惠普白皮書(shū):戰勝網(wǎng)絡(luò )威脅和風(fēng)險
2011/12/06
概述
一名呼叫中心代表收到一份來(lái)自競爭對手企業(yè)的雇傭邀請。該名代表在離職的前一周,在公司呆到很晚,訪(fǎng)問(wèn)客戶(hù)數據庫,從中找出前 1,000 條客戶(hù)記錄,并將其保存到自己的 USB閃存盤(pán)中;同時(shí)從工程服務(wù)器復制了若干份產(chǎn)品規劃文檔,將其發(fā)送到自己的個(gè)人郵箱。
一家大型銀行遭遇數據泄露,泄露了上百萬(wàn)條客戶(hù)記錄。另一家競爭銀行的首席信息官 (CIO) 指示其員工為內部審計部門(mén)編寫(xiě)報告,用以表明企業(yè)的訪(fǎng)問(wèn)控制在起作用,客戶(hù)的數據是安全的。然而,通宵加班一周后,員工卻不得不承認無(wú)法證實(shí)所有服務(wù)器和文件都受到保護。
一名數據庫管理員在離職前提前兩周通知其雇主。在其離職的最后一天,人力資源部請 IT 部門(mén)提供一份報告,內容是該數據庫管理員在過(guò)去兩周訪(fǎng)問(wèn)的所有數據庫和文件。人力資源部擔心該數據庫管理員可能復制了敏感數據或更改了關(guān)鍵數據庫的用戶(hù)權限。令人遺憾的是,IT 部門(mén)無(wú)法提供最終報告。
以上所有情況都極為常見(jiàn)。在每種情況下,企業(yè)都十分關(guān)注如何保護其關(guān)鍵業(yè)務(wù)信息。可能是該企業(yè)懷疑出現了信息泄露;也可能是該企業(yè)只是比較小心謹慎;還可能是該企業(yè)確實(shí)丟失了數據,但還蒙在鼓里。不管情況如何,最終都會(huì )加大企業(yè)的損失和受罰風(fēng)險。許多企業(yè)都在尋求解決方案以解決這些問(wèn)題及其它類(lèi)似問(wèn)題。
新的網(wǎng)絡(luò ) — 業(yè)務(wù)挑戰
如今,各行各業(yè)各種規模的企業(yè)均面臨著(zhù)以下業(yè)務(wù)挑戰
- 更多在線(xiàn)交易:如今,眾多的電子交易服務(wù)在消費者中得到了廣泛應用,其中包括電子銀行、支付服務(wù)(如 Paypal)、自助電匯和自助股票交易等。這一趨勢促使大量的交易通過(guò)電子方式完成,使得眾多的支付和財務(wù)信息面臨泄露風(fēng)險。
- 更多合并和收購:合并會(huì )帶來(lái)新的系統和新的用戶(hù),以及更多可能導致信息被竊取的漏洞,從而引發(fā)新的威脅。例如,當兩家大型企業(yè)合并時(shí),需要一段時(shí)間才能理順不同用戶(hù)角色,現有系統可能無(wú)法識別合并進(jìn)來(lái)的用戶(hù)。于是,在這種混亂狀態(tài)中,心懷惡意的內部人員將能夠輕松地竊取敏感數據而不被察覺(jué)。
- 更多裁員:最近的一項調查表明:近 50% 的 IT 管理員回應如果他們知道自己要被解雇,他們會(huì )從客戶(hù)數據庫中竊取敏感信息。盡管這個(gè)數字看起來(lái)令人震驚,但它凸顯了關(guān)鍵用戶(hù)在面臨裁員時(shí)的竊取數據風(fēng)險。隨著(zhù)經(jīng)濟形勢的惡化,這種風(fēng)險也將隨之上升。
- 更多外包:隨著(zhù)越來(lái)越多的業(yè)務(wù)職能被外包給合作伙伴企業(yè),“可信局外人”(即有權訪(fǎng)問(wèn)企業(yè)內部系統的非受雇者)也隨之變得越來(lái)越普遍。首席信息官 (CIO) 必須在是否需要為其授予訪(fǎng)問(wèn)權限與這樣做會(huì )帶來(lái)什么風(fēng)險之間作出權衡。
不斷增長(cháng)的網(wǎng)絡(luò )安全趨勢
以上這些業(yè)務(wù)挑戰意味著(zhù)大多數企業(yè)必須對以下四種不斷增長(cháng)的網(wǎng)絡(luò )安全趨勢進(jìn)行管理:
- 更多賬戶(hù)欺詐:客戶(hù)越來(lái)越多地在網(wǎng)上進(jìn)行各種交易,如銀行業(yè)務(wù)、電匯和股票交易等。早期采用者可能已經(jīng)在這方面積累了豐富的經(jīng)驗,但隨著(zhù)大眾市場(chǎng)也采用在線(xiàn)銀行和支付,用戶(hù)賬戶(hù)遭遇欺騙的幾率將越來(lái)越大。網(wǎng)絡(luò )釣魚(yú)、銀行卡克隆、社會(huì )工程、鍵盤(pán)記錄器和其它方法均可對客戶(hù)賬戶(hù)實(shí)施欺詐行為。
