结合 IBM 技术更好地管理网络安全

2020 年，面向另类银行提供技术服务的供应商 Data Action (DA) 在经过全面的市场评估后，与当地安全咨询与服务专业机构 Vectra 签订合同，启动安全信息与事件管理 (SIEM) 平台升级项目。

最终选定的 SIEM 理解决方案为 IBM® Security QRadar，该方案通过 VMware 虚拟化设备及 IBM® FlashSystem 存储完成部署。虽然在虚拟化设备上部署 QRadar 很常见，但用于此类工作量的高性能 FlashSystem 存储控制器则不常见。

采用 IBM 专属的 IBM® FlashCore Module (FCM) 技术存储 QRadar 数据，对安全运营中心 (SOC) 的安全威胁分析能力产生了显著提升。其对响应时间的整体效果显著，在某些情况下，分析时间从之前的 SIEM 解决方案的数小时减少到数分钟。

然而，只有提供足够的计算和存储资源，才有可能实现智能洞察分析和快速响应。有效的 SIEM 解决方案需要采集大量数据，这些数据通常来自跨越本地部署和云资源的复杂操作环境。想要获得更深入的洞察所需的复杂分析，需要访问海量数据。在这类环境中，唯有采用高性能、低延迟的存储设备，才能实现快速响应。

出于这些原因，在进行全面的市场评估后，DA 在 2020 年部署了 QRadar 作为自己的 SIEM 解决方案。该方案包含专用 VMware 集群内的虚拟设备，并采用 FlashSystem 存储进行所有数据留存。

QRadar 是一款网络安全管理平台，可提供安全态势感知与合规性支持。QRadar 结合采用基于流量的网络感知技术、安全事件关联分析以及基于资产的漏洞评估方法。

Gartner 在《安全信息与事件管理魔力象限》报告中，将 IBM 列为 SIEM 领域的领导者，且这一评定已连续维持 12 年。

FlashSystem 系列是 IBM 旗下的块存储控制器产品组合，其机型可满足入门级、中端及高端工作负载的需求。所有型号均采用源自 IBM® SAN Volume Controller 的 IBM® Spectrum Virtualize 软件作为嵌入式系统软件。由于采用相同的软件，许多通常仅在高端解决方案中具备的功能，在入门级和中端机型中同样可以实现。

IBM FlashSystem 5200、7200、7300、9200 和 9500 型号的核心是 IBM FlashCore 技术。

IBM FlashCore 技术为 IBM 存储独有，与其他厂商全闪存阵列所采用的固态硬盘 (SSD) 不同，其控制器设计运用多种技术，实现卓越性能并增强系统弹性。

• 体验低至 70 微秒延迟的 I/O 性能，助力消除性能瓶颈。
  
  
• FCM 使用嵌入式硬件进行数据缩减。数据缩减的处理速度与数据写入模块的速度同步，不会对性能造成任何影响。

FCM 经专门设计，其闪存耐用性高达行业标准通用 SSD 的七倍，可为客户减少各类问题。这也意味着不必花时间处理故障 SSD 和驱动器重建。

DA 已发展成为专业的软件与服务提供商，服务于澳大利亚多家领先的会员制新兴银行、聚合机构以及宗教信仰领域机构。DA 的平台架构灵活，可通过“即插即用”整合实现可选性。DA 的产品系列已从核心银行平台，发展为支撑企业使命的完整银行生态系统——“为澳大利亚新兴银行提供核心与数字银行技术支撑”。

DA 在澳大利亚全国开展业务，在阿德莱德、悉尼、墨尔本和布里斯班拥有 200 多名员工。通过其核心银行与数字平台，DA 为超 160 万澳大利亚居民提升银行服务体验，每日为 260 万个账户处理 3 亿笔客户交易。

DA 的服务独具特色：其在私有云与公有云环境中对技术服务进行配置、迁移、托管、本地支持、集成及维护。这本质上是一种经过验证的端到端模型，由单一负责人负责服务交付、治理和沟通。这消除了因多供应商 IT 环境日益复杂、互操作性要求不断提升而产生的集成问题，以及潜在的责任归属纠纷。

