關注安全領域的人們一定還記得，在剛剛過去不久的12月1日，網絡安全界發生了一件大事--2019年5 月發布的網絡安全等級保護2.0標準開始正式執行了。

　　等保2.0實現了保護對象的全覆蓋，等級保護對象由原來的信息系統調整為基礎信息網絡、信息系統（含采用移動互聯技術的系統）、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等。其中，云計算安全擴展要求是針對云計算環境的特點提出的，包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云計算環境管理”和“云服務商選擇”等。

　　有評論指出，等保2.0更適應當前信息化高速發展所面臨的新問題和新挑戰。

　　事實上，如今云安全已經成為企業普遍面臨的挑戰。據調研機構Forrester預計，到2020年，全球云安全解決方案的支出將達到35億美元，年增長率高達28%。

　　分散的IT環境，碎片化的安全態勢

　　近年來，隨著云應用越來越成熟，已經有越來越多的企業把關鍵任務工作負載遷移到云環境中，應用和數據分布在多個私有云和公有云以及本地資源中。

　　對此，IBM大中華區安全事業部總經理陳文豐表示，這種分散的IT環境極有可能造成漏洞，讓威脅有機可乘。
　　而為了應對層出不窮的新威脅，企業常常會采用很多新的安全工具。在很多企業中，這些相互獨立的安全工具往往多達十余種，甚至數十種。

　　在市場調研機構Ovum Research發布的一份關于亞太地區大型企業云安全現狀的報告中， 有76% 的企業在自己的基礎設施中部署了10個以上的安全工具以實現云安全。但是，過多的安全工具也造成了安全態勢的碎片化。

　　因為這些工具并不總是能很好地協同工作，這不僅讓安全部門的構建和維護成本都非常高昂，為了保護這種分散的 IT 環境，還要求安全部門進行復雜的集成，在不同的屏幕和單點產品之間不斷的切換。

　　而超過半數的安全部門表示，他們很難把數據與不同的安全和分析工具集成在一起，也很難跨云環境把數據整合起來，以發現高級威脅。

　　Enterprise Strategy Group (企業戰略集團)資深首席分析師Jon Oltsik指出，“業界應轉向更開放的技術和統一平臺來幫助客戶解決這個問題，這些技術和平臺可以充當安全單點工具之間的'粘合劑'”。

　　采用 IBM 首創開源技術的第一個平臺

　　正是因為早就看到了這樣的變化和趨勢，10月9日，IBM聯合McAfee、Fortinet、CyberArk等20余家安全廠商共同成立了開放網絡安全聯盟（Open Cybersecurity Alliance）。

　　陳文豐告訴記者，成立這個安全聯盟的目的是希望用開放云代碼的技術，讓聯盟中各成員的安全技術實現更有效的互通、互聯；建立統一的標準、統一的協議、開源的代碼，讓聯盟成員之間可以進行數據交換，甚至分享洞察；讓企業能夠在開放的世界里實現更有效的整合，把不同的安全工具有效的利用、調用起來。

　　IBM安全事業部在美國時間11月20日推出的Cloud Pak for Security就是這樣的產品，通過開源技術可以和所有安全工具互動。

　　IBM大中華區安全事業部技術總監張紅衛介紹，Cloud Pak for Security 是采用 IBM 首創的開源新技術的第一個平臺，這個開放平臺運行在Red Hat OpenShift容器之上，支持跨任何云或者本地環境，輕松的實現“容器化”部署。而且，隨著企業不斷添加新的云部署和遷移，該平臺都可以輕松地適應新環境并支持不斷擴展。
　　目前該平臺上已推出了兩個服務能力：聯邦搜索和調查（Federation for Research），以及安全編排和自動化響應（SOAR：Security Operation & Automation Response）。

　　聯邦搜索和調查

　　“Cloud Pak for Security實現了業界首次無需從原始數據源移動數據而能連接任意安全工具、云和本地部署系統。”張紅衛解釋到，該平臺在聯邦搜索和調查功能中利用了邊緣計算的概念，不用移動數據源的數據，只需要與數據之間建立一個連接，就可以通過聯邦搜索和調查在各個數據源進行調查，然后把相應的結果反饋回來，在平臺的終端進行展現。

　　利用 Cloud Pak for Security 的 Data Explorer 應用，安全分析師可以順利的跨任何安全工具或者跨云來搜索威脅。否則安全部門不得不在每一個單獨環境中手動搜索相同的威脅指標，如惡意軟件簽名或者惡意 IP 地址等等。

　　據悉，在開放網絡安全聯盟里，成員都可以利用STIX標準協議和STIX Shift開源工具，在自己的產品里集成該平臺，實現開箱即用。

　　而且，IBM 在設計過程中與數十家客戶和服務提供商合作，開發的解決方案解決了遍布整個安全行業的關鍵互操作性難題。Cloud Pak for Security 包括了用于與流行安全工具進行預集成的初始連接器，這些工具來自 IBM、Carbon Black、Tenable、Elastic、BigFix、Splunk，以及包括 IBM 云、AWS和微軟 Azure在內的公有云提供商。

　　安全編排和自動化響應

　　安全編排和自動化響應功能則包括了三個平臺：事件管理、自動化響應和威脅情報平臺。因為當人們發現一個安全事件的時候往往會進行響應，牽涉到人和人的聯動、人和設備的聯動、以及設備和設備的自動化響應。而IBM的產品Resilient恰好包含了這三個平臺，并且已經被集成到Cloud Pak for Security中。

　　張紅衛指出，與業界其他SOAR產品相比，Resilient有著自己的優勢：

　　第一，Resilient針對不同的安全事件有不同的模板，企業用戶可以基于模板來定制自己的響應流程。目前該平臺能支持企業編排數百種常見安全場景的響應，可以指導用戶完成整個過程，用戶能夠迅速訪問適用的安全數據，使用合適的工具。

　　第二，Resilient的響應流程是模塊化的，比如人力主管由張三換成李四的時候，只需要在模塊里面把張三的名字換成李四的名字，所有的張三就全換掉了，不需要再去每個戰術手冊里尋找替換。

　　第三，Resilient擁有隱私模塊，很多關于個人隱私的法律法規條例已經被集成到其中，當安全事件牽涉到個人隱私時，企業可以根據所在行業、所在地區判斷應該遵守哪些法律法規，再基于這些法律法規采取行動。

　　此外，Resilient還開放了API，可以和很多設備進行集成聯動，這些集成的應用發布到APP 市場里，大家可以到網站上下載，然后和Resilient集成。

　　“但是在Cloud Pak for Security里集成后還有額外價值。”張紅衛補充到，Resilient集成到Cloud Pak for Security后就被放到容器上了，Resilient與紅帽的產品Ansible集成后，很多自動化響應的工具和命令完全可以通過Ansible來完成，擴大了自動化響應的能力。

　　在張紅衛看來，Cloud Pak for Security是企業安全“大腦”的一部分。企業安全架構“大腦”的能力是做安全分析（IBM Qradar）和事件響應 (IBM Resilient)，而安全分析和事件響應的主要功能就是威脅的偵測和調查、事件的編排和自動化響應。“雖然目前Cloud Pak for Security推出的兩個服務能力只是”大腦“的一部分，我們還會繼續加強大腦，讓它更強壯。”
 

責任編輯：劉沙