- 更多數據失竊:隨著(zhù)裁員和合并的增加,那些心懷不滿(mǎn)的雇員和承包商經(jīng)常會(huì )從企業(yè)系統中竊取敏感數據。數據庫管理員 (DBA)、網(wǎng)絡(luò )管理員和財務(wù)分析師是常見(jiàn)的幾類(lèi)有權訪(fǎng)問(wèn)數據的用戶(hù)。隨著(zhù)數據失竊率的上升,企業(yè)對授權用戶(hù)的行為越來(lái)越關(guān)注。
- 更多外部威脅:傳統的威脅(如黑客和惡意軟件)也在繼續上升。這些外部威脅變得越來(lái)越狡詐,不斷嘗試逃避傳統的監測方法。黑客通過(guò)采用新的技術(shù)穿過(guò)外圍防御,并通過(guò)零日惡意軟件持續破壞企業(yè)系統。
- 更多規定:面對以上趨勢及不斷涌現的負面金融消息,各種規定在接下來(lái)幾年有可能會(huì )進(jìn)一步增長(cháng)。報表要求和違規處罰將要求企業(yè)高管更加關(guān)注相關(guān)的風(fēng)險。
以上所有這些趨勢使得企業(yè)管理層面臨著(zhù)更大的挑戰、更高的成本和更嚴峻的風(fēng)險。
嚴重的網(wǎng)絡(luò )安全問(wèn)題
隨著(zhù)在線(xiàn)數據、泄漏、威脅和規定的增加,企業(yè)面臨著(zhù)更多的業(yè)務(wù)風(fēng)險。這種風(fēng)險由于不可見(jiàn)而非常難以管理。諸如 Oracle 或 Microsoft 數據庫、Microsoft Windows 文件系統、SAP 應用和網(wǎng)站等每一個(gè)信息領(lǐng)域均構成風(fēng)險來(lái)源,需要加以監控。更為重要的是,真正的挑戰在于如何清晰了解這些領(lǐng)域。
最近,一家大型全球銀行的高層管理人員對以上問(wèn)題進(jìn)行了如下概括:“我們能看到雇員進(jìn)行的各種活動(dòng)、客戶(hù)從事的各種交易或網(wǎng)絡(luò )上發(fā)生的各種安全事件。但是我們卻無(wú)法將它們進(jìn)行關(guān)聯(lián),因此一切看起來(lái)都是“一次性”的,我們始終無(wú)法真正明白發(fā)生了什么。與此同時(shí)我們也始終暴露于各種風(fēng)險之下。”
各種內部安全提案和外部法規提案進(jìn)一步引起了這些擔憂(yōu)。其中外部法規提案包括美國的薩巴斯-奧克斯利法案、德國的聯(lián)邦金融監管局出臺的規定(MaRisk 和 MiFID)、以及各種國際行業(yè)標準(如 Basel II 和 PCI)等。
網(wǎng)絡(luò )威脅和風(fēng)險的演進(jìn)
近些年來(lái),大多數企業(yè)面臨的網(wǎng)絡(luò )威脅和風(fēng)險進(jìn)一步演進(jìn),越來(lái)越趨向于“內部化”。四五年前,各企業(yè)最擔心的是發(fā)生在其網(wǎng)絡(luò )邊界的外部威脅。穿過(guò)企業(yè)防火墻的黑客、網(wǎng)絡(luò )釣客和蠕蟲(chóng)被視作是業(yè)務(wù)運營(yíng)的幾大網(wǎng)絡(luò )威脅。
隨著(zhù)各企業(yè)與供應商、客戶(hù)和業(yè)務(wù)合作伙伴的聯(lián)系日益緊密,網(wǎng)絡(luò )邊界逐漸消失,外部和內部威脅的概念日漸融為一體。與此同時(shí),各企業(yè)開(kāi)始日益關(guān)注由內部系統、以及防火墻之外的系統所產(chǎn)生的網(wǎng)絡(luò )活動(dòng)。僵尸網(wǎng)絡(luò )、病毒、鍵盤(pán)記錄器和其它惡意軟件給運營(yíng)帶來(lái)越來(lái)越大的威脅。
企業(yè)日漸意識到:業(yè)務(wù)的主要網(wǎng)絡(luò )風(fēng)險來(lái)自機密信息、關(guān)鍵應用和管理這些應用和數據的授權用戶(hù)。因此,現在的首席信息官們除了惡意軟件和黑客,同時(shí)還要關(guān)注內部泄露、內部盜竊和內部詐騙。
常見(jiàn)示例
