结合 IBM 技术更好地管理网络安全
在 2020 年进行了一次全面彻底的市场评估后,另类银行的技术提供商 Data Action (DA) 与当地安全咨询和服务专家 Vectra 签订了一份安全信息和事件管理 (SIEM) 的平台刷新项目合同。
所选的 SIEM 解决方案为 IBM Security® QRadar®,采用 VMware 和 IBM FlashSystem® 存储器作为虚拟化设备进行部署。 在虚拟化设备上部署 QRadar 很常见,而使用 FlashSystem 高性能存储控制器执行此类工作负载并不常见。
采用 IBM 的专有 IBM FlashCore® Module (FCM) 技术存储 QRadar 数据对安全运营中心 (SOC) 分析安全威胁的能力带来了非常好的效果。 与先前的 SIEM 相比,对响应时间的总体影响非常显著;在某些情况下,分析时间从数小时缩短到了几分钟。
在过去的 17 年中,Ponemon Institute 每年都会发布年度数据泄露成本报告,籍此而跻身成为网络安全行业中一流的基准权威机构。
新近发布的 2021 数据泄露成本报告指出,每次数据泄露的总体平均成本估计从 386 万美元(2019-2020 年)上升到 424 万美元(2020-2021 年)。 尽管总体平均成本有所增长,但该报告还强调了完全部署安全 AI 和自动化的组织(平均数据泄露成本为 290 万美元)和没有部署安全 AI 和自动化的组织(平均数据泄露成本为 671 万美元)之间的差异。
组织的网络安全策略包含许多组成部分,但富有效率的 SIEM 解决方案发挥着至关重要的作用。 SIEM 解决方案可帮助安全团队准确检测整个企业中的各类威胁,并就此确定处理的优先级别。 该方案可提供智能洞察分析,助力团队快速响应,从而减少事件的影响。
只有确保提供足够的计算和存储资源,才有可能获得智能洞察分析的结果和快速响应时间。 高效率的 SIEM 解决方案需要采集大量的数据,这些数据通常来自跨本地和云资源的复杂操作环境。 要获得更好的洞察必须进行复杂分析,而复杂分析则需要大量访问数据。 在这些环境中,只有使用高性能、低延迟存储器,才能实现快速响应。
正是由于这些原因,在 2020 年经过全面彻底的市场评估后,DA 部署 QRadar 作为组织的 SIEM 解决方案。 该解决方案由专用 VMware 集群内的虚拟设备组成,并使用 FlashSystem 存储器来保留所有数据。
IBM QRadar® 功能
QRadar
QRadar 是一个网络安全管理平台,提供态势感知和合规支持。 QRadar 平台采用的组合内容包括基于流的网络知识、安全事件关联和基于资产的漏洞评估方案等。
Gartner 在其安全信息和事件管理魔力象限报告(外部链接)中将 IBM 列为 SIEM 领导者,并且已连续 12 年维持这一优秀评定。
FlashSystem 产品组合
FlashSystem 产品组合包含了 IBM 的块存储控制器系列,配备了适合入门级、中端和高端工作负载的各类型号。 所有型号都将 IBM® SAN Volume Controller 中的 IBM Spectrum® Virtualize 软件用作嵌入式系统软件。 由于使用的软件相同,许多通常仅在高端解决方案中可用的功能在入门级和中端型号中亦可提供。
IBM FlashSystem 5200、7200 和 9200 型号的核心是 IBM FlashCore 技术。
IBM FlashCore 是 IBM 存储独有的,与其他供应商的全闪存阵列中使用的固态驱动器 (SSD) 不同,控制器设计采用多种技术来提供卓越的性能和增强版弹性复原功能。
IBM FlashSystem 产品服务组合 ——特性和功能
卓越的性能
增强弹性
专门设计的 FCM 可提供比符合行业标准的普通 SSD 产品高出七倍的闪存耐久性,这意味着客户遇到的问题更少。 这也意味着不必花时间处理 SSD 故障和规划驱动器重建。
DA 已发展为一家专业的软件和服务提供商,为某些一流的澳大利亚客户所拥有的挑战者型银行、平台集成商和信仰部门提供服务。 DA 灵活的平台架构通过“即插即用”集成功能实现了可选性。 DA 的产品套件已从核心银行平台发展成为一个支持实现公司目标的完整银行生态系统—— “为澳大利亚的挑战者银行提供核心银行以及数字化银行业务支持”。
DA 在全国范围内运营,在阿德莱德、悉尼、墨尔本和布利斯班等一共拥有 200 多名员工,并通过其核心银行和数字平台提升了超过 160 万澳大利亚人的银行体验,每天为 260 万个帐户的 3 亿客户交易提供支持。
