是合法的电子邮件还是有针对性的网络钓鱼尝试？这是无数企业和员工每天面临的问题，随着这些攻击之间的差别变得更细小，辨别差异变得更具挑战性。

约 40% 的网络攻击是通过网络钓鱼开始的

事实上，IBM 在 2021 年观察到，网络钓鱼尝试已成为最常见的威胁媒介，成为大约 40% 攻击的起点。当犯罪分子和诈骗者添加相应的电话（语音钓鱼或语音网络钓鱼）时，这种尝试取得成功的可能性会增加三倍。同样，勒索软件攻击已成为主要的网络威胁，占攻击总数的 21%。

甚至更传统的行业也面临着网络威胁的增加，特别是当这些企业开始探索数字化转型如何提供明显的竞争优势时。IBM 研究院表示，制造业取代金融服务业，成为 2021 年遭受攻击最多的行业，占该行业当年修复的攻击总数的 23.2%。

制造业：2021 年受攻击最严重的行业

因此，随着 AI 和混合云在生产车间的使用变得越来越普遍，并且分析驱动的决策要求实时转移到工作流程，黑客和其他非法行为者正在寻找目标丰富的新环境。

“黑客只需一次成功尝试，就能为您的公司带来损害，”Doosan Group 执行副总裁兼企业数字战略负责人兼 Doosan Digital Innovation (DDI)（主要向 Doosan Group 提供 IT 和 DT 产品/服务）首席运营官 (COO) Robert Oh 指出，“或者，甚至只是员工的一项非恶意行为，比如点击他们不应该点击的链接。后门一旦打开并且黑客进入了内部，大多数公司在超过一个月的时间里都不知道自己已受到损害。这正是黑客执行损害行为的好时机。”

2021 年初，Oh 在担任 Doosan Group 执行副总裁兼企业数字战略负责人的同时，还被任命为 DDI 首席运营官。通过这次任命，他思考了不断变化的安全形势以及如何解决这一问题，他认为有效、全面的网络安全计划应该成为执行任何数字化转型工作的基础。幸运的是，在他的新职位上，他不仅负责领导 DDI 的数字化转型之旅，还负责引领全球 Doosan Group 的数字化转型之旅。

“我向我们的高管团队提到的第一件事就是保护我们在数字化转型中的投资的重要性，”Oh 回忆道，“正如您可能想象的那样，需要一些说服力才能让他们同意加强我们的状态。人们常常认为安全是理所当然的 — 没有发生任何不好的事情，所以也不会发生任何不好的事情。但我的重点是向他们证明，安全是我们未来取得成功的关键的基本推动因素。这不是伴随我们转型而存在的东西，而是转型的基础。”

特别是，Oh 希望将 Doosan Group 转向更积极主动、更具全球意识的安全状态。此前，该公司的安全工作是从业务部门或区域层面进行管理的，这使得安全团队之间的协作效率有些低下。

“在整个 Doosan Group，我们在全球超过 40 个国家/地区开展业务，”Oh 补充道，“在这种全球规模下，您并没有时间让员工达成一致。他们已经需要通过政策、流程和积极的技术推动因素来达成一致。

他继续说道：“对于我们基于安全保护管理的每个可能端点，我希望确保全球安全团队中的每个人都能看到其相同、统一的视图。这意味着我们需要建立我们的边界，我们需要建立全球性、可操作和实时的可视性。”

放眼全球，保护本地

Oh 承认，在 40 个国家/地区实现安全政策的标准化和集中化并不是一项简单的任务。“一开始，我告诉我的团队，他们即将经历一生难忘的冒险，”他回忆道，“我们很少有转型机会来影响全球工作方式，但我知道，有了正确的支持，我们可以让这次冒险变得更加可预测。我们找到了 IBM 的支持。”

第一步，远程 IBM Security X-Force 团队评估并确定 DDI 既定流程中可以提高可视性的领域。然后，客户的安全人员与现场 IBM Security X-Force 咨询团队协调，对该集团的全球网络进行更深入的成熟度分析。借助这些信息，联合团队收集了各种建议，这些建议将有助于进一步强化安全系统并促进符合行业公认最佳实践的全球治理。

作为这项工作的一部分，DDI 和 IBM 团队确定并制定在安全基础架构中工作的 Doosan 员工的适当角色和职责。同样，联合团队参与这种新安全状态的容量规划，同时确定有助于加强保护工作的其他用例和事件响应运行手册选项。

DDI 和 IBM 联合团队还确定，通过将区域安全运营中心 (SOC) 整合为统一的全球 SOC，可以更好地为 Doosan Group 提供服务。通过更紧密集成和标准化的监督策略，该团队可以建立通用的绩效指标，并更轻松地跨站点和地域进行协调。

