IBM安全事業(yè)部日前宣布成立 X-Force Red 實(shí)驗(yàn)室，這是由四個(gè)安全實(shí)驗(yàn)室構(gòu)成的網(wǎng)絡(luò)，致力于測(cè)試各種設(shè)備和系統(tǒng)的安全性，包括消費(fèi)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)技術(shù)、汽車設(shè)備、自動(dòng)柜員機(jī) (ATM) 等。IBM X-Force Red 還啟動(dòng)了專門的 ATM 測(cè)試服務(wù)，以應(yīng)對(duì)業(yè)界在金融交易系統(tǒng)安全方面不斷增長(zhǎng)的需求。

新實(shí)驗(yàn)室由 IBM安全事業(yè)部的 X-Force Red 自主團(tuán)隊(duì)負(fù)責(zé)運(yùn)作，該團(tuán)隊(duì)成員都是經(jīng)驗(yàn)豐富的黑客。X-Force Red 實(shí)驗(yàn)室為這些經(jīng)驗(yàn)豐富的黑客安排了安全的工作場(chǎng)所，讓他們?cè)谲浻布仍O(shè)備交付給客戶前后，尋找其安全漏洞。這四個(gè)實(shí)驗(yàn)室分別設(shè)在美國(guó)德克薩斯州奧斯汀、佐治亞州亞特蘭大、英國(guó)赫斯利以及澳大利亞墨爾本。

短短兩年內(nèi)，IBM X-Force Red 已一躍成為業(yè)界首屈一指的安全測(cè)試團(tuán)隊(duì)，經(jīng)歷了跨越式的發(fā)展。去年，該團(tuán)隊(duì)的滲透測(cè)試客戶群的規(guī)模增長(zhǎng)超過(guò)了 170%。如此指數(shù)級(jí)的增長(zhǎng)，也使 IBM安全事業(yè)部X-Force Red 團(tuán)隊(duì)在的專家數(shù)量在過(guò)去一年中翻了一番。

IBM X-Force Red 全球管理合伙人 Charles Henderson 表示，“IBM X-Force Red 的使命是：對(duì)抗黑客攻擊，確保系統(tǒng)安全。有了X-Force Red 實(shí)驗(yàn)室，我們就能夠在安全可控的環(huán)境中完成這一目標(biāo)。無(wú)論是尚未發(fā)布的最新智能手機(jī)、聯(lián)網(wǎng)冰箱，還是新型ATM，我們都有能力測(cè)試并發(fā)現(xiàn)它們的漏洞，并在不法之徒利用這些漏洞之前，幫助客戶修復(fù)漏洞?！?/p>

X-Force Red 實(shí)驗(yàn)室：對(duì)抗黑客攻擊，確保系統(tǒng)安全

根據(jù) Ponemon Institute （波耐蒙研究所）的研究，在部署到生產(chǎn)環(huán)境后再修復(fù)軟件漏洞和缺陷的成本，可能是設(shè)計(jì)階段修復(fù)成本的 29 倍以上。IBM X-Force Red 通過(guò)建立四個(gè)新的全球測(cè)試實(shí)驗(yàn)室，幫助工程師和開(kāi)發(fā)人員將安全性植根于軟硬件的整個(gè)開(kāi)發(fā)生命周期，這些硬件和軟件包括支持物聯(lián)網(wǎng)的設(shè)備和 ATM。

實(shí)驗(yàn)室提供以下服務(wù)

記錄產(chǎn)品需求：和產(chǎn)品工程師一起確定產(chǎn)品目標(biāo)、所涉及的利益相關(guān)方和系統(tǒng)、可用的技能集以及其他產(chǎn)品需求。

深度技術(shù)分析：分析產(chǎn)品設(shè)計(jì)文檔、安全需求、風(fēng)險(xiǎn)管理信息以及其他數(shù)據(jù)，確定滲透測(cè)試的范圍。

威脅建模：發(fā)現(xiàn)產(chǎn)品和企業(yè)面臨的潛在威脅和風(fēng)險(xiǎn)，包括可能盯上產(chǎn)品的威脅制造者、他們將以怎樣的方式破壞產(chǎn)品、原因何在，以及企業(yè)面臨的潛在風(fēng)險(xiǎn)。

