近年,ServiceNow在雲應用服務之中異軍突起,收入從2009年的二千八百多萬美元,增長至去年達十三億九千多萬美元,股價節節上升。ServiceNow提供企業級的服務管理,以IT服務管理起家,功能亦正擴展至其他領域。
ServiceNow是以軟件即服務(SaaS)方式,提供IT服務管理(ITSM);類似技術服務台(Helpdesk)和數據中心內的流程管理。一般IT服務均涉及固定的程序,甚至要按ITIL最佳實踐架構,釐定各項服務流程和要求。
ServiceNow透過XML和RESTful API等連接技術,連接起工作流程,並自動化服務程序,以更快回應要求和完成任務,也可自動符合最佳實踐方式。ServiceNow的優勢,相較於傳統的ITSM;諸如BMC的Remedy方案,更容易部署以外,也可更快加入或變更流程,也直接支援多種SaaS應用,非常靈活。
ServiceNow快速部署流程的特性,很快被應用至不同企業功能;例如客戶服務和技術支援;甚至提供自助化服務,客戶可自行處理簡單個案,以減省人手。ServiceNow也具備資產發現功能,可透過整合不同CMDB(Configuration Management Database),掌握所有IT資產的數據,得悉某些服務停頓,會對業務範圍有何影響,再決定處理的緩急。
整合流程的雲端利器
近年,ServiceNow也與新一代人力資源管理系統配合;類似Workday、SuccessFactors、Oracle等HCM整合,以人事紀錄協調不同部門運作,管理從職員從履新以至調職安排,自動化入職的過程(Onboarding),從編配設備到開立賬戶,流程完全自動化。除了人事和IT管理,ServiceNow也陸續將自動化服務管理,推廣至其他企業運作。
ServiceNow技術總監Allan Leinwand說,ServiceNow也應用於IT保安,其安全營運系統,可幫助快速回應威脅和入侵事故。
目前,企業內有大量保安設備,產生大量日誌和警號,IT保安和營運人員疲於奔命。2016年,據研究機構Ponemon發表報告,企業平均201日,才能發現被入侵;再要另外70日,才能完全解除入侵威脅。
除了針對個別企業的所謂零日攻擊,大部分攻擊手法,其實都是利用已公開的系統漏洞;只要妥善堵塞漏洞,已可大大減少攻擊面。
整合威脅掃描工具
市面上,不少威脅掃描工具;包括了Tenable、Qualys、Rapid7等,通過監察IT基建和雲端,自動發現設定錯誤和漏洞,針對新公佈的威脅,提出採取廠商建議補救措施,或者更新系統組件。例如不少機構採用Tenable,透過連續性監察,進行保安稽核,確保IT架構不會違規。
類似Tenable的SecurityCenter Continuous View產生的報表,會訂出補救措施的緩急和建議程序。ServiceNow可從Tenable的資料庫,獲得更多IT資產訊息和遭入侵的風險,自動執行補救措施,縮減暴露於風險的時間。IT營運人員根據Tenable提供的漏洞資料,可自動找到負責IT資產員工,發出請求堵塞漏洞,填補後再次掃描,確定威脅是否已經解除。
Leinwand說,ServiceNow亦可自動顯示不同業務部門,確定其與特定應用和基建之間的關係,以便IT營運人員更新系統之前,知道系統屬何部門所擁有,也知道更新系統,會帶來甚麼業務影響。
協同行業鎖定威脅
除了支援傳統的威脅掃描工具,ServiceNow也支援STIX和TAXII威脅描述的公開格式,以分享業內共同面對的威脅,或從ISAC共享社區,蒐集新的威脅情報。ServiceNow的保安營運系統,已包括雲端的Trusted Security Circles應用,分享不同行業相關威脅情報,以便及早作出預防。IT保安亦可通過ServiceNow,向同業或技術夥伴,查詢不同威脅的危險程度,而情報供應者,則可完全匿名。
平均而言,黑客要花上一個月,才能利用新威脅,進行刺探和攻擊。過半攻擊往往是介乎10至100天內向特定行業發動,分享上述情報,有助同業爭取時間,及早採取步驟防禦;其他威脅情報分享格式亦包括MANDIANT推出的OpenIOC,亦可轉譯為STIX和TAXII,後者是現時最普遍威脅描述格式。
ServiceNow亦可與部分SIEM系統,例如Splunk和IBM QRadar整合。SIEM發出安全事故(Incident)後,ServiceNow提供有關事故相關資訊,如伺服器擁有權,所處位置、運行應用和功能、停頓對於業務的影響,甚至建議的處理方法,以減少SOC處理安全事故時的壓力。
ServiceNow也可透過第三方,查詢其他保安資訊來源,如從Palo Alto Networks Widlfire和Autofocus,獲得更多事故相關資訊,甚至透過Tanium平台,追尋有潛在危機的終端裝置。
即使是發現入侵,ServiceNow亦可結合工具,自動隔離及更新系統,清除入侵惡意程式、重設密碼後,通過協調工具,類似Puppet和Chef等,重新安裝系統,恢復系統至出事前的狀態。
總結而言,ServiceNow具有廣泛生態系統,可縮短處理威脅的時間;而入侵後則可加快堵塞漏洞,並清除威脅,亦可自動編配安全操作,加強保安與IT部門之間協作,以便對事故作迅速反應。