DA 稳健的合作模式确保其客户能够持续为会员优化服务。目前，DA 平台上拥有超过 200 家合作伙伴，以确保提供一流的解决方案，为会员创造价值。

DA 的市场平台模式具备灵活性，可自由选择合作伙伴，以保持竞争活力与交付速度，并为客户提供适配自身需求的合作方案。DA 的合作团队与产品团队、客户团队及解决方案团队紧密协作，确保解决方案为客户及其会员创造价值。

DA 直接管理其金融服务客户中面向互联网的大部分业务接触面。因此，DA 具有独特的洞察分析，可以观察威胁在整个相互区域中移动的模式。

DA 具备强大的多层级网络安全能力，为其托管的银行服务提供安全防护。DA 的流程确保预防性控制措施得到严格、可靠的执行，同时在全组织范围内具备经过演练、体系化的事件检测、响应与恢复能力，以应对突发事件。

DA 使用全方位的安全服务和科技来保护其产品，保障客户业务及其终端用户的安全。整个体系包括网络应用程序防火墙、下一代防火墙和端点保护、全面的安全监控、漏洞管理和定期的外部渗透测试。

SIEM 是 DA 至关重要的核心平台，通过以下方式支撑网络安全能力：

• 从 DA 环境中采集和处理大量活动数据。
  
  
• 对相关数据执行安全分析，以识别环境中潜在的恶意活动并向 DA 发出告警。
  
  
• 将 DA 环境中的活动与已知的入侵指标进行比对，在发现潜在安全漏洞时向 DA 发出告警。
  
  
• 实现安全警报分类和取证调查。
  
  
• 以高弹性和完整性存储安全事件数据，以满足 DA 的合规性要求。
  
  
• 支持各团队对整个环境中的操作行为进行分析，协助开展运维故障排查工作。

若缺乏强大的平台支撑，DA 发现安全事件的概率将会降低，对已识别安全事件的响应效率也会下降。DA 也将无法满足与安全相关数据的监控和留存方面的合规要求。

本项目所替换的 SIEM 部署系统，原是一款基于硬件设备的解决方案，已接近使用寿命末期。

DA 希望通过此次升级重点改进的领域包括：

• 通过选用一款具备完善开箱即用解析器库、且与其数据源相匹配的平台，降低数据接入与维护的管理开销。
  
  
• 优化开箱即用的安全监控场景，以降低管理开销。
  
  
• 选择已证明具备持续研发能力与投入的平台。
  
  
• 提高整体数据摄取弹性。
  
  
• 解除硬件耦合，缓解存储容量扩展方面的限制。在原有平台上按相应性能扩展存储的成本，相较于当前主流存储技术，性价比极低、完全不具备竞争力。
  
  
• 提高复杂查询和大型查询的性能。以往一次查询通常需要耗时 12 小时，这在发生安全事件时会严重拖慢应急响应速度。该系统已判定，存储性能瓶颈源于采用机械硬盘运行所导致的限制。
  
  
• 提升对历史数据集进行取证调查的能力。原有平台的备份恢复能力采用全有或全无模式，导致对超出当前留存期限的数据进行恢复极为困难。

QRadar 主要围绕事件与流的采集、解析和分析这一核心机制运行。

事件是指表明发生了某些值得关注行为的数据，例如网络防火墙放行数据、用户登录系统以及数据库被访问等。事件是 SIEM 的基础数据。事件由网络路由器和服务器等设备以及应用程序生成。日志是事件数据的数据库。

流是通过直接接入网络设备并监控流经该设备的流量而获取的网络数据包数据。流包含源和目标 IP 地址、传输的数据量，甚至正在使用的应用程序等信息。流对于检测某些类型的攻击至关重要。需要说明的是，系统并不会捕获或存储完整的网络数据包，仅会记录网络传输中的报文头，亦即前几百个字节的数据。

要最好地理解 QRadar 如何处理从服务器和网络设备接收的数据，设想将 IBM Security QRadar 系统的操作分为三个层：

• 数据采集
  数据采集层负责从客户端网络中采集事件、流量等安全相关数据。该层会对数据进行采集、解析与标准化处理，再将其转发至下一层以开展后续处理与存储。

• 数据处理
  数据采集完成后，处理层通过 QRadar 的自定义规则引擎 (CRE) 对事件和流量数据进行实时处理。CRE 负责生成安全事件与告警信息。这也是将数据写入存储的层。
  
  QRadar 的数据处理是在多个处理器上并行进行的。将数据存储在靠近处理器的位置，并以高度分布式的方式在多个处理器间执行搜索与关联分析，这种架构是实现系统整体高性能的重要因素。

