數(shù)字化智能時(shí)代 黑色產(chǎn)業(yè)變化新趨勢(shì)

 

當(dāng)黑色產(chǎn)業(yè)比企業(yè)更加熟練運(yùn)用人工智能會(huì)發(fā)生什么？

 

以大數(shù)據(jù)分析為基礎(chǔ)的人工智能技術(shù)的優(yōu)勢(shì)在于，可以對(duì)企業(yè)所產(chǎn)生的數(shù)據(jù)進(jìn)行更加深度的挖掘，這種技術(shù)與黑色產(chǎn)業(yè)相結(jié)合后，所產(chǎn)生的危害，決不是一加一等于二這么簡(jiǎn)單。

 

對(duì)于個(gè)人用戶而言，像獲取用戶密碼、轉(zhuǎn)走用戶存款、騙取網(wǎng)貸，這種竭澤而漁的做法，太容易讓黑客暴露，可以榨取金錢也有限，未免得不償失。而對(duì)于企業(yè)用戶而言，智能化的黑色產(chǎn)業(yè)就要用“恐怖”兩個(gè)字來(lái)進(jìn)行形容了。

 

就拿人們津津樂(lè)道的薅羊毛來(lái)講，比商家更關(guān)注打折活動(dòng)的是誰(shuí)？不是用戶，而是黑產(chǎn)。用戶只不過(guò)是用業(yè)余時(shí)間去關(guān)注或參與一下，黑產(chǎn)可以24小時(shí)不停歇的全程參與；用戶搶優(yōu)惠卷靠手工，黑產(chǎn)搶優(yōu)惠卷靠編程；用戶積贊靠親朋，黑產(chǎn)積攢靠水軍、肉雞、號(hào)池，漏過(guò)一點(diǎn)企業(yè)優(yōu)惠就算他輸！

 

企業(yè)如果不發(fā)券，而是直接打折呢？那樣就更簡(jiǎn)單了，真有價(jià)格優(yōu)勢(shì)的，直接下單全部買空，再轉(zhuǎn)手賣出。就算沒(méi)有價(jià)格優(yōu)勢(shì)也可以買完隨手就退貨，讓企業(yè)白忙一場(chǎng)。

 

企業(yè)的數(shù)字化轉(zhuǎn)型，連營(yíng)銷都做不下去，憋也能把企業(yè)給憋死。但這還不是最嚴(yán)重的，更嚴(yán)重的是讓黑客抓到企業(yè)在云端（公有云、私有云或混合云中）的系統(tǒng)漏洞，從而滲入企業(yè)內(nèi)部盜取營(yíng)銷數(shù)據(jù)、客戶信息，甚至在企業(yè)業(yè)務(wù)應(yīng)用中夾雜木馬，如此除了可以讓黑客再獲取大量肉雞、壯大水軍之外，還可以對(duì)目標(biāo)企業(yè)進(jìn)行全面掌控，影響其決策，操控其生死……

 

黑產(chǎn)的成因與安全的缺失

 

既然黑色產(chǎn)業(yè)對(duì)數(shù)字化企業(yè)的危害如此巨大，那么用什么方式才可以斬?cái)嗪谏a(chǎn)業(yè)鏈條，還給企業(yè)一片澄凈的數(shù)字天空呢？那就需要從黑色產(chǎn)業(yè)的形成原因開(kāi)始談起。

 

與大部分想要證明自身技術(shù)實(shí)力的黑客不同，黑色產(chǎn)業(yè)鏈之所以會(huì)存在，就是因?yàn)樵谶@方面有著足以滿足其生存需要的業(yè)務(wù)需求和極為巨大利潤(rùn)空間。

 