DA 的产品非常独特;它在私有和公共云环境中均可开展配置、迁移、运行管理、本地支持、集成和维护技术等服务。 这在本质上是一种经过验证的端到端模型,由单一所有者负责服务交付、治理和通信。 这就消除了各种集成问题和潜在问题的所有权归属等事项,这些都与多供应商 IT 环境里日益增长的复杂性和互操作性相关。
DA 强大的合作伙伴关系方法可确保其客户保持持续增强为成员服务的能力。 目前,DA 在其平台上拥有 200 多位合作伙伴,以确保提供最佳解决方案来提升会员价值。
DA 的市场平台方法允许灵活选择合作伙伴,以保持竞争压力和交付速度,并为客户构建良好适用的合作伙伴关系。 DA 的合作伙伴团队与产品、客户和解决方案团队密切合作,以确保解决方案为客户及其成员创造出富有价值的成果。
DA 的安全性
对于 DA 的金融服务客户来说,DA 负责直接管理他们在互联网方面的大部分问题和事项。 因此,DA 具备独特的洞察视角,当威胁在各通用部门间移动时,DA 可跟踪观察其运行模式。
DA 提供强大的多层网络安全功能来保护其负责运行管理的银行服务正常运行。 DA 的流程可确保预防控制措施的严格执行和可靠运行,以及在事故发生时运用可预演的、结构化的,覆盖全组织范围的能力来进行检测、响应和恢复。
DA 采用一整套安全服务和技术规范来保护其产品,从而能确保客户业务及其用户的安全。 其中包括 Web 应用程序防火墙、下一代防火墙和端点保护、全面安全监控、漏洞管理和常规外部渗透测试。
SIEM 刷新项目
SIEM 是 DA 的关键平台,可通过以下方式实现网络安全功能:
如果没有强大的平台,DA 检测安全事件的可能性就会降低,响应已识别安全事件的效率也会降低。 DA 也将无法满足监控和保留与安全性相关数据的合规需求。
该项目替代掉的 SIEM 实施计划是一种基于硬件设备的解决方案;这种方案已不受青睐,不再得到应用。
DA 希望通过此次刷新改进的关键领域包括:
SIEM 的功能
QRadar 工作的主要范畴就是收集、解析和分析事件和流。
事件指的是那些出现值得关注事项的数据,例如:允许数据通过网络防火墙,用户登录到系统,还有访问数据库等。 事件构成 SIEM 的基础数据。 事件生成来源包括网络路由器和服务器等设备,以及应用程序等。 日志是事件数据的数据库。
流是通过直接接入网络设备并监控通过其流量而获得的网络数据包数据。 流包括源和目标 IP 地址、传输的数据量,甚至正在使用的应用程序等信息。 流对于检测特定类型的攻击至关重要。 请注意,实际的网络数据包并未捕获或存储——只捕获或存储了题头或网络传输的前几百个字节。
功能配置
为了更好地理解 QRadar 如何处理其从服务器和网络设备接收的数据,可考虑将 IBM Security QRadar 系统的操作分为三层:
数据集合是从客户网络收集诸如事件和流等安全数据的层。 本层收集、解析和规范化数据,然后将其转发至下一层,以进一步处理和存储。
收集完数据后,处理层使用 QRadar 的定制规则引擎 (CRE) 来实时处理事件和流数据。 CRE 负责生成攻击和警报。 这也是数据写入存储器的层。
QRadar 的数据处理可跨多个处理器并行进行。 将数据存储在靠近处理器的位置,并以高分布式的方式在多个处理器之间进行搜索和关联的架构,是提高整体系统性能的重要因素。
顶层是控制台,提供 QRadar 的用户界面。 收集和处理的数据结果通过仪表板、报告和搜索等渠道呈现。 控制台会显示攻击调查,并且可以引发警报。 管理员使用控制台管理 QRadar。
这一细分方法适用于任何 QRadar 部署结构,无论规模、复杂程度、数量、日志源,或安装或连接到的模块等情况是怎么样的。
IBM QRadar SIEM 架构(与存储相关)
优化搜索性能
如前所述,Gartner 在其安全信息和事件管理魔力象限报告中将 QRadar 评定为 SIEM 领导者。 QRadar 被公认为是优秀产品的原因有很多,但该产品的高级索引管理是其突出特点之一。
一旦了解了用户在寻找什么数据,然后为经常搜索的属性启用索引功能,那么建立索引的价值就会得到最大化。 索引管理功能向管理员提供有关哪些属性正在被搜索以及哪些搜索正在使用索引的统计信息。 然后,管理员可以启用、调整,甚至禁用索引来改进整体性能。
为附加属性启用索引所带来的优势也是潜在的缺点。 额外建立索引会在写入数据时影响系统性能,需要额外的存储容量。 通过使用 IBM FCM,这两个缺点都能得到有效缓解。 FCM 专为高性能企业环境设计,能够持续采集大量的数据,还可以同时应用在线数据压缩;通过使用硬件加速的 I/O,FCM 的独特之处在于其能够在完全不影响性能的情况下实现所有功能。
DA 的部署配置
