嘿,我们正在测试一款新的报告工具。您是否可以单击下面的链接并运行两份样本报告?我们要在 SSO 上运行,因此,如果要求填写密码,就用您的网络密码。告诉我您对这款工具的看法。

合法电子邮件还是目标钓鱼尝试?这是无数企业和员工每天都面临的问题,这些攻击变得越来越狡猾,进行区分变得愈加困难。

大约 40% 网络攻击从网络钓鱼开始

事实上, IBM 在 2021 年观察到,网络钓鱼攻击已成为最常见的威胁向量,大约 40% 的攻击从网络钓鱼入手。当犯罪分子和骗子添加了相应的语音网络钓鱼时,尝试成功的可能性提高了三倍。同样,勒索软件攻击已成为主流的网络威胁,占攻击总数的 21%。

甚至是较传统的部门也发现网络威胁在不断增加,特别是这些企业开始探索数字转型如何能够带来明显竞争优势的过程中。根据 IBM 研究,2021 年,制造业取代金融服务,成为年度受攻击最多的行业,该行业当年修复的攻击占总攻击量的 23.2%。

制造业: 2021 年受攻击最多的行业

随着 AI 和混合云在生产层上变得更加常见,而分析驱动的决策则要求向工作流程实时迁移,黑客和其他非法行为者正在寻找新的目标丰富的环境。

“只需一次成功的黑客攻击,您的公司就会遭到重创,”Robert Oh 指出。他是斗山集团执行副总裁兼企业数字战略主管,同时也是 Doosan Digital Innovation (DDI) 的首席运营官 (COO),DDI 是一家主要面向斗山集团提供 IT 和 DT 产品的实体。据他所说,“甚至只是某个员工的非恶意行为,比如点击一个不应该打开的链接。后门一旦打开,威胁就会进驻其中,大多数公司在一个月后都不知道他们已经受到攻击。这就给攻击留出很多时间来制造破坏。”

项目启动后

不到1 年

即已设想并部署了一个综合的全球安全基础架构

使用 SOAR 加快威胁反应速度,缩短了

约 85%

的响应时间

文化变革

2021 年初,时任斗山集团执行副总裁兼企业数字战略主管的 Oh 同时又被任命为 DDI 的 COO。接到这一任命后,他考虑了不断变化的安全格局以及如何应对这一态势,他认为应该有一个有效、综合的网络安全计划来充当任何数字转型工作的基础。幸运的是,他的新职位不仅承担引领 DDI 开展数字化转型之旅的责任,还要负责斗山集团的全球数字化转型。

Oh 回忆道:“我向我们的高层主管团队提到的第一件事,就是保护我们在数字化转型方面的投资十分重要,大家可以想象,我需要说服他们来同意强化我们的安全态势。人们通常认为安全性顺理成章,没有任何坏事发生,所以不会发生任何坏事。但我专门向他们证明,安全性是我们未来取得成功的关键基础和推动因素。它并非与我们的转型共存,而是转型的基础。”

尤其是,Oh 希望斗山集团提升安全态势的主动性和全球感知性。此前,该公司的安全工作从业务部门或地区层面进行管理,这使得安全团队之间的协作有些低效。

Oh 说:“斗山集团在全球 40 多个国家或地区开展业务,在全球范围内,您做不到让大家全都步调一致。这些已经需要通过政策、流程和积极主动的技术手段来实现。”

他继续道:“我想确保全球安全团队的所有人都能通过同一个综合性视图查看我们所管理的所有可能的端点。这意味着我们需要加强周边建设,我们需要在全球化、可操作且实时可视的情况下进行构建。”

亚洲夜间的太空俯视图,城市灯光显示的是中国、日本、韩国、台湾和其他国家或地区的人类活动,来自美国航天局的 3D 渲染图

全球化思维,本地保护

Oh 认识到,对 40 个国家或地区的安全政策进行标准化和集中化并不是一项简单的任务。他回忆道:“开始时,我告诉我的团队,他们即将踏上冒险旅程。我们很少拥有影响全球工作方式的转型机会,但我知道,有了相应的支持,我们可以让这场冒险变得更加可预测。我们找到了 IBM,请他们提供的支持。”

第一步,远程 IBM Security® X-Force® 团队评估并确定可以提高 DDI 既定流程可视性的区域。然后,客户的安全人员与现场 IBM Security X-Force 咨询团队协作,对集团的全球网络进行更深入的成熟度分析。结合这一信息,该联合小组提出了一些建议,将有助于进一步强化安全系统,并促进与业界公认的最佳做法相一致的全球治理。