• 数据搜索
  顶层是控制台，提供 QRadar 用户界面。采集并处理后的数据结果将通过仪表板、报表和搜索功能进行展示。控制台可呈现安全事件调查信息，并能够发出告警。管理员使用控制台来管理 QRadar。

这种划分适用于任何 QRadar 部署结构，无论其规模、复杂性、数量或已安装或附加的日志源或模块如何。

如前所述，Gartner 在其《安全信息与事件管理魔力象限》报告中，将 QRadar 列为 SIEM 领域的领导者。QRadar 获此殊荣原因有很多，但该产品先进的索引管理是其突出功能之一。

只有明确用户需要查找哪些数据，并为频繁被检索的属性启用索引，才能最大化发挥索引的价值。索引管理功能向管理员提供有关哪些属性正在被搜索以及哪些搜索正在使用索引的统计信息。然后，管理员可以启用、调整甚至禁用索引，以提高整体性能。

为更多属性启用索引虽能带来诸多优势，但同时也存在潜在弊端。新增索引会在数据写入时影响系统性能，并且需要占用额外的存储空间。使用 IBM FCM 可以有效缓解这两个缺点。FCM 专为高性能企业级环境设计，能够持续接收海量数据，同时实现在线数据压缩；通过采用硬件加速 I/O 技术，FCM 独具特色，可在不产生任何性能损耗的前提下完成上述全部操作。

DA 已在由两台专用物理服务器组成的专属 VMware 集群内部署了 QRadar SIEM 解决方案。该环境的存储资源由一台直连至主机的专用 IBM FlashSystem 7200 存储系统提供。

该 SIEM 解决方案虽具备部署为完整容错架构的能力，但当前实际部署仅实现了高可用的日志采集与检索。QRadar Processor 和 QRadar Console 设备没有冗余，但作为虚拟设备，它们可以灵活地在 ESXi 主机之间进行迁移。

DA 的 SIEM 升级项目评估中包含了多项测试，用于对案件调查过程中常见操作的响应时间进行基准测试。随着 QRadar 解决方案现已全面投入运行，近期一次高优先级调查期间所执行的操作均已被记录。每个操作都会记录以下数据：

• 执行各项操作查询所覆盖的历史时间范围
  
  
• 所分析数据集的大小（如适用）
  
  
• 完成操作所需的时间

公布历史时间范围与数据集大小，旨在为所开展分析的复杂程度和规模提供背景参考。

为便于对比，DA 网络安全团队提供了在原有 SIEM 系统中执行同类操作的相对完成时长。虽然通过运行并行测试来比较两个 SIEM 系统上的结果是理想的选择，但这是不可能的，因为一旦 QRadar 投入运行，以前的 SIEM 解决方案就停用了。

尽管承认所引用的原有 SIEM 解决方案的完成时间为估算值，但这些数据仍具有参考意义，原因如下：

• 这些估算的完成时长，均由对两套系统都极为熟悉的高技能团队成员根据经验判断得出。
  
  
• 作为 DA 公司 SIEM 系统升级项目的一部分，研究人员对 QRadar 与现有系统的相对性能进行了测试。其整体性能的显著提升，是最终选择该产品而非其他备选方案的重要因素。
  
  
• 原有 SIEM 解决方案的日志与数据均已保留，可用于验证同类操作的性能。

但最为关键的是，QRadar 上所有类似操作的完成时间均较旧版 SIEM 系统快几个数量级。有理由认为，即使对之前 SIEM 解决方案列出的预计完成时间增加很大误差，QRadar 操作的完成时间也明显更短。以往需要数小时才能完成的任务，如今只需几分钟即可完成。同样，以往需要数分钟才能生成的报表，现在数秒内即可完成。

2020 年，DA 开展了一个项目，用以替换其原有的 SIEM 解决方案。虽然每个组织的业务规划都需要制定完善的网络安全战略，但对于为信用合作社、银行及其他金融机构提供核心银行服务的机构而言，其重要性再怎么强调也不为过。经过全面评估，DA 与 Vectra 签订合同，由其将现有 SIEM 解决方案替换为运行在虚拟化环境、采用 FlashSystem 存储的 QRadar 系统。

