TrickBot。Gozi。NovaLoader。BackSwap。ShadowHammer.。这些不是超级英雄或星座的绰号。它们是对组织、基础架构甚至社会构成严重威胁的恶意软件、勒索软件、僵尸网络和其他网络攻击的名称。而且,每年都会出现新的、更复杂的威胁。
根据 IBM® X-Force® Threat Intelligence 指数 2020 年报告,2019 年有超过 85 亿条记录被泄露,与 2018 年同比增加三倍多。更糟糕的是,长期缺乏熟练的 IT 安全专业人员来应对这些威胁,许多组织都在努力雇用和留住人才。
网络威胁的无情和熟练工人的缺乏,改变了需要安全服务的组织与提供安全服务的组织之间的关系。由于内部 IT 安全团队不堪重负,中小型企业 (SMB) 希望托管服务提供商提供智能安全解决方案,以帮助保护其数字资产。实际上,管理、检测和减轻威胁的责任正在成为一项协作努力。
因此,当总部位于卢森堡的 Excellium Services SA 于 2013 年推出其专有的网络安全管理解决方案 EyeGuard Cyber SOC 时,它满足了对经济高效且可扩展的安全服务的迫切需求。EyeGuard 平台基于 IBM QRadar® 下一代安全信息和事件管理 (SIEM) 技术构建,允许组织实时监控其关键资产,以便他们能够快速、主动地检测和响应恶意活动。
通过订阅 EyeGuard Cyber SOC 服务,Excellium 客户可以扩展其内部安全团队的能力。中小型企业获得 EyeGuard 专业人员的专业知识,他们根据定义的服务级别协议 (SLA) 提供 24x7 全天候高级主动资产监控等服务。它们还可以识别外部漏洞并帮助客户制定安全策略和程序。
Excellium 联合创始人兼管理合伙人 Christophe Bianco 解释说:“数据泄露经常发生,而资源缺乏是一个真正的问题。因此,网络安全的趋势是,客户是在寻找合作伙伴,而不仅仅是技术经销商。客户会说:‘我需要您来完善我的运营,在弹性需求的背景下成为我的 IT 运营安全团队的延伸。’”
通过规范化安全流程,将威胁管理质量提高 40%
通过自动化响应程序,将新员工的自主权提高 30% – 40%
但是,技术娴熟专家的短缺不仅仅是 Excellium 客户面临的挑战;Excellium 本身也感受到了人员紧张。自推出 SOC 平台以来,该公司员工已从 6 人增加到 120 多人。Excellium 已成为 180 多家组织值得信赖的提供商,且随着其向新市场和地区的扩张,其客户群也在快速增长。
“由于法规和数字化越来越多,对安全性的需求是巨大的,”Bianco 说道。“但是资源是稀缺的。为了管理并向客户提供更多服务,我们需要提高 SOC 服务人员的效率和生产力。为了维持增长,我们需要发展我们的能力,并将新兴技术转化为为客户提供的服务。”
为了支持其 SOC 团队的效率和生产力并扩展整个安全技术生态系统的功能,Excellium 正在实施大量 IBM Security® 产品。
一项关键技术是 IBM Resilient® 安全编排、自动化和响应 (SOAR) 平台。该平台可自动执行与处理网络事件(例如数据泄露)相关的任务,并协调与事件响应相关的人员、流程和技术。通过与 Excellium 现有的 QRadar SIEM 技术集成,Resilient SOAR 平台可以共享数据并提供行动计划,帮助 SOC 团队更快地响应和修复安全事件。它还提供有关事件的情报和背景信息,为 Excellium 提供应对更复杂的网络威胁所需的洞察力。
该公司还利用 Resilient SOAR 技术来支持向新市场的扩张,并将新客户和合作伙伴与公司运营联系起来。通过该平台,Excellium 可以更好地确保所有分析师和安全专家无论身处何地,都遵循相同的管理、流程和方法。这样,公司就能为远近客户提供始终如一的优质服务,并更好地降低违规风险和处罚。
“客户正在生成越来越多的事件供我们管理和考虑,因此我们需要自动化和规范化我们的流程,”Bianco 解释道。“Resilient 使我们能够在合作伙伴的运营中扩展我们的流程和治理,以便我们能够透明地向客户提供服务。借助 Resilient,我们可以用更少的资源更快地扩展规模。”
根据企业管理协会 (EMA) 的白皮书,99% 的网络攻击以某种方式穿越网络。为了扩大其网络可视性,Excellium 实施了 IBM QRadar Network Insights 软件。该技术可帮助分析师更深入地了解网络流量,实时识别可疑或恶意活动。它还提供了额外的网络上下文,可帮助安全分析师做出果断的分类决策。
