随着企业数字化转型的深入，越来越多的企业应用和数据分布在公有云、私有云和本地系统的异构环境中，保护这些日益支离破碎的 IT 基础设施和数据对于企业的安全团队来说是个艰巨的挑战；与此同时，“安全工具过剩” 也导致企业安全分析和安全运营的难度和成本不断上升，而 IBM 的 Cloud Pak for Security 正是瞄准了这个痛点。这一次，IBM 一次性脱手飞出两个杀手锏：一个是跨云跨平台跨工具且无需移动数据源的 “吸星大法”，另一个是开放开源的 “生态自信”。

云安全一直是一个很重要的议题，IBM 商业调查报告显示 85% 的客户在使用多云环境，另外，98% 的受访者客户在未来三年不只采用多云环境，他们还会采用混合云环境。在多云跟混合云的时代里，企业面临着上云过程中产生的数据、应用、开发，包括数据的安全等诸多挑战。很多知名企业购买多种云安全工具保护数据，但是安全工具之间相互独立，各类风险使企业上云愈加复杂化。

IBM 近期发布了 Cloud Pak for Security，系统无需从原始数据源移动数据而能连接任意安全工具、云和本地部署。这是一次开拓性的创新。安全牛采访了 IBM 大中华区安全事业部总经理陈文丰和 IBM 大中华区安全事业部技术总监张红卫。

IBM 大中华区安全事业部总经理 陈文丰

企业上云困境

企业在上云过程中遇到过，可能同时购买使用几十个工具和解决方案, 产生大量的日志，安全管理人员能否有效的处理日志里的告警？相当一部分的答案是没有，原因是：

首先，数据量庞大，安全管理人员过少；

其次，日志数据中噪音量太多，无法在海量数据里确认真正威胁。

目前安全厂商推出的解决方案 SIEM，收集日志数据，通过关联分析发现真实告警信息和真正威胁。当 SIEM 发现安全事件时，响应的第一步是对其进行调查，安全分析人员发现，SIEM 平台中数据不够，需要外界情报、第三方数据等协同完成调查分析。调查时可能还会涉及HR信息等多种数据源辅助调查，得出结论。如果把需要的数据全都传给SIEM，成本较高，大多 SIEM 按照存储或EPS方式计费，而且数据存储压力相当大。

基于现在市场上安全厂商的解决方案，IBM 发布了不移动数据即可完成调查、分析的产品——Data Explorer （联邦搜索与调查） ，它是 IBM Cloud Pak for Security 的功能之一。该平台包括了用于搜索威胁的开源技术，能够帮助加速自动响应网络攻击，而且可在任何环境中运行。它能够跨任何安全工具和跨不同云来搜索威胁，帮助组织作出基于风险的决策。

Cloud Pak for Security 跨多平台搜索

2019 年国内发布的等保 2.0 已经于 12 月 1 日正式实施，整个信息安全行业将得到重要的边际改善。等保 2.0 的实施范围也扩大到了基础的网络设备，所要保护的对象是从工业安全、云安全、大数据安全多维度的保护。IBM 看到整个国内外的变化，并积极应对变革。

Cloud Pak for Security 高效利用、合理调用安全工具，通过开源的技术可以跟所有的安全工具实现互通、互联。实现威胁分析、威胁狩猎的功能。产品应用容器化技术，提供自动化响应能力，解决上云面临的挑战。

IBM 大中华区安全事业部技术总监 张红卫

Cloud Pak for Security 三项初始功能

01、在不移动数据的情况下获得安全洞察

为进行分析而传输数据会带来额外的复杂性。IBM Cloud Pak for Security 能够连接所有数据源，以发现隐藏的威胁，从而做出更好的基于风险的决策，而无需移动数据。利用 Cloud Pak for Security 的 Data Explorer 应用，安全分析师能够非常顺利的跨任何安全工具或者跨云来搜索威胁。如果没有此功能，安全部门将不得不在每一个单独的环境中手动搜索相同的威胁指标。Cloud Pak for Security 是业界第一款不需要将数据迁移至平台即可进行分析以支持此类搜索的工具。