在最初的基准测试和实际使用中，本次部署的 QRadar 均被证实是一款用于调查安全相关事件的极为高效且强大的工具。在 VMware 集群中部署 QRadar 组件可带来诸多优势：物理占用空间更小、电力成本更低，同时具备更高的灵活性与未来可扩展性。通过采用搭载 IBM FCM 技术的 FlashSystems 存储设备，DA 得以受益于专为高性能与高可靠性设计的解决方案。

通过结合 QRadar 的索引优化功能与高性能存储平台，DA 已将常见查询的运行时间从分钟级大幅缩短至秒级。这使得 DA 所有类型的 SIEM 用例都得到了明显的改进，包括事件响应、定期环境审查和报告。安全事件分析速度的提升，改善了事件分类与响应效率，众所周知，这能够降低事件造成的整体影响。更高效的环境审查减少了安全分析师的耗时与挫败感，为高价值工作腾出更多时间。

通过采用 QRadar 和 IBM FlashCore 技术，DA 现在可以运行事件分析并生成报告，所需时间仅为先前 SIEM 解决方案的几分之一。在数据泄露平均损失高达数百万美元的背景下，任何能够提升检测速度的解决方案，其商业价值都不言而喻，可在时间与资金方面带来潜在的节约效益。

虽然部署配备 FCM 的 FlashSystem 存储控制器是一个重要因素，但声称这是性能改进的唯一原因未免过于简单化。性能提升也可归功于 QRadar 产品本身，尤其是其索引管理功能。无论性能提升的具体原因是什么，在 DA 的案例中可以看出，IBM 多项技术的组合应用在实现该机构的安全目标与宗旨方面成效显著。

Data Action 前网络安全负责人

Simeon Finch（拥有计算机科学学士、计算机工程师学会会员、美国加州网络安全工程师学会会员）是 DA 的前网络安全负责人，全面负责网络安全团队、技术、合规流程和战略。

Simeon 在多种 IT 领域深耕 20 多年，包括技术领导力、架构和网络安全领导力。Simeon 拥有 TOGAF 认证以及 SABSA 特许安全架构师资质，曾参与多项大型项目，包括联邦政府关键基础设施中心相关工作，涉及能源领域网络安全立法以及金融服务领域的开放银行等项目。

DA 首席网络安全分析师

Lucien Dabrowski 是 DA 的首席网络安全分析师，负责安全监控、事件处理，确保满足网络监管与合规要求，并持续提高 DA 的网络安全成熟度，以有效预防、检测、响应和恢复网络威胁。

Lucien 拥有超过 8 年的网络安全经验，具有 ICT 基础设施相关专业背景。他是一名 SIEM 技术推广专家，曾设计、部署并运维过多个大型 SIEM 平台。Lucien 在 DA 内部及更广泛的行业社群中积极提供指导与技术支持。

IBM 技术产品专家

Brendan Scott（麻省理工学院、工程学士）是 IBM 的技术产品专家，主要通过 IBM Systems Storage 产品服务组合为澳大利亚/新西兰的客户和合作伙伴提供支持。

Brendan 拥有超过 25 年的多元化 IT 岗位及行业工作经验。在 IBM 的 10 年职业生涯中，Brendan 一直通过提供技术建议和指导，为使用 IBM 硬件和软件解决方案的客户和合作伙伴实现价值最大化。

Vectra 网络安全解决方案经理

Jesse 负责安全解决方案和相关托管安全服务的整体采用、咨询、实施和持续支持工作。他与 Vectra 的安全咨询、渗透测试、安全运营中心 (SOC) 及事件响应团队紧密协作，为该公司在澳新地区的客户群体提供支持。

DA 是一家科技公司，是一家科技公司，于 1986 年由澳大利亚多家地方信用合作社及互助银行共同组建为合作社形式成立，旨在提供核心银行服务。这段由互助金融机构创立、服务于互助金融机构的光荣传统，至今仍是 DA 公司业务的核心所在。

Vectra 是一家澳大利亚本土领先的网络安全公司，由澳方所有并运营。该公司自 2001 年以来，在亚太地区提供专业咨询服务、托管安全服务和安全解决方案。Vectra 团队拥有丰富的经验和能力，包括但不限于治理风险与合规 (GRC) 咨询、渗透测试和漏洞评估、端点安全、网络安全、身份安全、云安全、托管 SIEM 和事件响应。