IBM:企业防范风险应从人工响应向自动化应对转移

当前,金融企业正在深入推进数字化转型,其资产也在加快上云;同时云环境正在从独立的私有云或者公有云向混合云环境转变,在此背景下,企业安全的重要性也就尤为突出。IBM大中华区安全事业部安全服务经理冯国兴、高级安全咨询顾问吴斌近日在接受《证券日报》记者采访时指出,企业防范风险应从人工响应向自动化应对转移,面对新常态下企业数字化转型带来的挑战,IBM正通过聚焦策略,加速推进混合云与AI的战略。在安全领域,IBM可以帮助企业将安全价值引入到业务的各个方面,确保企业云端之旅安全。

混合云环境将是大趋势

混合云是近年来云计算的主要模式和发展方向。私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云上,但同时又希望可以获得公有云的资源,因此,混合云被采用得越来越多,它将公有云和私有云,单一云和多云进行混合和匹配,以获得最佳的效果。

现实中,为了保护企业数据等资产安全,不少企业花了很多精力、时间,购买不同的工具来保障本地部署的安全。不过,当资产上云的时候,整个环境改变了,企业防御的边界越来越多、越来越复杂,客户需要考量的因素也就更多。

冯国兴表示,在混合云时代,每一个云都有自身优势,每一个优势都有独特的价值。以前,在本地的部署环境里面,不可能大量、快速地去部署某些服务器或设备。而当企业决定用云或者混合云的时候,做好安全就必须具备相应的速度,传统安全日志的形式太慢,需要有一个安全或管理平台,通过网络集成的平台和架构等,通过可视化角度把整个环境的安全态势看清楚,以提升安全防范等级。

吴斌认为,企业数据安全目前面临的最大的挑战来自不确定性。一方面,其正在面临混合云的新环境;另外一方面,企业数据变得越来越重要。对于这种新环境,为解决速度的问题,就需要企业从人工响应变成自动化应对,尽可能采用自动化的方式对各种情况进行响应。企业需要设计优秀的安全架构,而不仅仅是购买一个简单的产品或者进行简单技术的堆叠。有坚实的企业安全架构基础以后,具体的安全技术可以根据业务需求进行增减或修改。从IBM的服务案例来看,在进行企业安全架构设计时,就考虑到了客户资产可能会上云的情况,于是IBM就把混合云的迁移方案以及安全方案都纳入考虑范围。

企业安全转型有三大方向

吴斌指出,企业安全战略的转型有三大方向,即战略和风险方向分析、威胁管理,以及数字信任。围绕这三大方向,IBM的服务也进行了相应的升级。第一,在战略与风险管理方面,通过多样化的产品组合帮助企业进一步提升安全性的成熟度,将安全融入领导力和企业文化中;第二,在威胁管理方面,帮助企业阻止高级威胁,编排事件反应并掌握锁定威胁的能力;第三,在数字信任方面帮助企业保护关键资产,传递数字身份信任,管理用户及身份并统一端点管理。

由于企业资产上云,企业的IT基础架构和ESA安全架构设计和以前发生了很大的变化,企业在新的安全态势下,应当如何规划自己的安全架构?他强调,企业的安全架构应该以业务为导向。例如,直销银行业近年的趋势显示,优秀的直销银行纷纷借力“企业(Business)+银行(Bank)+客户(Customer)”模式,输出银行服务,实现了开放银行理念。吴斌认为,开放银行是非常新的生态环境,但其也面临着第三方数据保护、事故处理和责任划分,以及网络和系统安全等风险,在这样的情况下,银行在进行安全设计时必须明白其在开放银行中的安全环境处于怎样的状态,会遇到怎样的风险,在此基础上定制开放银行的安全框架,这就是以业务为导向进行安全架构设计。

据吴斌介绍,企业安全服务的市场需求近两年一直在增长。尽管不少企业购买了很多安全产品,但依然时常遭遇安全风险的问题。不少企业在遭遇攻击之后,才想到找安全咨询公司帮忙。目前,除银行外的很多企业,在整体安全尤其在网络安全中——网络隔离、网络的分割这一方面做得还不够到位,近年也频繁出现勒索病毒等情况。因此,在新环境下,构建完善的企业安全架构基础,以业务为导向,有前瞻性地进行安全架构规划非常关键。