最后,Excellium 将 IBM X-Force Exchange 平台的智能整合到其 SOC 服务产品中。借助 X-Force Exchange,该公司可以访问有关最新安全事件和威胁的关键信息和报告,例如潜在的恶意 IP 地址。
“我们一直在寻找可以插入 QRadar SIEM 功能的额外技术,以提高我们检测威胁和应对威胁的能力,”Bianco 说道。
借助支持其运营的 IBM Security 产品和 EyeGuard Cyber SOC 服务,Excellium 正在提高其安全分析师的生产力和效率,并让合作伙伴和客户更快地上手。它还希望提高事件管理的质量。
Excellium 可以规范化跨地点和合作伙伴的流程和运营,以实现更一致的服务交付。SOC 团队还拥有更多有关安全威胁的背景信息、洞察和情报,使他们能够相应地调整补救策略。
Bianco 对此寄予厚望:“我们提供的服务质量应该显著提高,因为无论事故发生时谁在操作,它都是一致的。因此,我预计事件管理质量至少会提高 40%。”
通过自动化曾经手动和单调的任务和流程,Excellium 的 SOC 团队可以将时间集中在他们受雇的工作上:检测和修复威胁。
“欧洲客户知晓,检测所有内容是不可能的,”Bianco 解释道。“他们期望的是,我们从基于风险的方法更深入地看待他们的系统。借助 Resilient,我们可以更加专注于优质活动 - 更深入地分析和深入了解客户的信息系统,以应对重大挑战,例如关键系统上的巨大威胁。”
2016 年,Excellium 众多客户中有一位面临严重停电。
Bianco 回忆道:“当时,我们已经是他们的安全提供商。我们检测威胁并做出响应,限制其对业务的影响。但更重要的是,我们开发并部署了所有功能来帮助他们尽快恢复生产。通过专注于恢复生产,我们成为了值得信赖的合作伙伴。”
随着 Excellium 扩展到非洲和其他市场,它还使用 Resilient 技术来加快合作伙伴的上手流程。过去,由于公司必须部署必要的技术并进行培训,让新合作伙伴尽快熟悉业务可能需要几个月的时间。然后,公司必须管理不同团队之间的互动,来确保一致的事件响应。
如今,Excellium 可以通过 Resilient SOAR 平台与新合作伙伴建立联系,从而显著加快上手流程。“我们正在非洲全面拓展我们的业务。不幸的是,我提升 SOC 能力的速度跟不上客户上手的速度,”Bianco 解释道。“使用 Resilient 是我在运营中让合作伙伴上手的一种方式,让他遵循我的流程、我的治理和我的文档,但同时具有他自己的本地能力。现在,我们希望能够将他们插入我们的运营中,并在不到两个月的时间内投入运行。”
Excellium 还可以更快地让新客户上手,使 Bianco 的团队能够更快地检测威胁。“我们客户担心的是业务应用程序层面的漏洞,”他说道。“但是过去,我们要花很长时间才能让客户上手、制定流程并开始检测。有了这项技术,我有望在大约一半的时间内让他们上手。”
在 Excellium 的 SOC 内部,新员工在流程工作流程和治理方面很快变得更加自主;事实上,速度提高了 30% – 40%。以前,新员工需要 6 到 8 个月才能自己轮班。“现在,由于 Resilient 支持我们的流程,因此可以更快地指导新员工,”Bianco 说道。“一个月后,一名员工就可以上岗了。”
Bianco 认为,IBM Security 为 Excellium 提供了超越大公司的竞争优势。“与竞争对手相比,我们的主要差别在于敏捷性和邻近性,”他总结道。
© Copyright IBM Corporation 2022。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
2022 年 6 月在美国制作。
IBM、IBM 徽标、ibm.com、IBM Security、QRadar、Resilient 和 X-Force 是 International Business Machines Corp. 在全球许多司法管辖区注册的商标。其他产品和服务名称可能是 IBM 或其他公司的商标。IBM 商标的最新列表可在www.ibm.com/cn-zh/legal/copytrade网站上找到。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
文中引用的性能数据和客户示例仅作演示说明之用。实际性能结果可能因具体配置和操作条件而异。本文档中的信息均“按原样”提供,不涉及任何明示或暗示的保证,包括适销性、特定用途适用性的任何保证,以及不侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。