数字化转型是企业释放“数字经济”价值的必由之路。根据IDC的调查,“到2020年,至少55%的组织将成为“数字化的坚定者”状态,即拥有整体的数字化战略,单一路线规划以及全企业范围的整体科技架构。”
在“数字经济”主宰的大时代,数据的形态、流动与价值都被重新定义,它的形态不再拘泥于文档、表格,被海量的非结构化数据所淹没;它的流动不再局限于企业自身数据中心的防火墙背后,从移动设备、云端到物联网的末端;它的价值经过大数据分析转化为商业的洞见,算法模型,并最终汇入企业生产力流程的各个环节中。
数据泄露的长尾效应
与数字化转型相伴而生的是自动化程度更高,更复杂,潜伏时间更长的安全威胁态势,比如勒索软件、零日攻击、定向攻击、APT(高级持续性威胁)等等恶意攻击手段,都成为了企业在数字化转型道路上的“绊脚石”,而且都在不同程度上造成企业数据的泄露,进而给企业的财务、品牌资产、客户和员工生产力等带来长期隐患。
近日,IBM安全事业部公布了一项年度调研结果,揭示了数据泄露对企业财务产生的影响。调查显示,过去5年数据泄露成本上升了12%,目前数据泄露的平均成本已达到392万美元。
在报告中,IBM首次前瞻性的提出了数据泄露造成财务影响的“长尾效应”。报告显示,数据泄露的影响持续数年。数据泄露成本平均有67%出现在事发后的第一年,但仍有22%出现在第二年,另有11% 在两年后才会显现出来。尤其,对于医疗保健、金融服务、能源和医药等受到严格监管的组织机构而言,第二年和第三年的长尾成本损失相对会更高。
通过数据不难看出,数据泄露不仅单纯给企业的财务带来直接影响,它造成的“沉默成本”更为可观。就拿美国市场来看,美国的数据泄露成本平均可达819万美元,是调研中全球受访企业平均水平的两倍多。在过去14年的调研中,美国的数据泄露成本增长了130%,其2006年的调研结果为354万美元。
而美国在IT安全投入和市场规模上都领先于全球其他区域市场。根据IDC的预测,美国的IT安全投入占到了其IT总投入5%,是中国2.19%的两倍多;在2018年,美国的IT安全市场规模占到了全球的942.2亿美元的44.2%。
我们不禁会问,如此高的市场规模占比和投入,为何仍然让美国的数据泄露防护不堪一击?IBM全球安全事业部数据安全销售总监Tony Trama认为企业的IT安全投入与受到的安全威胁,并不是单纯的线性关系,受到很多因素的共同作用,他举例道,“美国维护安全环境的成本很高,比如IT安全专家的劳动力成本,发生数据泄露所面临的诉讼成本,以及长期的保险投入等,而不仅仅是直接的恶意攻击和数据泄露损失。”
通过IBM的调查了解到,“数据泄露的平均生命周期为279天,即在事件发生后企业平均需要206天才能发现,另需73天才能控制住事件发展态势。可在200天内发现并有效控制数据泄露事件的调研受访企业,其数据泄露事件的总体成本可减少120万美元。”
毋庸置疑,数据泄露长尾效应的提出,为企业加快网络安全事件的响应速度敲响了“警钟”。企业可以通过建立完善事件的响应团队,以及提前部署事件响应计划并开展全面测试两项举措,能有效遏制数据泄露长尾效应的影响,降低数据泄露给财务造成的“显性”和“沉默”成本。
“三位一体”的事件响应
IBM正在以SOAR为理念构筑起基于威胁检测、自动化响应和导入AI的“三位一体”的网络安全事件响应体系。“这套事件响应体系已经在金融、保险、证券、汽车、零售、制造和医疗等行业得到了全球市场的充分印证和考验”,IBM大中华区安全事业部总经理陈文丰说。
IBM大中华区安全事业部总经理陈文丰
Qradar在安全信息和事件管理平台(SIEM)方面享有盛誉,一直是大型企业进行安全威胁检测的首选解决方案。在Qradar基础上,IBM率先倡导安全运维,自动化和响应(Security Operation & Automation Response,SOAR)的理念,推出了SOAR响应平台Resilient。
Resilient的推出不仅弥补了SIEM只关注威胁检测的结果,更进一步提升了企业事件响应的自动化水平。同时基于AI能够从全球化视角进行态势感知,帮助企业缓解因为安全专业人才匮乏所带来的挑战。Gartner认为,Resilient目前是第一个满足其定义的能够对事件进行自动快速编排和响应的端到端平台。
SIEM平台Qradar、响应平台Resilient和AI专家Watson for Cyber Security协同组成了全新的企业安全运维,自动化和响应的“大脑”。
