案,高爽将其优势概括为以下两点:
首先,cloud pak for security作为一个整体安全管控平台,可以针对不同的安全产品、架构以及不同公有云服务商的安全策略进行整合和管理。当用户需要针对网络威胁进行调查时,不管是本地数据中心的安全系统和防护功能,还是云环境中的不同云供应商提供的自有协议、自有格式的安全数据,cloud pak for security都能以一种统一的方式跨不同数据源进行安全事件调查,并且这些数据仍然存放在原有系统中,cloud pak for security提供的是连接和集成关系。
高爽介绍,在进行安全事件调查分析时,it管理者只需要关注调查的主题,cloud pak for security平台可以连接所有不同种类的数据源,将所关注的安全情报以统一的界面展现到分析控制台中。值得一提的是,cloud pak for security平台本身还内置了ibm x-force,可以借助外部的威胁情报,主动针对所处的环境去做预警式的调查。
其次,针对安全事件的响应方面,cloud pak for security集成了soar(安全编排和自动化响应)的平台功能,拥有统筹安排并自动执行事件响应的能力,全面应对各类复杂的攻击。在cloud pak for security平台里,可以整合来自人员、流程和技术方面的信息,能为分析师提供相关的信息和工具,针对当前安全事件的性质、严重程度,动态标准地去实现响应处理。
高爽介绍目前cloud pak for security已经帮助国内的一些大型银行、制造企业跨云整合安全工具和数据,实现混合模式部署,从复杂云安全工具中厘清云上安全管理,提供整合的云上安全服务。
针对未知威胁ibm如何“未雨绸缪”
在高爽看来,哪怕没有疫情,在混合云模式高速发展的今天,如何有效管理、发现未知威胁、应对这些未知威胁本身就是一个很有挑战性的课题。应对新形势下的网络威胁,高爽认为需要企业从被动保护转变为主动防御,需要将人员、流程以及技术和洞察力联成一体,能够快速、自信地识别和响应威胁,具备可视性、检测、调查和响应等能力。
以金融行业为例,他将这四个阶段逐一进行了阐述:
第一个阶段是可视性,相较于传统数据中心的方式,高爽认为云平台对于可视化的要求将变得更高,由于云平台数据流量采用的不同模式,企业需要关注包括容器层面的可视性;
第二个阶段是识别与检测,企业需要专业厂商提供云安全服务,通过智能化的模式实现未知威胁的快速识别;
第三个阶段是调查,企业需要思考在混合云环境中如何跨多数据源进行调查;
第四个阶段是响应,企业必须协同各种工具对事件进行响应,并加快从检测到响应的速度,减少手动操作。
针对以上四点,高爽介绍ibm提供了从战略、方法和凯发k8官网下载的解决方案层面设计的一整套凯发k8官网下载的解决方案:针对威胁检测,ibm qradar 智能分析平台以 siem 日志管理和日志分析为核心,可快速而精准地检测内部和云环境威胁、理清威胁主次、展开调查并积极应对所需的可视性和分析技术;针对威胁管理,ibm cloud pak for security可以跨数据源开展调查,利用高质量的威胁情报分析影响范围,进行安全事件响应的自动化编排。此外,ibm还拥有x-force 威胁情报研究团队,高爽介绍这是世界上最知名的商业安全研究团队之一,这些安全专业人员监控和分析各种来源的安全问题,提供威胁情报内容,作为 ibm security 安全产品服务组合的基础。
值得一提的是,在发现威胁的过程中,高爽认为安全厂商不仅需要先进的技术,还需要实践经验进行沉淀。在此方面,ibm在全球运营着8个分支机构,这些在安全领域的实践积累将有助于帮助金融客户更加的应对威胁风险。
小结
面对疫情带来的新常态,整合无疑是cio/ciso们最为艰巨的任务。企业不仅需要建立起跨混合多云环境的安全管理平台,将企业所有的安全数据和工具通过平台化连接在一起。对于ciso而言,还需要考虑如何与各个部门有效合作,从而实现对业务进行有效支撑。高爽认为,企业必须通过培养全员安全意识,共同筑起新常态下的“病毒”安全防线。