什么人會(huì)對(duì)黑產(chǎn)有業(yè)務(wù)需求？很可能就是進(jìn)行數(shù)字化業(yè)務(wù)的廠商！當(dāng)然，它們也有更通用的稱呼，叫做“友商”。“薅羊毛”也許掙不到多少錢，但是破壞一次友商精心準(zhǔn)備的商業(yè)活動(dòng)，順帶著薅點(diǎn)羊毛，這樣的利益可就不能說(shuō)不大了。竊取了企業(yè)機(jī)密、客戶信息，不變現(xiàn)只能是一堆垃圾數(shù)據(jù)，可是向友商一出售，那就是真金白銀，甚至還可以反復(fù)多次的販賣，直到把機(jī)密變成盡人皆知的秘密。數(shù)據(jù)泄露的廠商自然會(huì)形象大損，承受巨大損失。還有企業(yè)在開(kāi)展數(shù)字化業(yè)務(wù)前期，同樣也需要借住黑產(chǎn)進(jìn)行流量推廣，這種不黑不白的灰色產(chǎn)業(yè)鏈，也在為黑產(chǎn)提供源源不絕的資金來(lái)源。

 

有需求自然會(huì)有市場(chǎng)，想從資金源頭對(duì)黑產(chǎn)進(jìn)行遏制，目前看來(lái)將會(huì)是一件在短期內(nèi)，很難完成的工作。因此，數(shù)字化企業(yè)要想抵御黑產(chǎn)的騷擾，還需要在健全自身的數(shù)字安全體系上想辦法。

 

那么企業(yè)自身的數(shù)字安全體系健全嗎？目前看來(lái)，同樣無(wú)法樂(lè)觀。

 

專業(yè)安全咨詢?nèi)笔Вl(fā)的企業(yè)被動(dòng)威脅防御態(tài)勢(shì)

 

在近期至頂網(wǎng)進(jìn)行的云安全調(diào)研中發(fā)現(xiàn)，在對(duì)如何了解及應(yīng)對(duì)應(yīng)用系統(tǒng)漏洞威脅的問(wèn)題上，企業(yè)選擇定期采用安全工具進(jìn)行漏洞掃描占比68%、定期升級(jí)系統(tǒng)并安裝補(bǔ)丁占比64.7%、留意安全廠商或資訊預(yù)警信息占比57.5%、聘請(qǐng)安全團(tuán)隊(duì)，進(jìn)行安全托管占比25.5%，還有5.9%的用戶選擇的是不聞不問(wèn)。

 

防漏洞就要做漏掃、打補(bǔ)丁，這話聽(tīng)著好沒(méi)有錯(cuò)誤。但實(shí)際上，里面有很多問(wèn)題。首先，要看你是做的什么掃描，打的是哪些方面的補(bǔ)丁，確實(shí)有公有云廠商非常負(fù)責(zé)任，系統(tǒng)漏洞發(fā)現(xiàn)的很及時(shí)，打好補(bǔ)丁之后有利于系統(tǒng)的穩(wěn)定運(yùn)行。但是一些用開(kāi)源系統(tǒng)搭建的私有云系統(tǒng)中，就是另外一個(gè)情況了，更何況現(xiàn)在企業(yè)運(yùn)用更多的是一些開(kāi)源應(yīng)用軟件，有很多只是貢獻(xiàn)者覺(jué)得很有用，就貢獻(xiàn)給開(kāi)源社區(qū)了，平時(shí)連進(jìn)行維護(hù)的人都沒(méi)有，而這些應(yīng)用，也正是漏洞的重災(zāi)區(qū)。而企業(yè)為了實(shí)現(xiàn)業(yè)務(wù)快速上線，往往會(huì)采用大量的開(kāi)源應(yīng)用，其中的風(fēng)險(xiǎn)自然可想而知。

 

因此，企業(yè)要想保障自身的數(shù)字化業(yè)務(wù)安全，最好還是聘請(qǐng)安全技術(shù)團(tuán)隊(duì)，進(jìn)行安全托管。然而目前選擇專業(yè)安全團(tuán)隊(duì)進(jìn)行安全托管的選項(xiàng)里，只有25.5%的企業(yè)選擇，僅次于平時(shí)不聞不問(wèn)的選擇。企業(yè)的數(shù)字化安全防護(hù)態(tài)勢(shì)由此可見(jiàn)一斑。

 

從我們的另一項(xiàng)調(diào)查中也可以證明這一點(diǎn)。在最關(guān)注的安全功能中，系統(tǒng)、數(shù)據(jù)漏洞掃描所占比例最高，達(dá)到77.8%。用戶管理占比50.3%、應(yīng)用行為分析占比49.7%、安全合規(guī)占比43.1%、威脅可視化管理與安全工具集成管理的關(guān)注度最低，僅占36.6%主35.9%。在這里只能說(shuō)最后兩項(xiàng)功能的重要性同樣被大大忽視了。