DA 在包含两个专用物理服务器的专用 VMware 集群中部署了 QRadar SIEM 解决方案。 环境的存储需求由直接连接到主机的专用 IBM FlashSystem 7200 供应。虽然能够在完全容错的架构中实施,但当前部署的 SIEM 解决方案只有高度可用的日志收集和检索功能。 QRadar 处理器和 QRadar 控制台设备没有冗余,但作为虚拟设备,它们将具备能够在 ESXi 主机之间迁移的灵活性。
DA 的 SIEM 刷新项目评估包括对调查案例时通常执行操作的响应时间进行基准测试。 随着 QRadar 解决方案全面投入使用,最近一次高优先级调查中采取的操作就会得以记录下来。 每次操作时,都会记录以下数据:
已发布历史周期和数据集大小,为进行中的分析产生的复杂性和规模提供上下文参考。
为了进行比较,DA 网络安全团队提供了在先前的 SIEM 中执行等效操作所需的相对完成时间。 虽然理想的比较结果应该通过并行测试两个 SIEM 系统得出,但这是不可能的,因为 QRadar 投入使用后先前的 SIEM 解决方案就已被废弃。
虽然承认先前的 SIEM 解决方案引用的完成时间是估计值,但出于以下几个原因,它们仍然具备相关性:
不过最相关的是,QRadar 上所有可比较操作的完成时间都比先前的 SIEM 系统快几个数量级。 有理由认为,即使为先前的 SIEM 解决方案列出的估计完成时间有较大的误差范围,QRadar 操作也能在明显更短的时间内完成。 以前需要数小时才能完成的操作现在只需几分钟。 同样,那些需要几分钟运行的报告现在也可以在数秒钟内完成。
2020 年,DA 实施了一个项目来替换先前的 SIEM 解决方案。 虽然每个组织的业务规划都需要强大的网络安全策略,但对于为信用合作社、银行和其他金融机构提供核心银行服务的组织而言,其重要性再怎么强调都不为过。 经过全面彻底的评估流程后,DA 与 Vectra 签订了一份合同,使用在虚拟环境上运行并应用 FlashSystem 存储的 QRadar 来替换其现有 SIEM 解决方案。
在初始基准测试和实时使用中,QRadar 部署均已被证明是一种极其有效和强大的工具,可用于调查与安全相关的事件。 在 VMware 集群中部署 QRadar 组件可以提供多重优势:物理占地面积更小,电力成本更低,并具备更好的灵活性和未来可扩展性。 通过整合采用 IBM FCM 技术填充的 FlashSystems 存储器,DA 因具备高性能和可靠性设计的解决方案而受益。
借助 QRadar 索引优化功能和高性能存储平台这一组合,DA 已能够显著减少常见查询的运行时间,将其从几分钟减少到数秒。 这使得 DA 所有类型的 SIEM 用例都得到明显改进,包括事件响应、定期环境审查和报告。 更快速的安全事件分析有助于改进事件分类和响应,从而降低整体影响。 更快速的环境审查减少了安全分析师花费的时间和挫败感,为生产工作创造了更多时间。
通过采用 QRadar 和 IBM FlashCore 技术,DA 现在运行事件分析和报告的时间只有先前 SIEM 解决方案的几分之一。 如果一次数据违规的平均成本是几百万美元,任何有助于提高检测速度的解决方案带来的商业价值都是不言而喻的,从而可以做到大幅节省时间和资金。
虽然部署配备了 FCM 的 FlashSystem 存储控制器是一个重要因素,但如果声称这是性能改进的唯一原因则结论过于简单,有失偏颇。 性能提升也可归因于 QRadar 产品本身,尤其是在考虑其索引管理功能等方面。 无论性能级别改进的原因是什么,在 DA 的案例中已证实,IBM 技术组合在满足组织的安全目标和目的方面非常有效。
DA外部链接 是一家技术公司,于 1986 年由澳大利亚当地的信用合作社和互助银行联合创建,负责运行管理相关的核心银行服务。 这个引以为傲的传承项目——由互助机构为互助机构设立——至今仍然是 DA 业务的核心。
Vectra外部链接 是一家一流的网络安全公司,由澳大利亚人拥有和运营。 自 2001 年起在整个亚太地区提供专家咨询服务、安全管理服务和安全解决方案。 Vectra 团队提供多元化的经验和能力,包括但不限于治理风险与合规 (GRC) 咨询、渗透测试和漏洞评估、端点安全、网络安全、身份安全、云安全、SIEM 管理服务和事件响应。
DA外部链接 是一家技术公司,于 1986 年由澳大利亚当地的信用合作社和互助银行联合创建,负责运行管理相关的核心银行服务。 这个引以为傲的传承项目——由互助机构为互助机构设立——至今仍然是 DA 业务的核心。