在工作过程中,DDI 和 IBM 团队确定并规划出在安全基础架构内工作的斗山工作人员相应角色和职责。同样,联合小组为这一全新安全态势进行了容量规划,同时确定了额外的用例和事件响应操作手册选项,以帮助加强保护。

DDI 和 IBM 联合团队还认为,通过将各区域安全运营中心 (SOC) 整合为统一的全球 SOC,斗山集团将获得更好的服务。借助更加紧密集成且标准化的监督策略,该集团设定通用性能指标,并简化各站点和地理位置之间的协调。

DDI 此评估中获得了信心,实施了建议的安全改进措施。新的全球 SOC 由 IBM Security X-Force 团队监督,在 24*7 模式下提供全天候的监控和保护。在每个 24 小时周期内,斗山全球基础架构的安全职责由三个 IBM 站点轮换负责,这样在一天中的任何时间点,管理式检测和响应 (MDR) 支持都能与最活跃的区域保持一致。

此外,全球 SOC 解决方案支持 DDI 持续访问 IBM 行业专家和安全咨询支持,以及最新的全球威胁情报。利用这一定期更新的知识池,DDI 和斗山集团可以更好地抵御最新威胁向量,包括那些专门瞄准制造行业的威胁攻击。

为掌控全球 SOC 的运营,DDI 与 IBM 合作,更新了其核心安全基础架构。该团队增强了公司的主动安全事故和事件管理 (SIEM) 工作,同时部署 Cybereason EDR 以监督端点检测和响应 (EDR)。EDR 软件可以快速识别、应对和补救潜在威胁。IBM 还集成了从 IBM Cloud Pak® for Security 交付的 IBM Security QRadar® SOAR 技术,利用具有 Cybereason EDR 解决方案的开放式平台,实现了基于 AI 的自动化,进一步简化了威胁响应。

Oh 说:“我们在 SOAR 功能加以分层,这样就可以在不占用员工宝贵时间的情况下解决虚假威胁检测。它与我们的全球 SOC 协调一致,因此我们现在可以专注于相关问题。如果该系统确实发现了正当问题,我们可以敏捷、坚定地采取措施。”

为推动持续增长,提高成熟度并应对不断变化的环境,斗山利用 IBM X-Force 进行咨询互动,不断优化安全策略、治理、度量和运营模式。Oh 补充说:“我们的安全态势发生了改变。我们发现和应对潜在威胁的能力发生了改变。我们的文化也发生了变化。我们对数字化转型的准备工作也在全球 DDI 和 IBM 团队的引领下发生了改变。”

X-Force Threat Intelligence 控制室

发现问题,应对问题

全球 SOC 现已上线,Oh 和斗山集团对于未来和当下都做好了更加充分的准备。

想象一下,如果 40 个国家或地区的斗山员工中有一个意外地点击了一个恶意链接。勒索软件立即开始加密员工的硬盘。幸运的是,斗山的全新 EDR 解决方案提供了三层事件检测,因此平台已经注意到可疑的加密和行为,并立即隔离了相关的硬盘扇区。

同时,自动化安全协议通知 IBM Security 管理式检测和响应团队。在验证这实际上是一种攻击之后,IBM 团队随后与现场工作人员协调,将受影响的硬盘重新格式化,并迅速恢复联机,从而帮助最大程度减少业务中断。

行动越快速,并发问题越少

由 IBM 技术和团队交付的全球实时监控将 DDI 置于更有利的位置,他们可以实时发现潜在安全事件。Oh 指出:“它在做应该做的事。利用整合的 EDR/MDR,我们每月可处理大量潜在威胁。我们在处理所有这些潜在攻击的同时,不会对业务造成任何干扰。”

他继续说:“SOAR 也很关键。基于 AI 的模式匹配将在前期自动处理,这样我们可以更快地检测、破解和处理事件,从而将响应时间缩短约 85% 。”

除了自动化之外,全球 SOC 还提供了集中可视性,以了解公司的安全状况和运营情况。Oh 说道,“我们在 40 个国家或地区开展业务,因此拥有一个全球视图十分重要。在 IBM 的帮助下,我们现在拥有了实时且精确的 24 小时全球视图。我们可以看到每个端点,每个系统。这让我们的跨团队协作更加高效。”