 

當(dāng)前企業(yè)的數(shù)字化業(yè)務(wù)，通常分別部署在企業(yè)內(nèi)部的私有云和各大云廠商的公有云之上。云計(jì)算系統(tǒng)環(huán)境有很大差異，上面部署的業(yè)務(wù)應(yīng)用更是千差萬(wàn)別。這樣企業(yè)在進(jìn)行安全行為分析的時(shí)候，就更加需要有大局觀，從整體上去看待問(wèn)題。黑客從外網(wǎng)入侵，要找漏洞做嗅探，放木馬做提權(quán)，這是一個(gè)系列性的動(dòng)作，并且可能會(huì)有很長(zhǎng)一段時(shí)間的潛伏期存在。企業(yè)通過(guò)單一安全防護(hù)工具，可能并不能準(zhǔn)確發(fā)現(xiàn)問(wèn)題，警報(bào)很容易被忽略。更何況攻擊并非全部出現(xiàn)在外部，企業(yè)內(nèi)部的人員管控不利的話，更有可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

 

有了安全工具集成管理就會(huì)產(chǎn)生很大不同，它可以將多種安全工具的警報(bào)信息統(tǒng)一進(jìn)行歸納，再通過(guò)威脅可視化管理系統(tǒng)進(jìn)行分析，從而對(duì)黑客行為，入侵路徑準(zhǔn)確進(jìn)行判定，從而為企業(yè)提供應(yīng)用行為分析能力。

 

要說(shuō)在這方面解決方案的成熟和完善，還得說(shuō)是IBM。下面我們就來(lái)看一下IBM Security 如針對(duì)企業(yè)數(shù)字化轉(zhuǎn)型提供的混合云安全解決方案。

 

企業(yè)由如何發(fā)展由被動(dòng)向主動(dòng)轉(zhuǎn)變的安全新態(tài)勢(shì)

 

近期，IBM Security 宣布了即將發(fā)布的 Cloud Pak for Security 的新功能，其中包括一款在同類產(chǎn)品中排名第一的數(shù)據(jù)安全解決方案，可幫助企業(yè)跨混合云環(huán)境檢測(cè)、響應(yīng)針對(duì)其最敏感數(shù)據(jù)的威脅并實(shí)施數(shù)據(jù)保護(hù)。為了統(tǒng)一之前互不關(guān)聯(lián)的安全技術(shù)，IBM 對(duì) Cloud Pak for Security 進(jìn)行了擴(kuò)展，在其中納入了一些新的數(shù)據(jù)源、集成和服務(wù)，使得安全運(yùn)營(yíng)團(tuán)隊(duì)可以從單個(gè)控制臺(tái)管理整個(gè)威脅生命周期。

 

通過(guò)這些更新，Cloud Pak for Security 能夠訪問(wèn) 6個(gè)威脅情報(bào)源、25個(gè)與 IBM 及第三方數(shù)據(jù)源的預(yù)構(gòu)建連接，以及 165個(gè)案例管理集成，這些案例管理集成通過(guò)高級(jí) AI 進(jìn)行連接，對(duì)威脅進(jìn)行優(yōu)先排序，同時(shí)提供自動(dòng)化運(yùn)行手冊(cè)，簡(jiǎn)化安全團(tuán)隊(duì)的響應(yīng)措施。 憑借即將發(fā)布的新功能，Cloud Pak for Security 成為了業(yè)內(nèi)首款將數(shù)據(jù)級(jí)洞察力和用戶行為分析與威脅檢測(cè)、調(diào)查和響應(yīng)關(guān)聯(lián)一體的平臺(tái)。

 

這些進(jìn)一步增強(qiáng) Cloud Pak for Security 的新功能包括：

 

