2017年7月19日星期三

ServiceNow推IT保安營運系統

助企業快速回應威脅


近年,ServiceNow在雲應用服務之中異軍突起,收入從2009年的二千八百多萬
美元,增長至去年達十三億九千多萬美元,股價節節上升。


ServiceNow提供企業級的服務管理,以IT服務管理起家,功能亦正擴展至其他
領域。ServiceNow是以軟件即服務(SaaS)方式,提供IT服務管理(ITSM);
類似技術服務台(Helpdesk)和數據中心內的流程管理。一般IT服務均涉及固
定的程序,甚至要按ITIL最佳實踐架構,釐定各項服務流程和要求。


ServiceNow透過XML和RESTful API等連接技術,連接起工作流程,並自動化服
務程序,以更快回應要求和完成任務,也可自動符合最佳實踐方式。ServiceNow
的優勢,相較於傳統的ITSM;諸如BMC的Remedy方案,更容易部署以外,也可
更快加入或變更流程,也直接支援多種SaaS應用,非常靈活。


ServiceNow快速部署流程的特性,很快被應用至不同企業功能;例如客戶服務
和技術支援;甚至提供自助化服務,客戶可自行處理簡單個案,以減省人手
。ServiceNow也具備資產發現功能,可透過整合不同CMDB(Configuration
Management Database),掌握所有IT資產的數據,得悉某些服務停頓,會對
業務範圍有何影響,再決定處理的緩急。


整合流程的雲端利器


近年,ServiceNow也與新一代人力資源管理系統配合;類似Workday、SuccessFactors、
Oracle等HCM整合,以人事紀錄協調不同部門運作,管理從職員從履新以至調職安排,
自動化入職的過程(Onboarding),從編配設備到開立賬戶,流程完全自動化。除了
人事和IT管理,ServiceNow也陸續將自動化服務管理,推廣至其他企業運作。


ServiceNow技術總監Allan Leinwand說,ServiceNow也應用於IT保安,其安全營運系統,
可幫助快速回應威脅和入侵事故。


目前,企業內有大量保安設備,產生大量日誌和警號,IT保安和營運人員疲於奔命。
2016年,據研究機構Ponemon發表報告,企業平均201日,才能發現被入侵;再要另外
70日,才能完全解除入侵威脅。


除了針對個別企業的所謂零日攻擊,大部分攻擊手法,其實都是利用已公開的系統漏洞;
只要妥善堵塞漏洞,已可大大減少攻擊面。


整合威脅掃描工具


市面上,不少威脅掃描工具;包括了Tenable、Qualys、Rapid7等,通過監察IT基建和
雲端,自動發現設定錯誤和漏洞,針對新公佈的威脅,提出採取廠商建議補救措施,
或者更新系統組件。例如不少機構採用Tenable,透過連續性監察,進行保安稽核,
確保IT架構不會違規。


類似Tenable的SecurityCenter Continuous View產生的報表,會訂出補救措施的緩急和
建議程序。ServiceNow可從Tenable的資料庫,獲得更多IT資產訊息和遭入侵的風險,
自動執行補救措施,縮減暴露於風險的時間。IT營運人員根據Tenable提供的漏洞資料,
可自動找到負責IT資產員工,發出請求堵塞漏洞,填補後再次掃描,確定威脅是否已經
解除。


Leinwand說,ServiceNow亦可自動顯示不同業務部門,確定其與特定應用和基建之間
的關係,以便IT營運人員更新系統之前,知道系統屬何部門所擁有,也知道更新系統,
會帶來甚麼業務影響。


協同行業鎖定威脅


除了支援傳統的威脅掃描工具,ServiceNow也支援STIX和TAXII威脅描述的公
開格式,以分享業內共同面對的威脅,或從ISAC共享社區,蒐集新的威脅情報
。ServiceNow的保安營運系統,已包括雲端的Trusted Security Circles應用,分
享不同行業相關威脅情報,以便及早作出預防。IT保安亦可通過ServiceNow,
向同業或技術夥伴,查詢不同威脅的危險程度,而情報供應者,則可完全匿名。


平均而言,黑客要花上一個月,才能利用新威脅,進行刺探和攻擊。過半攻擊往
往是介乎10至100天內向特定行業發動,分享上述情報,有助同業爭取時間,及
早採取步驟防禦;其他威脅情報分享格式亦包括MANDIANT推出的OpenIOC,
亦可轉譯為STIX和TAXII,後者是現時最普遍威脅描述格式。


ServiceNow亦可與部分SIEM系統,例如Splunk和IBM QRadar整合。SIEM發出
安全事故(Incident)後,ServiceNow提供有關事故相關資訊,如伺服器擁有權
,所處位置、運行應用和功能、停頓對於業務的影響,甚至建議的處理方法,
以減少SOC處理安全事故時的壓力。


ServiceNow也可透過第三方,查詢其他保安資訊來源,如從Palo Alto Networks
Widlfire和Autofocus,獲得更多事故相關資訊,甚至透過Tanium平台,追尋有潛
在危機的終端裝置。


即使是發現入侵,ServiceNow亦可結合工具,自動隔離及更新系統,清除入侵
惡意程式、重設密碼後,通過協調工具,類似Puppet和Chef等,重新安裝系統
,恢復系統至出事前的狀態。


總結而言,ServiceNow具有廣泛生態系統,可縮短處理威脅的時間;而入侵後
則可加快堵塞漏洞,並清除威脅,亦可自動編配安全操作,加強保安與IT部門之
間協作,以便對事故作迅速反應。

1 則留言:

  1. 比特币的投资价值
    得到 全球的肯定

    股票、外汇、等全球千种金融产品的交易与投资 投资世界最受欢迎的金融市场从未如此简单

    回覆刪除