Vectra外部链接 是一家一流的网络安全公司,由澳大利亚人拥有和运营。 自 2001 年起在整个亚太地区提供专家咨询服务、安全管理服务和安全解决方案。 Vectra 团队提供多元化的经验和能力,包括但不限于治理风险与合规 (GRC) 咨询、渗透测试和漏洞评估、端点安全、网络安全、身份安全、云安全、SIEM 管理服务和事件响应。
Simeon Finch
DA 前网络安全主管
Simeon Finch (BCompSc, MCSE, VCAP) 是 DA 的前网络安全主管,全程负责网络安全团队、技术、合规流程和策略等业务。
Simeon 熟悉各种 IT 职能岗位,拥有 20 多年的相关经验,包括技术领导力、架构和网络安全领导力等。 Simeon 是 TOGAF 认证和 SABSA 特许的安全架构师,曾为大规模项目部署做出了贡献,例如,围绕能源领域的网络安全立法而设立的联邦政府关键基础架构中心和金融服务中的开放银行业务等。
Lucien Dabrowski
DA 首席网络安全分析师
Lucien Dabrowski 是 DA 的首席网络安全分析师,负责安全监控,事件处理,确保实现网络监管和达到合规要求,以及对 DA 的网络安全成熟度保持持续改进,以实现对网络威胁的有效预防、检测、响应和恢复。
Lucien 拥有超过 8 年的网络安全经验,具备 ICT 基础架构背景。 他是 SIEM 推广者,设计、实施并运营过多个大型 SIEM 平台。 Lucien 在 DA 和更广大的社群范围里积极提供相关指导和技术指引。
Brendan Scott
IBM 技术产品专家
Brendan Scott (MIT, BEng) 是 IBM 的技术产品专家,主要关注运用 IBM Systems Storage 产品服务组合为 A/NZ 的客户和合作伙伴提供支持。
Brendan 在各种 IT 岗位和行业里拥有超过 25 年的经验。 在 IBM 的 10 年职业生涯中,Brendan 通过提供技术建议和指导,运行 IBM 硬件和软件解决方案,从而能最大程度提高客户和合作伙伴的价值。
Jesse Qiao
Vectra 网络安全解决方案经理
Jesse 负责安全解决方案和相关安全管理服务的整体采用、咨询、实施和持续支持。 他与 Vectra 的安全咨询、渗透测试、安全运营中心 (SOC) 和事件响应团队密切合作,从而在 ANZ 区域里为 Vectra 的客户群体提供支持。
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
美国出品,2022 年 4 月。
FlashSystems、IBM FlashCore、IBM Security、IBM Spectrum 和 QRadar 是 International Business Machines Corp. 在世界许多国家和地区的注册商标。 其他产品和服务名称可能是IBM或其他公司的商标。 Web 站点 www.ibm.com/legal/copytrade 中包含了 IBM 商标的最新列表。
VMware、VMware 徽标、VMware Cloud Foundation、VMware Cloud Foundation Service、VMware vCenter Server 和 VMware vSphere 是 VMware, Inc. 或其子公司在美国和/或其他司法管辖区的注册商标或商标。
本文档为自最初公布日期起的最新版本,IBM 可随时对其进行修改。 IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
本文引用的性能数据和客户示例仅供说明之用。 实际性能结果可能因具体配置和运行条件而异。 本文档内的信息"按现状"提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。 IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:IT 系统安全涉及通过预防和检测来自企业内部和外部的不正当访问并做出相应响应来保护系统和信息。 不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用(包括用于攻击他人)。 任何 IT 系统或产品都不应被视为完全安全,任何一个产品、服务或安全措施都不能完全有效防止不正当使用或访问。 IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,可能需要借助其他系统、产品或服务才能发挥最大作用。 IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。