獲得行業(yè)領(lǐng)先的威脅情報(bào)：Cloud Pak for Security 擴(kuò)大了威脅情報(bào)收集范圍，旨在幫助客戶檢測(cè)影響全球企業(yè)的主動(dòng)威脅活動(dòng)的預(yù)警信號(hào)。除了 IBM X-Force 威脅情報(bào)源外，該平臺(tái)還將提供一些預(yù)構(gòu)建的集成，包括計(jì)劃于 2020年第四季度可用的來(lái)自第三方來(lái)源的五個(gè)其他威脅情報(bào)源，含 AlienVault OTX、Cisco Threatgrid、MaxMind Geolocation、SANS Internet StormCenter 和 Virustotal；預(yù)計(jì)在 2021 年還將增加更多其他的威脅源。  協(xié)調(diào)威脅響應(yīng)與數(shù)據(jù)安全：IBM  在業(yè)內(nèi)首創(chuàng)的新方法使安全團(tuán)隊(duì)可以了解數(shù)據(jù)活動(dòng)、合規(guī)和風(fēng)險(xiǎn)，而無(wú)需離開(kāi)他們的主要響應(yīng)平臺(tái)。計(jì)劃于第四季度全面上市的新內(nèi)置數(shù)據(jù)安全中心能夠讓分析人員快速獲取情境信息，了解其敏感數(shù)據(jù)在混合云環(huán)境中所處的位置、有權(quán)訪問(wèn)此類數(shù)據(jù)的用戶、他們使用此類數(shù)據(jù)的方式以及保護(hù)此類數(shù)據(jù)的最佳方法。彌合數(shù)據(jù)安全與威脅管理之間的脫節(jié)可以縮短數(shù)據(jù)泄露響應(yīng)所需時(shí)間——就目前而言，根據(jù)近期對(duì)組織機(jī)構(gòu)的調(diào)研，識(shí)別和遏制數(shù)據(jù)泄露平均需要六個(gè)月以上的時(shí)間。 專用服務(wù)和支持：IBM 推出了一些新的專用安全服務(wù)來(lái)幫助客戶通過(guò)一種整體的產(chǎn)品和服務(wù)連接方法，利用 Cloud Pak for Security 實(shí)現(xiàn)現(xiàn)代化的安全運(yùn)營(yíng)。通過(guò)廣泛的靈活服務(wù)選項(xiàng)，IBM 專家可以通過(guò)端到端威脅管理、托管安全服務(wù)以及戰(zhàn)略咨詢和集成支持等選項(xiàng)，幫助客戶跨任何環(huán)境部署和管理 Cloud Pak for Security。

 

通過(guò)上述IBM Cloud Pak for Security 新功能介紹我們可以看到：為了應(yīng)對(duì)數(shù)字化威脅，首先需要了解最新的威脅情況，在這里IBM Cloud Pak for Security除了集成可在全球130多個(gè)國(guó)家或地區(qū)每天監(jiān)測(cè)700億起安全事件，并根據(jù)對(duì)這些事件的洞察和觀察開(kāi)展了分析的 IBM X-Force 威脅情報(bào)源外，還具備來(lái)自第三方來(lái)源的五個(gè)其他威脅情報(bào)源。及時(shí)獲取黑客動(dòng)向，就可以有針對(duì)性去進(jìn)行防范，有助于減少威脅的發(fā)生，但這畢竟還屬于被動(dòng)防御的范疇。

 

更主要的是IBM Cloud Pak for Security向企業(yè)提供了協(xié)調(diào)威脅響應(yīng)與數(shù)據(jù)安全能力的IBM QRadar，能夠以SIEM日志管理和日志分析為核心，為企業(yè)安全團(tuán)隊(duì)提供快速而精準(zhǔn)地檢測(cè)內(nèi)部和云環(huán)境威脅、理清威脅主次、展開(kāi)調(diào)查并積極應(yīng)對(duì)所需的可視性和分析技術(shù)，進(jìn)而發(fā)現(xiàn)企業(yè)在安全上的短板和不足。這才是數(shù)字化安全由被動(dòng)變?yōu)橹鲃?dòng)的核心所在。

 

最后是人的因素。工具再智能，也只是增加使用的便利性，最關(guān)鍵的是需要專業(yè)技術(shù)人員來(lái)進(jìn)行運(yùn)營(yíng)。IBM通過(guò)提供專家進(jìn)行安全托管、戰(zhàn)略資詢等服務(wù)的形式，可以有效的彌補(bǔ)企業(yè)專業(yè)安全技能不足的短板，讓企業(yè)更有效的實(shí)現(xiàn)安全管理，從而發(fā)展出由被動(dòng)向主動(dòng)轉(zhuǎn)變的安全新態(tài)勢(shì)。

