近日,在IBM 2015 X-Force第三季度报告发布会上,IBM大中华区信息安全总经理林泽芬表示:“目前,IBM正在推动‘安全即服务’的理念和业务模式,以交付服务的方式来为客户提供全套的安全外包托管以及顾问咨询服务。”
IBM大中华区信息安全总经理 林泽芬
神秘的IBM X-Force
IBM X-Force研究和开发团队由几百名安全专家组成,主要研究和监控全球最新的威胁趋势,包括漏洞、漏洞利用、主动攻击、病毒以及其他恶意软件、垃圾邮件、网络钓鱼和恶意Web内容。除了向客户和公众发布有关新出现的威胁和致命威胁的信息。它还提供安全内容来帮助保护IBM客户不受这些威胁的侵害。现在,IBM X-Force帮助客户托管的设备超过两万;每天管理超过150亿个设备;超过3000项安全相关专利;超过2.7亿个终端报告恶意软件。
IBM大中华区信息安全技术总监 张红卫
会上,IBM大中华区信息安全技术总监张红卫表示:“X-Force除了研究外,还有运维中心,X-Force是运维中心的后台支撑。运维中心中的安全事件会报告给X-Force,然后X-Force根据报告提供指导分析,帮助运维中心做安全事件响应。目前,IBM的XForce安全报告,提供了免费查询体验的网址及试用接口,如果客户需要将XForce整合进自己研发的安全产品,IBM也提供针对企业用户付费版的情报查询接口产品和服务,协助用户整合并提升产品的安全能力。现在,国际上已有许多合作伙伴的安全产品使用了IBM的安全报告作为支撑。”
IBM 2015 X-Force前三季度报告
首先,我们先回顾一下2015年前两个季度IBM X-Force报告的主要内容。
《IBM 2015 X-Force第一季度报告》指出:纵观2014年,大部分安全事件活动可以通过三大重要主题进行审视:数字世界隐私、基础漏洞及缺乏安全基础知识。此外,去年泄露的电子邮件、信用卡号、密码及其他类型的个人可识别信息(PII)超过10亿。在安全漏洞方面,报告编入了超过9,200个新安全漏洞,这些漏洞影响了超过2,600位供应商,相较2013年增加了9.8%,创下18年来X-Force单年总数的历史最高纪录。
《IBM 2015 X-Force第二季度报告》则聚焦企业内部,指出:内部威胁仍旧是所有攻击类型中的首位。2014年有45%的攻击事件应由外部人员负责,但仍有55%的攻击事件是能够访问组织系统的内部人员所为。
在发布的《IBM 2015 X-Force第三季度报告》中,报告主要讨论了愈发严重的勒索软件和黑暗网络问题。
勒索软件已不是过去的样子,现在的勒索软件不断演变,需要的关注度并不亚于安全防护,勒索软件存在的威胁现在成增长趋势发展。据 FBI 估计,仅 CryptoWall一种勒索软件威胁,到目前为止已使其制作者获利约1800 万美元。甚至执法机构也已沦为受害者。
黑暗网络的攻击以信息和通信公司为主要攻击目标,其次是制造业,接下来是金融和保险业。针对信息和通信业以及制造业的攻击加起来的总和却相当于金融和保险业攻击事件的三倍。黑暗网络就像身处深度未知的海洋中,很大程度上是未知的,并且是未被探索的,同时其中还隐藏着各种掠食者。IBM Managed Security Services(IBM MSS) 的最新体验显示犯罪分子和其他大规模威胁的实施者利用“洋葱路由”(Tor) 软件启用匿名通信作为攻击媒介和僵尸网络命令与控制的基础结构。Tor 网络的路由迷惑设计特点为违法实施者在实施匿名操作时提供了额外保护。它还可以掩藏攻击的实际来源位置,同时可以让攻击者将攻击设计为源自某个特定地理位置。
IBM X-Force推动“安全即服务”的理念 安全产品强调集成性、智能性、专业性
一直以来,IBM在安全方面相对于其他安全厂商来说显得十分低调。但事实上根据Gartner数据显示,IBM是全球第三大安全厂商。与其他安全厂商相比,林泽芬表示,目前IBM正在推动“安全即服务”的理念和业务模式,以交付服务的方式来为客户提供全套的安全外包托管以及顾问咨询服务。而且,IBM在信息安全领域的解决方案强调智能化、系统化,这个领域IBM有端到端的产品和服务能力。
林泽芬还表示,IBM负责一些安全运维托管服务,有十几个安全运维服务中心。它们每天将发现的安全事件进行分析,同时主动地搜索一些网站、调查一些信息,比如:网站分析、垃圾邮件分析,主动的探寻服务收集这些信息。但是,IBM服务团队并不是帮客户托管设备,而是帮不同的单位和客户提供咨询服务,帮助他们运营自己的SOC(安全运营中心)咨询服务,改善SOC流程建设。
此外,张红卫表示,目前企业安全已经从打勾模式转变为集成的架构,立柱式或者单点式的防御已不够,现在转变成怎么做集成架构做好安全。因此,IBM除了提供单点防御外还有集成的架构,IBM安全智能产品QRadar可以收集各种安全产品数据包括设备应用、网络流等海量数据进行智能分析,通过分析进行优先级排序,找到企业真正的安全隐患。
据了解,QRadar本身就是一个大数据平台,专门针对安全信息数据,比如日志,应用日志、设备日志、操作系统日志,包括网络流数据、漏洞的信息、资产的信息、防火墙配置信息等等都会进行收集,然后一起做关联分析。IBM QRadar有集成的分析模型和关联规则,通过关联规则发现潜在威胁。
