北京中科白疯医院 http://www.bdfyy999.com/通过MicroFocusArcSight,某IT公司极大提高了电信公司的网络安全可视性。
组织庞杂,急需“傻瓜”系统
作为一个为世界各地客户提供创新的网络安全解决方案的供应商,我们的客户深知保护大型、复杂IT环境的挑战。该公司的客户组成包括银行,制造商和航空公司等。这些公司利用IT安全提供商销售的解决方案集体监控着数以千计的设备、系统和应用程序。有些公司拥有庞大的员工队伍,却未配备相应的IT知识,这带来了巨大的安全风险和技术差距。
海量系统监管需求难以周全
该电信服务企业的业务范围包括与IT安全供应商联系,以帮助解决网络安全问题。公司复杂的IT环境和多层行*机构,让监控公司环境、预防风险的IT员工头痛不已。为了检测安全漏洞或可疑行为,该公司需要监控来自成千上万设备和应用程序的数据日志。这包括该公司内部开发人员开发的应用程序,以及许多类型的电信设备。一位经理表示:“这意味着我们需要监管无数个系统。”
解读这些设备信息与应用程序生成的海量数据日志,无疑是困难的。应用程序和设备的数量也在迅速增加。收集和摄取日志也要花费大量时间。IT员工无法访问属于某些业务部门的系统和日志。若想访问,需要向相关经理寻求帮助;还必须有人签署各种协议,允许他们收集数据。即使员工收集、提取并分析了日志数据,他们也不可能足够迅速地对违规行为做出反应。“这会花费太多时间。如果发生袭击,IT部门还来不及采取行动阻止或制止,袭击就结束了。”
因此,该公司对于其系统的安全威胁并未采取全面监控。
还有一大风险:公司众多员工中的任何一名都可能在不经意间造成安全漏洞。他们对网络安全知之甚少,可能会被攻击者诱使点击恶意软件或网络钓鱼计划的链接。由于没有快速监控网络活动的方法,该公司无法了解用户是否遵守安全规则。
“客户的安全部门制定了安全策略,但如果用户不遵守这些策略,就没有办法捕捉他们的活动。”该经理表示。
因此,该企业极易受到数据泄露的影响。此外,在检查系统是否遵循支付卡行业数据安全标准(PCIDSS)时,该企业未通过审计。如果不立刻解决这个问题,企业或将受到经济制裁。
SIEM解决安全监控困境
为了加快电信公司检测威胁的能力,需要为员工打造一个集中机制,以收集并提取整个业务的数据日志。他们还需要一种快速分析日志的方法。为了实现这一点,公司购买了安全信息与事件监控(SIEM)解决方案。
该解决方案能够使日志数据的收集和分析自动化,从而使IT员工能够更快地响应威胁。该公司测试了LogRhythm和MicroFocus的SIEM解决方案,并评估了RSA的解决方案。评估过程中,企业仔细审查了产品细节,花了一年时间对MicroFocusArcSightEnterpriseSecurityManager(ESM)进行概念验证测试。“我们的客户希望深入挖掘其功能性。”这位经理表示。
年底,公司选择了MicroFocus解决方案。主要原因是,通过MicroFocus解决方案,员工可以集成各种应用程序和设备;该系统可以进行定制,以便更准确、更实时地检测威胁。“MicroFocus产品的灵活性是我们做出选择的决定性因素。”IT安全提供商的另一位经理说。
全方位改善安全可视化
简化安全监控
在撰写本文时,电信公司正处于集成ArcSightESM的最后阶段。IT安全提供者希望该解决方案能够为企业实现显著优化。目标之一是简化监视复杂IT环境的任务。目前,电信公司已经将超过个系统连接到ArcSightESM。“我们甚至将员工考勤系统都连接到ArcSight。”经理说。
MicroFocus解决方案也使监控电信公司定制的应用程序变得更加容易。从前,要将SIEM工具连接到这些应用程序,员工需要应用程序的软件供应商的帮助。但是使用ArcSightESM却无需如此。此外,处理日志数据也容易得多。
这位经理还指出,以前,即使IT人员能够访问日志数据,也不能完全理解这些信息。
“以前,即使IT人员能够访问日志数据,他们也不能完全理解这些信息。他们总是问,‘我在找什么?我怎样才能发现有什么地方不对劲?’相比之下,MicroFocus解决方案自动执行了这一过程中困难和重复的部分。ArcSight打开日志,读取并分类;以管理员能够理解的方式进行格式化整理。”
通过从多系统收集数据,ArcSightESM令该公司更具备发现可疑的网络活动的能力。这使得员工能够对安全事件作出反应,以确定威胁风险,减少攻击中断运营或损害公司利益的风险。这也将大大节省员工的工作时间。
在概念验证测试期间,ArcSightESM提醒员工留心他们以前从未见过的漏洞。这对企业而言无疑是一令人鼓舞的积极反馈。“在从前,他们从未检测到此类问题。这正是我们选择ArcSight的一个令人信服的主要理由。”
准确威胁检测
另一个重大优势是,用户可以对ArcSightESM自定义,从而提供更准确的潜在违规警报。例如,用户可以创建用例规则和内容,以指导SIEM监控需要特别