 

用戶管理對(duì)于企業(yè)的重要作用

 

上面的安全措施可以有效防止黑客威脅，但是面對(duì)黑產(chǎn)的威脅，還是存在不足。這就需要企業(yè)可以對(duì)客戶的真實(shí)性，具備很好的驗(yàn)證和管理能力。在這方面，IBM也推出了相應(yīng)的身份管理身份與訪問(wèn)管理解決方案（IAM）解決方案。

 

IBM 提供兩種IAM 服務(wù)選項(xiàng)：一個(gè)是成熟的軟件交付IAM 產(chǎn)品，名為IBM Security Verify （IBM IAM），另一個(gè)是由SaaS 交付的IAM 產(chǎn)品，名為Cloud Identity。兩者均提供核心的IAM 功能。IBM IAM是一款傳統(tǒng)的WAM 產(chǎn)品，可為內(nèi)部應(yīng)用和非標(biāo)準(zhǔn)應(yīng)用提供專有SSO，而Cloud Identity 平臺(tái)則提供了一種基于現(xiàn)代身份協(xié)議的IAM 方法，面向的是SaaS 應(yīng)用和內(nèi)部應(yīng)用。IBM 擁有一個(gè)廣泛的IAM 和安全功能庫(kù)，該功能庫(kù)可通過(guò)與IAM 產(chǎn)品的其他集成加以利用。IBM IAM 平臺(tái)可針對(duì)會(huì)話管理提供細(xì)粒度控件，而Cloud Identity 則僅提供基本功能。IBM 致力于開(kāi)發(fā)公有區(qū)塊鏈基礎(chǔ)架構(gòu)，旨在推動(dòng)創(chuàng)新，同時(shí)遵循去中心化的身份標(biāo)準(zhǔn)，而且還推出了用于身份證明的IBM Blockchain Trusted Identity 產(chǎn)品。

 

如此一來(lái)，企業(yè)可以通過(guò)對(duì)內(nèi)部和外部不同用戶的精準(zhǔn)判定，在營(yíng)銷、推廣活動(dòng)中，對(duì)客戶進(jìn)行準(zhǔn)確判斷，從而有效避免黑產(chǎn)水軍對(duì)企業(yè)數(shù)字化營(yíng)銷的破壞活動(dòng)。

 

搭建全向安全的混合云系統(tǒng)架構(gòu)

 

此外，Cloud Pak for Security 利用開(kāi)放技術(shù)創(chuàng)建了一個(gè)可互操作的基礎(chǔ)，并在 IBM 和第三方工具之間建立了更深的聯(lián)系。舉例來(lái)說(shuō)，該平臺(tái)使用 STIX-Shifter，這是一個(gè)開(kāi)源代碼庫(kù)，允許安全分析人員通過(guò)單個(gè)查詢?cè)谒羞B接的數(shù)據(jù)源中搜索威脅指示器。此外，Cloud Pak for Security 基于 Red Hat OpenShift 而構(gòu)建，提供了一個(gè)開(kāi)放的容器化基礎(chǔ)，可以輕松地在內(nèi)部、公有云和私有云環(huán)境中進(jìn)行部署。  

 

這種開(kāi)放的方法使得 Cloud Pak for Security 不僅可以是一組安全功能，還可以是一個(gè)能夠跨工具和云完全集成安全流程的平臺(tái)。該平臺(tái)使用先進(jìn)的 AI、分析和自動(dòng)化功能來(lái)簡(jiǎn)化威脅管理的整個(gè)生命周期 - 包括安全信息和事件監(jiān)控 (SIEM)、威脅情報(bào)、用戶行為分析、數(shù)據(jù)安全和安全編排自動(dòng)化與響應(yīng)的原生功能。這些功能通過(guò)一個(gè)統(tǒng)一的用戶界面提供，該界面通過(guò)端到端的工作流程（從檢測(cè)到響應(yīng)）將整個(gè)威脅管理過(guò)程連接在一起。 從而可以協(xié)助用戶搭建出全向全安的混合云系統(tǒng)架構(gòu)。