威脅情報

  • IBM--企業安全市場上悄然成長的巨人

    原創 2015-06-26 王小瑞 安全牛

    2011年IBM並購網路安全情報軟體提供商Q1實驗室,當時Q1的CEO布倫丹·漢尼甘成為IBM安全的總經理。而這次收購只是IBM十年來兼併的15家安全公司之一。


    IBM
    安全將IBM兼併的這些安全公司與自身安全服務相整合,服務全球各大公司的首席安全官和高級IT主管,現已成為價值超過10億美元的安全品牌。儘管IBM的安全業務僅占公司總收益的1%,但這項業務卻在2014年令人驚異地增長了19%。

    美國網路安全市場調查公司Cybersecurity Ventures發佈的《第二季度網路安全市場報告》中,網路安全市場預計將從2014年的710億美元增長到2019年的1550億美元以上。

    IBM自詡世界第三大安全軟體提供商,而Gartner認為它是最大的企業安全提供商。Cybersecurity Ventures的網路安全500強榜單上,IBM已晉升到第8的位置,而且在專業服務類別中排名第一。


    IBM
    曾表示,它的目標是在未來幾年從其下一代技術(雲服務、商業分析、移動和安全)上拿到400億美元的營收。目前來看,安全在這些技術中是盈利最少的那個。雖然許多人認為IBM安全的成長空間非常巨大,但安全與其他業務相比,對IBM的重要性到底是怎樣的呢?

    IBM安全的業務

    《福布斯》雜誌披露,IBM2015年第一季度收益為196億美元,比分析師預測的少了1億美元,同比下降了12%。IBM的雲業務增長了60%,“雲即服務”入帳38億美元。其業務分析則上漲了12%。


    IBM
    未來的成功似乎與下一代技術有關。考慮到IBM在2015年第一季度收益已經是連續9個季度裡第8次未能實現既定目標(即使在它的雲和分析業務處於上升態勢的情況下),應該可以預計將在剩下的幾個季度和2016年裡聽到更多關於IBM安全業務的聲音。

    根據IBM安全主管布倫丹·漢尼甘的公開發言,IBM安全將在以下方面進擊:

    ·碎片化的安全市場給IBM留下了作為全面的提供商領導市場的機會
    · 安全分析/安全資訊和事件管理(10%)、威脅情報(10%+)、移動安全(18%)、雲安全(50%)為高增長領域

    · IBM安全的市場直達戰略將用於支援首席資訊安全官日常工作,圍繞大趨勢進行創新(高級威脅、雲、移動、物聯網、合規、勞動力短缺),並組成IBM安全的精選產品服務組合

    一句話,安全是IBM的關鍵增長點。當然,要成為這個關鍵增長點,IBM安全的收入還需要加一個零。

    進擊的巨人

    在網路攻擊的速度、節奏和複雜性持續以指數級增長的今天,安全問題已成為一個巨大的資料問題,基於大資料的即時分析已成為安全管理策略的基礎。IBM的優勢在於廣泛的安全諮詢、服務和軟體的組合,產品和服務涵蓋高級威脅防護、客戶敏感重要資產安全,以及既能促進創新又不致增加風險的雲計算和移動計算的整體解決方案。

    IBM安全在133個國家擁有約1萬余客戶,其中每天管理超過3700家客戶的200億起以上的事件。它擁有6千名研究員、開發人員,專注安全的中小企業,3700項安全相關的專利,以及遍佈全球的36個IBM安全的辦公機構,包括11個SOC(安全運行中心),10個安全研究中心和15個軟體安全開發實驗室。