“Watson for Cyber Security是云上的AI态势感知专家,具有全球化的视角。它汇集了IBM X-Force实验室的智慧,它每天会学习大量的安全数据,有结构化和非结构化的,所以它了解全球最新的高级攻击,实时反馈给Qradar跟企业内部的数据和记录做关联分析,以可视化的方式呈现可能的高级攻击威胁”,陈文丰解释道。
AI在网络安全中的使用,使得企业的安全响应团队的效率和能力大大提升,例如监督学习,图形分析,推理过程和自动数据挖掘系统,安全响应团队可以减少大量手动和容易出错的研究,做出调查结果预测,以及识别安全威胁的参与者,活动,相关警报等。
“AI的导入能够帮助中国企业解决人才短缺的挑战,更快速的合规,面对未知风险更加从容”,陈文丰说。
拥有了“三位一体”的事件响应体系,能将企业的自动化水平和事件响应水平大大提升,但在未来持续的安全威胁高压下,企业还能够得到来自IBM X-Force Command(简称:C-TOC)网络战术行动中心的支撑,帮助企业通过C-TOC验证事件响应计划和部署测试,在这里企业能够得到8000位IBM的安全专家的建议。
不让性能“打折”的Guardium
Guardium是IBM另一个“王者”级的安全解决方案,它可以帮助企业进行加密、数据保护、活动的监测、找出受监管数据和数据库中的漏洞,以降低风险。
IBM全球安全事业部数据安全销售总监Tony Trama
“Guardium与其他数据泄露防护解决方案相比,拥有三方面的优势。第一是敏捷性;第二是高效的报告;第三是Guardium的安全数据池,”Tony Trama说。
敏捷性方面,Guardium采用IBM独有的探针技术,Guardium部署上采用在数据库服务器上安装agent的方式,这不同于采用SPAN方式(监控交换机的上的网络流量),它可以监测到进入数据库后台进行的访问行为,具体就是4W+1H。但访问行为的安全策略由企业自定义设置,而且会对数据进行‘脱敏’。“IBM不断优化Guardium的技术架构,使得其对数据库的性能影响很低,仅3%”, 陈文丰说。
高效报告方面,安全团队能够从海量的安全日志和记录数据中,在很短时间内汇总成数据报告。“以前需要10几个小时的数据报告进程,现在可以缩短到秒级”,Tony Trama强调。
Guardium堆栈是一个大数据的资源池,它整合了关于数据库安全的数据情报,让企业能够获得最长90天以上的数据库安全情报。
等保2.0,IBM已经做好准备
2019年5月,我国的网络安全等级保护2.0标准正式发布,将于2019年12月1日起正式执行。新等保标准实现了保护对象的全覆盖,更具普适性与指导性,对象扩大了通用要求(基础网络)和扩展要求(工控、云计算、大数据、物联网、移动互联),以更适应当前信息化、数字化高速发展所面临的新问题和新挑战。
在刚刚举行的2019年IBM安全峰会上,IBM重篇幅向企业阐述了对等保2.0的理解。比如等保2.0的安全防护思想特别强调了一个中心,即安全管理中心的重要性,这与IBM的SOAR不谋而合。
比如安全区域边界扩展到云计算,IBM已经在中国落地了云安全SaaS服务IBM Cloud Identity,由21世纪互联运营。它可简化包括云在内各个环境的用户访问,进行多重身份验证、保障安全。利用企业本地现有的身份管理平台以保护已有的投资和用户隐私,实现云端应用的快速、可配置的访问管理。收购红帽后,IBM正加速将红帽在混合云,多云自动化和管理方面的能力整合进IBM的安全体系中,给客户提供更完整的安全和合规评估。
“IBM正积极帮助中国企业应对等保2.0所带来的合规挑战,因为IBM不仅有专业的知识、专业的产品,还有在中国实践的经验”,陈文丰说。
等保2.0对于IBM是挑战也是机遇,机遇在于IBM不仅拥有完备安全解决方案,还能为中国企业提供合规相关的咨询服务;挑战在于,等保2.0已经将等保1.0时代的安全行业扩展到了全行业,不同行业企业会对安全产品与解决方案的合规性提出更高的要求,同时IBM也面临来自中国本土市场竞争对手的挑战。
结语
“数字经济”正加速向以传统行业为主的产业互联网推进,企业的数据价值如何有效、有保障的激活,是企业在数字化转型道路上不得不面对的课题。所以捍卫“数字经济”的成果,企业在业务维度、技术维度、战略维度和风险治理,以及人才培养方面需要与IBM这样的队友同行。