黑暗服务器机房中的红色发光面板

这些标准化工作还有助于开展统筹安排的威胁调查,从而加强保护和监督,同时简化报告、跟踪和审计过程。

除了已更新安全架构和全局 SOC 交付的增强功能外,DDI 与 IBM合作还有其他原因。Oh 解释说,“我们整个项目的进度非常快。我当时说‘我希望在一年内完成这项工作。’由于我的全球团队坚定不移地履行承诺和 IBM 专业知识的加持,我们成功了。”

Oh 还非常认可 IBM 团队的思维领导力,他说:“我们斗山的核心业务能力并非网络安全。因此,与全球公司合作转型斗山的网络安全文化和态势合情合理。因此,我们与一家擅长安全工作的全球领导者合作,他们可以专注于打磨自己的头脑和技能来应对日常的威胁。”

此外,在 DDI 完成了这一项目,并准备好开展数字化转型工作的同时,该企业认识到员工之间广泛的文化影响。Oh 说:“我们在安全问题上花费了更大的精力。我们在内部开展了大量网络钓鱼电子邮件实战培训,这意味着我们会定期发送模拟网络钓鱼电子邮件,目的是测试我们的全球员工。在过去一年里,随着我们转型工作的逐步推进,这些测试中的点击率出现了明显的稳步下降。而那些因粗心大意而泄露密码的用户数量也大幅减少。”

冒险继续

Oh 补充道,“与 IBM 合作以来,我们的旅程,也可以说是冒险,变得更加可预测。它们与我们降低模糊度、建立联盟及采用敏捷方法的 3A 战略十分契合。我认为,我们现在已经到了考虑下一步如何发展的时候,而不是如何去加强。”

接下来的一些步骤将专注于进一步强化 DDI 的安全结构。例如,公司目前正在探索扩大零信任安全原则的使用。现在,DDI 已经确保了其全球网络的安全,该公司正在创建新的身份验证层,以供用户在架构中导航。

Oh 解释说,“因此,当您访问更关键的基础架构或服务器时,必须进一步获得认证。这将打造出一个更安全、更加受控的零信任环境。”

虽然 DDI 继续加强其核心安全架构,但该企业已采取充分措施,开始推进更广泛的数字化转型。Oh 解释说:“我不再着眼于需要做什么。现在我关注的是能够做什么。我们如何利用技术来提高制造车间的效率?我们如何将这些新的安全功能融入我们所生产的产品中?我们如何利用这一转型来开拓我们从未想过的新业务?”

Doosan 徽标

关于 Doosan Digital Innovation (DDI)

DDI(外部链接)负责将 IT 和 DT 产品提供给业务覆盖面更广的斗山集团(外部链接),这是一家主营制造业的企业集团。斗山集团拥有悠久的历史,其创立可追溯到 1896 年,该集团在全球 40 个国家或地区开展业务,目前集团和 DDI 的总部均位于韩国首尔。

解决方案组件
IBM Cloud Pak® for Security
IBM Security® QRadar® SOAR
IBM Security 管理式检测和响应
IBM Security X-Force®

© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

美国出品,2022 年 10 月。

IBM、IBM 徽标、ibm.com、IBM Cloud Pak、IBM Security、QRadar 和 X-Force 是 International Business Machines Corp. 在全球许多管辖区域注册的商标。其他产品和服务可能是 IBM 或其他公司的商标。以下 Web 站点上的"Copyright and trademark information"部分中包含了 IBM 商标的最新列表:www.ibm.com/legal/copytrade.shtml

本文档为自最初公布日期起的最新版本,IBM 可随时对其进行修改。IBM 并不一定在开展业务的所有国家或地区提供所有这些产品或服务。

引用的性能数据和客户示例仅用于演示目的。实际性能结果可能因具体配置和运行条件而异。本文档中的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,不包含任何有关适销、适用于某种特定用途的保证以及有关非侵权的任何保证或条件。IBM 产品是根据产品提供时所依据的协议条款和条件提供保证的。

良好安全实践声明:IT 系统安全性涉及通过防御、检测和响应来自企业内部和外部的不正当访问来保护系统和信息。不正当的访问可能导致信息被篡改、破坏或盗用,或者导致您的系统遭到误用而攻击别人。任何 IT 系统或产品都不应被认为是完全安全的,而且没有任何单一产品、服务或安全措施在防止不正当的使用或访问方面是完全有效的。IBM 系统、产品和服务旨在成为合法、全面的安全方法的一部分,它必定涉及额外的操作程序,并且可能需要其他系统、产品或服务配合才能获得最好的效果。IBM 不保证任何系统、产品或服务免受任何一方的恶意或非法行为侵扰,或帮助您的企业免受任意一方恶意或非法行为的攻击。