    IBM安全託管著全球最大的URL資料庫之一,包含超過250億個頁面和圖片,每天收集1000個金融惡意軟體樣本,基於超過2.7億台終端設備上收集來的情報。

    說到情報,再來看一看IBM X-Force Exchange威脅情報網路。這個威脅情報共用平臺於今年4月啟動的。安全牛當時的報導顯示,這個平臺提供開放的歷史和即時威脅情報資料回饋,包括來自IBM全球威脅監控網路的即時攻擊報告,使公司企業得以防範網路犯罪。出於幫助業界在威脅情 報共用的道路上更進一步的目的,通過IBM X-Force Exchange平臺收集到的巨型安全情報資料庫包含了以下內容:

    ·世界上最大最全面的漏洞分類之一
    · 基於監控到的每天超過150億的安全事件基礎之上的威脅資訊
    · 從2.7億台終端上獲取的惡意軟體威脅情報
    · 建立在超過800萬垃圾郵件和釣魚攻擊分析基礎之上的深度威脅情報
    · 將近100萬惡意IP位址的信譽資料

    業界很快就注意到對這類服務的迫切需要,截至目前,已經有橫跨16個行業的超過1000家公司,世界十大銀行中的5家,十大零售商中的6家,加入了IBM X-Force Exchange平臺。
    IBM XFE
    網路犯罪每年對世界經濟造成數千億美元的損失。如同瘟疫,它沒有任何公司或國家可以獨力對抗。因此必須集合公共部門和私營企業的力量聯合對抗網路犯罪。而圍繞威脅資訊的共用與利用則是對戰高度組織化產業化的網路罪犯的核心,此為X-Force Exchange這種資訊共用平臺最大的意義所在。

    正如漢尼甘所言:“IBM正在與我們的客戶一起開拓一個情報驅動的安全新紀元。“

    也許IBM這個老牌巨人,正在悄然孕育著一個新的巨人。

  • 共享威脅情報是產業唯一的出路,亦是挑戰

    Akamai金融服務部門策略長Rich Bolstridge 作 – 2015/06/17

    保護您的銀行基礎建設以防止遭到網路犯罪的侵犯是目前銀行產業最艱難的IT挑戰之一。即使銀行業者努力不懈地去保護其客戶及財產,這挑戰也只會變得 越發困難。攻擊的規模正逐漸地增加,且許多諸如物聯網等科技新發展,讓攻擊表面亦持續增加,甚至很多的終端點也被用來發動攻擊。這不是理論上的說詞,而是確確實實發生的現象,而Akamai的全營運中心(Security Operations Center;SOC)也從網際網路連結的「事務」上察覺到攻擊的出現。

    觀察的重點不在於攻擊的規模及頻率,而是發動攻擊的速度。攻擊工具可讓一個新手不用透過本身的機器,且無需具備太多的技術知識的狀況下,利用連結網際網路的伺服器隨時執行具規模的攻擊。

    如同時尚流行趨勢,攻擊手法也是千變萬化的。反射攻擊並不是什麼新的攻擊方式,但它們靠著新的執行方式及每年數十億個網路上可被利用的新連網設備而 成為現在的趨勢。同時,新一波被發現的漏洞也嚴重到需花費時間去修復網路上受感染的硬體,而讓後門大開,使網路犯罪分子得其門而入。Heartbleed 和Shellshock皆為頗具代表性的例子,而且這樣的問題在未來只會越來越嚴重。

    駭客攻擊的原因有很多,但他們最主要的獎勵往往不是僅為癱瘓某銀行的網站。有些銀行證實他們已經觀察到許多DDoS攻擊期間所發生的金錢詐欺行動。 DDoS攻擊也在客戶資料被下載時被用來創造轉換時機,這些被下載的客戶資料在黑市販售以幫助金融詐欺或是身分盜用。眾多例子顯示,此類資料外洩已經為品 牌及其客戶帶來重大損失。

    資訊共享會是答案嗎?