生成安全需求：在工程師構(gòu)建產(chǎn)品時(shí)，為他們創(chuàng)建并實(shí)施一系列安全需求。

滲透測(cè)試：模擬真實(shí)的黑客手法，破解產(chǎn)品。該團(tuán)隊(duì)通過(guò) X-Force Red 基于云的門戶網(wǎng)站，實(shí)時(shí)更新漏洞發(fā)現(xiàn)結(jié)果。由于 X-Force Red 的黑客們一邊測(cè)試一邊報(bào)告結(jié)果，因此客戶不必等到測(cè)試完全結(jié)束，就可以開(kāi)始修復(fù)工作。

ATM測(cè)試需求

全球有 3 億多臺(tái) ATM，金融機(jī)構(gòu)需要保護(hù)這些設(shè)備免受攻擊。2018 年初，執(zhí)法部門向金融機(jī)構(gòu)發(fā)出警告，在美國(guó)，針對(duì) ATM的攻擊威脅有增無(wú)減。犯罪分子希望賭一把，從對(duì) ATM的攻擊中大撈一票。攻擊方式既包括使用惡意軟件，也包括實(shí)際盜取 ATM中存放的全部現(xiàn)金。自 2017 年以來(lái)，由于這些新興威脅的出現(xiàn)，請(qǐng)求 X-Force Red 進(jìn)行 ATM測(cè)試的客戶數(shù)量增加了 300%。

許多金融機(jī)構(gòu)仍在這些設(shè)備上運(yùn)行過(guò)時(shí)的操作系統(tǒng)，他們無(wú)法對(duì)這些操作系統(tǒng)進(jìn)行充分修補(bǔ)以增強(qiáng)機(jī)器的安全性。如果能夠提前發(fā)現(xiàn)這些機(jī)器中的漏洞，在犯罪分子得手之前加以修補(bǔ)，就能做到防患于未然。

X-Force Red ATM 測(cè)試服務(wù)由經(jīng)驗(yàn)豐富的全球滲透測(cè)試人員組成的團(tuán)隊(duì)提供，能夠在不法分子進(jìn)行攻擊之前，發(fā)現(xiàn)并幫助修復(fù)銀行 ATM的物理、硬件和軟件漏洞。他們提供的服務(wù)包括：

ATM 綜合評(píng)估：評(píng)估物理、網(wǎng)絡(luò)、應(yīng)用和計(jì)算機(jī)系統(tǒng)的安全性，尋找黑客可能會(huì)利用的漏洞。

模擬黑客測(cè)試：使用與犯罪分子相同的工具和方法，破解 ATM，從而發(fā)現(xiàn)可能被利用的漏洞。

漏洞修復(fù)建議：提交綜合推薦報(bào)告，幫助金融機(jī)構(gòu)加強(qiáng) ATM 系統(tǒng)和防御措施。

合規(guī)服務(wù)：審查 ATM 日志，幫助金融機(jī)構(gòu)遵守行業(yè)標(biāo)準(zhǔn)，例如“支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)”(PCI DSS)。

關(guān)于 IBM Security

IBM安全事業(yè)部致力于打造全球最先進(jìn)的企業(yè)安全綜合產(chǎn)品與服務(wù)。由享譽(yù)全球的 IBM X-Force? 研究團(tuán)隊(duì)支持的產(chǎn)品與服務(wù)，旨在幫助企業(yè)高效管理風(fēng)險(xiǎn)，從容應(yīng)對(duì)突發(fā)威脅。IBM 運(yùn)營(yíng)著全球最廣泛的安全研究、部署和交付機(jī)構(gòu)之一，客戶遍布全球，每天為全球超過(guò) 130 個(gè)國(guó)家或地區(qū)監(jiān)控 600 億次安全事件，在全球范圍內(nèi)已獲得超過(guò) 8,000項(xiàng)安全專利。要了解更多信息，請(qǐng)?jiān)L問(wèn) www.ibm.com/security或點(diǎn)擊下方 “閱讀原文”。