DDI 对这次评估充满信心，因此推进了建议的安全改进措施。新的全球 SOC 由 IBM Security X-Force 团队监督，在“追逐太阳”模型下提供全天候监控和保护。在每个 24 小时期间，Doosan 全球基础架构的安全责任由三个 IBM 站点之间轮流负责，从而将托管检测和响应 (MDR) 支持与一天中任何时候最活跃的区域对应。

此外，DDI 借助全球 SOC 解决方案能够持续接触 IBM 行业专家和安全咨询支持以及最新的全球威胁情报。通过利用这个定期更新的知识库，DDI 和 Doosan Group 可以更好地防御最新的威胁媒介，包括专门针对制造业的威胁媒介。

为了控制全球 SOC 的运行，DDI 与 IBM 合作更新其核心安全基础架构。通过部署 Cybereason EDR 来监督端点检测和响应 (EDR)，该团队加强了公司的主动安全事件和事件管理 (SIEM) 工作。EDR 软件可以快速识别、应对和修复潜在威胁。此外，IBM 还集成了 IBM Security QRadar SOAR 技术，该技术由 IBM Cloud Pak for Security 提供，利用该开放式平台与 Cybereason EDR 解决方案的优势，旨在提供基于 AI 的自动化，进一步简化威胁响应。

“我们对 SOAR 功能进行了分层，这样我们就可以在不占用员工宝贵时间的情况下解决威胁检测误报，”Oh 解释道，“它与我们的全球 SOC 相协调，因此我们现在可以专注于相关的事情。如果系统确实发现合法问题，我们就可以敏捷而坚定地采取行动。”

为了推动持续增长、成熟和不断变化的环境，Doosan 利用 IBM X-Force 建议服务来不断优化安全策略、治理、指标和运营模型。“我们的安全状态已经改变，”Oh 补充道，“我们看待和应对潜在威胁的能力已经改变。我们的文化发生了变化。随着全球 DDI 和 IBM 团队的加入，我们为应对数字化转型而做的准备工作也发生了变化。”

发现问题，采取行动

随着全球 SOC 的上线，Oh 和 Doosan 认为他们已经为未来和现在做了更好的准备。

如果您愿意，请想象一下，Doosan 来自 40 个国家/地区的其中一名员工不小心点击了恶意链接。瞬间，勒索软件就开始加密员工的硬盘驱动器。幸运的是，Doosan 的新 EDR 解决方案提供三层事件检测，因此该平台已经注意到可疑的加密并采取行动，立即隔离相关硬盘驱动器扇区。

同时，自动安全协议会通知 IBM Security 管理检测和响应团队。在核实这确实是一次攻击后，IBM 团队会与现场工作人员协调，对受影响的硬盘驱动器进行重新格式化，并迅速恢复联机，以帮助最大限度地减少业务中断。

借助 IBM 技术和团队提供的全球实时监控，DDI 能够在出现潜在安全事件时更好地应对。"它做的是它应该做的事情，"Oh 指出，"通过集成的 EDR/MDR，我们每个月都要处理大量的潜在威胁。我们正在应对所有这些潜在的攻击，而不会对我们的业务造成任何干扰。”

他继续说道：“SOAR 也至关重要。通过预先自动处理基于 AI 的模式匹配，我们可以更快地检测、破译事件并采取行动，从而将响应时间缩短约 85%。”

除了自动化之外，借助全球 SOC，还能够集中了解公司安全状况和运营。“我们在 40 个国家/地区开展业务，因此拥有全球视野非常重要，”Oh 补充道，“通过与 IBM 合作，我们现在可以 24 小时实时准确地了解世界。我们可以看到每个端点、每个系统。因此提升了我们跨团队协作的效率。”

这些标准化工作还可以实现一致、精心策划的威胁调查，从而增强保护和监督，同时简化报告、跟踪和审计流程。

除了更新安全体系结构和全球 SOC 提供的功能增强之外，DDI 与 IBM 的合作还存在其他原因。“我们很快就完成了整个项目，”Oh 解释道，“我说我想在不到一年的时间内完成这个项目。由于我的全球团队坚定不移履行承诺，加上 IBM 提供的专业知识，我们成功了。”

Oh 还认可 IBM 团队提供的思想领导力，他表示：“Doosan 的核心业务竞争力不是网络安全。因此，与跨国公司合作改变 Doosan 的网络安全文化和状态是明智的选择。这就是我们与这位能够开展安全工作的全球领导者合作的原因，它能够专注于提高思想和技能来应对日常威胁。”

此外，随着 DDI 完成该项目并准备其数字化转型工作，该企业发现这对其员工产生了更广泛的文化影响。“我们更加关注安全性，”Oh 指出，“我们进行了大量的内部网络钓鱼电子邮件活动培训，这意味着我们会定期发送模拟网络钓鱼电子邮件来测试我们的全球员工。嗯，在过去的一年里，当我们推出这一转型时，这些测试的点击率明显持续下降。而且，注意力不集中以至于泄露密码的用户数量也大大减少了。”