    如此危急情況加上銀行產業似乎是全球駭客攻擊的靶心,很明顯的,金融機構單槍匹馬對抗不是個成功的策略。畢竟,駭客們無時無刻都在共享時間、資源及知識。

    資訊共享是個顯而易見的方法,但卻也比它聽起來還要複雜。例如,在金融產業裡資訊共享觀念並不是普遍被接受的。對如美國等國家,資訊共享是先進且司 空見慣的,但有些國家及地區仍然認為威脅情報是個敏感且攸關競爭力的議題。我曾經和幾個國家的銀行產業高階主管聊過,他們表示,在共享威脅情報方面,他們 遠落後於其他先進國家三年或更多的時間,因為每個敏感訊息的披露,都需要考慮隱私及責任相關的法律不確定性的問題。

    然而,當你為了這行業的福祉與安全而致力於資訊共享時,此動作必須是有效的。偵測攻擊並不容易,卻也沒有人想成為放羊的小孩。

    攻擊並不總是顯而易見的。如果你的公眾網站突然間無法使用,且客戶在社群媒體開始發飆,這是攻擊、系統出錯、還是網路服務供應商出現問題呢?

    當然,如果是大規模的攻擊,很容易被發現,然而,資料外洩則很難被察覺,因為它可以是個偽裝的DDoS攻擊,或也有可能無法觸發警報。甚至,即使警 報被觸發,也必須在資訊共享前調查其發生的可能性,比如:此為蓄意破壞?或為透過自己的IT部門的合法滲透測試?抑或它只是個來自第三方的無害(或其他方 面)的掃描?

    並肩作戰

    情報共享對金融業來說是可行的,但要讓其有效用還是有許多挑戰要面對。在與客戶談話時我常聽到很多案例,但還是不乏來自業界的成功例子。大家或許還 記得在2012與2013年間所發生的「燕子行動(Operation Ababil)」,也可能身受其害,這是針對美國金融機構發動的DDoS攻擊,在攻擊的高峰期間,每周都有超過20間以上的銀行每天遭受無差別攻擊。銀行 不只得加強防禦來反擊,還相互共享資訊,其所發揮的效用無法被高估。

    共享威脅情報是個可預見的未來,其過去所使用的人工流程在今日亦逐漸被機器對機器的系統取代。美國證券集中保管結算公司(DTCC)及金融服務暨資 訊分享與分析中心(FS-ISAC)近幾年都在使用Soltra Edge系統,這是一個基於威脅情報生態系統而建立的開放標準,來匯集知識並加快情報共享的速度,而此系統正蓄勢待發。

    其實共享威脅情報是沒有障礙的。你的同儕們已經在做了,如不跟著此股潮流,你會發現在面對網路犯罪分子時,你的力量是相對薄弱的。如果我們所有人都 願意共享訊息,那麼所有的銀行產業也會更加茁壯。威脅很可能在下一刻來臨,也可能變得更大,我認為我們應當並肩作戰,你覺得呢?

  • IBM X-Force威脅情報

    IBM X-Force研究是全球最知名之一的業務安全研究團隊,他們深厚的安全研究專業知識和全域威脅情報,造就更強的安全解決方案

    IBM® X-Force® Exchange是雲端型的威脅情報分享平台,能讓使用者迅速研究最新的安全威脅、彙集可行的情報,並與同儕一起分工合作。IBM X-Force Exchange的內容來自於人類和機器運用 IBM X-Force規模所產生的情報。

    IBM X-Force Exchange Commercial API可讓您程式化存取外部威脅情報,以協助將安全事件脈絡化。身為 IBM X-Force Exchange協同平台的隨附供應項目,此 API使用開放式標準來協助加速行動。

    IBM QRadar Log Manager SIEM能直接整合 IBM X-Force Exchange Portal X-Force Threat Intelligence (威脅情報),讓企業資訊安全分析更精準。

    QRadar Threat Intelligence App使用開放標準 STIX TAXII格式來更新任何威脅情報訂閱源,並部署資料以建立定制規則用於關聯、搜索或報告。例如,使用應用程式從 IBM X-Force Exchange導入危險 IP位址的公共集合,並建立規則以提高包含來自關注列表的 IP位址的任何攻擊的量級。並且能進行搜尋,下載與分享。