02、自动的快速响应安全事件

IBM Cloud Pak for Security 在统一的界面下把安全工作流与自动规程连接起来，这样，安全部门能够更快地对安全事件做出响应。该平台支持企业编排数百种常见安全场景的响应，指导用户完成整个过程，用户能够迅速访问适用的安全数据，使用合适的工具。IBM 的安全编排、自动化和响应功能与 Red Hat Ansible 相集成，提供了更多的自动化规程。通过规范整个企业的安全流程和活动，企业能够更快、更有效地做出响应，同时为自己提供了加强监管审查所需的信息。

03、可在任何地方运行，开放的安全连接

IBM Cloud Pak for Security 可以轻松地安装在任何环境中，无论是本地、私有云还是公有云。它提供的统一界面简化了操作，由预集成了 Red Hat OpenShift 的容器化软件组成——OpenShift 是行业最完善的企业级 Kubernetes 平台。

IBM 在设计过程中与数十家客户和服务提供商合作，开发的解决方案解决了遍布整个安全行业的关键互操作性难题。Cloud Pak for Security 包括了用于与流行安全工具进行预集成的初始连接器，这些工具来自 IBM、Carbon Black、Tenable、Elastic、BigFix、Splunk，以及包括 IBM 云、AWS 和微软 Azure 在内的公有云提供商。该解决方案建立在开放标准上，因此它可以在企业的整个基础设施上连接其他安全工具和数据。

Enterprise Strategy Group (企业战略集团)资深首席分析师 Jon Oltsik 评论说：

企业已迅速采用新的安全技术来应对最新的威胁，而现在却不得不使用数十种相互独立的工具，这些工具并不总是能很好地协同工作。业界应转向更开放的技术和统一平台来帮助客户解决这个问题，这些技术和平台可以充当安全单点工具之间的 ‘粘合剂’。IBM 的方法符合这一需求，并有可能把安全堆栈的每一层整合到一个简化的单一界面中。

为进一步加速业界向开放安全的迁移，IBM 还率先实施了开源项目，使安全工具在整个安全生态系统中能够自然的协同工作。此前，IBM 同全球二十几家安全厂商成立了 Open Cybersecurity Alliance（开放网络安全联盟），该联盟旨在开放云代码技术，达到开放世界里有效的整合，以此完成不移动数据实现搜索和自动化响应。开放网络安全联盟正在共同研究开放标准和开放源代码技术，以实现产品的互操作性，避免安全行业的供应商锁定问题。

安全市场持续发力

从 IBM 此次发布 Cloud Pak for Security，可以发现该平台不仅能关联各个安全工具之间的数据，还可以良好完成云支撑，推进着安全管理的变革。IBM 还表示在过去的两年中已推出态势感知平台——QRadar，并在中国推行不同行业的企业免疫力检查，例如银行业、金融、保险、证券、汽车业、高科技、制造业、房地产业、餐饮业。

目前中国企业安全问题主要体现在两个方面：第一，安全的意识相对薄弱；第二，预算不够充足。

调查显示企业大部分问题还是在偏硬件、防火墙，没有一个整体的安全梳理，即使态势感知平台都不是做的那么完整，所以他们并没有发觉问题。如何从海量数据中挑出真实威胁，对企业的运营是至关重要的。尽管国内等保 2.0 以后，相信大部分企业会重视安全的防范。大多数组织认为购买部署硬件防火墙即可解决问题，其实离安全防护还有一定距离。企业购买使用几十项安全工具，但仍受困于安全人才短缺，组织更加需要将各平台之间的数据完成关联，便于进行管理和审计。

可以发现产品和服务均是相辅相成，今年 IBM 在安全业务的领域增长较为明显。因等保 2.0 的实施，逐渐会有很多合作伙伴一同发展。希望 IBM 的产品能够协助国内所有客户，更好的符合法律法规的要求。关于安全托管服务，IBM 在全球都有做安全托管，这个模式在国外非常普遍，而且很多客户企业是因为人才的短缺。在中国IBM选择和国内伙伴展开合作，谋求中国市场更加良好的发展。

后记

企业上云带来了软件开发部署模式上的革新，但依然面临诸多挑战，信通院的《2018年中国混合云发展调查报告》数据显示，受调查企业有 22.9% 存在资源调配能力及效率低的问题，而多种安全工具的使用难以避免的使安全管理的 “门槛” 升高。此次 Cloud Pak for Security 的发布，首创了关联搜索功能，可以跨安全工具和多种云平台收集数据。从另一种角度看，IBM 发布自动化的关联搜索类产品，加强了威胁告警速率，开放更为安全的连接。