    凱信客製的外部的Threat Intelligence ,例如VirusTotal , IPVOID/BlackList,以強化資安問題的解決能力,減少誤判。

     

     

    IBM XFE

    IBM 700TB安全情報資料放上雲端,開放給全球研究人員共享

    X-Force Exchange資料庫蒐集來自2.7億個端點的惡意程式威脅情報、250個網頁與影像的威脅資訊、逾800萬筆的垃圾訊息,及網釣攻擊情報,並列出近100萬個惡意的IP位址。

    IBM已把多達700TB的安全情報資料置放在IBM Cloud上新設立的IBM X-Force Exchange網路威脅情報共用平台,讓全球的研究人員或IT管理人員皆可存取該平台的資料,並可動員及聯合對抗網路威脅。

    X Force Home

    基於大量安全情報的X-Force Exchange平台整合了諸如QRadar等威脅研究資料與技術、數千家的全球客戶與來自IBM Managed Security Services的安全分析與專家,可望成為全球最大也是最完整的漏洞目錄之一。

    它蒐集來自2.7億個端點的惡意程式威脅情報、基於250個網頁與影像的威脅資訊、逾800萬筆的垃圾訊息,及網釣攻擊情報,並列出近100萬個惡意的IP位址。

    IBM表示,現在對可靠威脅情報的需求更勝以往,有80%的網路攻擊是源於高度組織化的駭客集團,他們的動員能力很強,且會彼此分享資料、工具,及技術。反觀被攻擊的企業中有65%同時採用可靠與不可靠的安全情報來防禦。

    目前X-Force Exchange所擁有的700TB資料是由IBM提供,但IBM期望該資料庫將藉由該平台的開放與共享機制持續成長,讓業者可透過即時的資料對抗網路犯罪。

    IBM Security總經理Brendan Hannigan表示,X-Force Exchange將讓企業能夠有規模地展開協作以抵抗快速增加的網路犯罪威脅,IBM身先士卒開放全球的網路威脅研究、客戶、技術及專家,並邀請產業參與 及分享他們的情報,希望能加速形成可用來對抗駭客的關係鏈。

    X-Force Exchange平台將存有大量且持續增加的安全情報供免費存取,也有一協作介面以利各方人員互動,並有API程式庫以促進不同平台、機器,及應用之間的 查詢。IBM計畫未來將支援STIX及TAXII等威脅情報自動分享的新標準,讓各界更容易分享資訊並整合到既有的安全系統。(編譯/陳曉莉)

     

    IBM開放威脅情報共享平台

    IBM發布了一個新的威脅情報共享平台,幫助企業的安全部門和研究人員協作應對安全事件,並從威脅情報數據中篩選出有價值的信息。

    該基於雲的平台名為X-Force Exchange,能夠為全球提供對IBM及第三方威脅數據資源的訪問,包括實時的攻擊情況數據。它整合了IBM的威脅研究數據和技術,包括Qradar安全情報平台、上萬的客戶和IBM安全管理服務的安全分析。IBM聲稱該平台集聚了超過700T的原始數據,而且還在持續更新。

    X-Force Exchange的用戶可以合作並利用多種數據資源,包括:

    ·世界上最大的漏洞目錄之一

    ·基於每天150億起安全事件監控的威脅情報

    ·來自2700萬終端網絡的惡意威脅情報

    ·基於250億網頁和圖片的威脅信息

    ·超過800萬封垃圾郵件和釣魚攻擊的深度情報

    ·接近100萬惡意IP位址的信譽數據

    該平台還包括幫助整理和注釋內容的工具,以及在平台、設備和應用程式之間方便查詢的API,允許企業處理威脅情報並採取行動。IBM表示,該平台還將提供對STIX和TAXII的支持,以及自動化威脅情報共享和安全方案整合新標準的支持。

    QRadar TI App