全球最大、要求最嚴苛的企業(yè)和政府機構使用 ArcSight SIEM 平臺來(lái)監控網(wǎng)絡(luò )業(yè)務(wù)活動(dòng)。以下列出了幾項最常見(jiàn)的高價(jià)值示例應用:
- 授權用戶(hù)監控:通過(guò)將企業(yè)目錄或身份管理系統中的用戶(hù)和角色信息與數據庫活動(dòng)、文件活動(dòng)及其它所有活動(dòng)進(jìn)行關(guān)聯(lián),ArcSight 可針對諸如“數據庫管理員上周干了什么”之類(lèi)的問(wèn)題給出切實(shí)可行的答案。因此,企業(yè)可以確保內部控制機制在發(fā)揮作用,信息處于保護之中。
- 已終止合作的承包商活動(dòng)監測:現在企業(yè)紛紛使用承包商來(lái)提高成本和運營(yíng)的靈活性,很自然地,隨著(zhù)合同期滿(mǎn)和企業(yè)終止與承包商的合作,企業(yè)也看到更多的交接現象。盡管承包商(或其它系統用戶(hù))可能在企業(yè)的 HR 系統中已被解除合作關(guān)系,但這些用戶(hù)通常在本地服務(wù)器上擁有仍處于活動(dòng)狀態(tài)的交易賬戶(hù)。例如,某 IT 承包商的賬戶(hù)在 PeopleSoft 系統中可能已禁用,但也許還有多個(gè)本地賬戶(hù)。這些本地賬戶(hù)在不同的 Linux 文件服務(wù)器上仍處于活動(dòng)狀態(tài),并不受 PeopleSoft 流程的管理。這使得這些終止合作的用戶(hù)可通過(guò)此類(lèi)后門(mén)進(jìn)入企業(yè)內部系統,使企業(yè)面臨風(fēng)險和失竊威脅。ArcSight SIEM 平臺能夠將本地系統活動(dòng)與HR系統和身份管理系統中的用戶(hù)狀態(tài)進(jìn)行關(guān)聯(lián),從而可確保訪(fǎng)問(wèn)控制在整個(gè)企業(yè)范圍內得到應用。
- 共享用戶(hù)賬戶(hù):通過(guò)將身份數據、IP 地址與應用使用關(guān)聯(lián)起來(lái),ArcSight 可監測到遺留應用
程序中管理賬戶(hù)的共享使用情況。客戶(hù)之后可對這種使用進(jìn)行糾正并進(jìn)行有效控制,而不用重新編寫(xiě)遺留應用程序。因此,ArcSight 客戶(hù)可以更好地遵從法規,同時(shí)減少當前的資本支出 (CapEx) 需求。一家金融機構預測,糾正包含嵌入式共享賬戶(hù)的關(guān)鍵應用需要耗費 800 萬(wàn)美元的成本和一年的開(kāi)發(fā)時(shí)間。而借助 ArcSight,企業(yè)可以用 1/10 的成本在短短幾個(gè)月內實(shí)施補救控制。
- 敏感數據監控:通過(guò)集成數據庫活動(dòng)監控和數據泄漏預防產(chǎn)品,并將其活動(dòng)與網(wǎng)絡(luò )和電子郵件系統相關(guān)聯(lián),ArcSight 能夠監控機密數據面臨的風(fēng)險,確保其私密性。因此,企業(yè)可以遵從隱私法規并保持客戶(hù)忠誠度。
- 賬戶(hù)侵權監測:通過(guò)將欺詐監測產(chǎn)品的輸出內容與網(wǎng)絡(luò )服務(wù)器和數據庫內的活動(dòng)相結合,ArcSight 可監測到賬戶(hù)侵權中的欺詐性活動(dòng)。美國的一名客戶(hù)在安裝了 ArcSight 的第一周內,就發(fā)現了數額接近 100 萬(wàn)美元的電匯欺詐。
- 持續的合規性監控:ArcSight 數據監控和自動(dòng)應用規則功能可支持客戶(hù)持續、自動(dòng)地對合規性進(jìn)行監控。客戶(hù)將可以根據多種規定的要求對活動(dòng)進(jìn)行控制,以節省時(shí)間、金錢(qián)和精力。信息通過(guò)一系列便于審計的儀表盤(pán)進(jìn)行展示,能夠顯示出實(shí)時(shí)控制狀態(tài)和結果,并向所有利益相關(guān)方實(shí)時(shí)提供違規通知。因此,企業(yè)可以毫不費力地提高法規遵從能力,從而提高通過(guò)審計的幾率。
在以上所有示例中,關(guān)鍵之處在于 ArcSight 可充分利用企業(yè)在不同技術(shù)上已有的投資。通過(guò)結合這些產(chǎn)品點(diǎn),ArcSight 可帶來(lái)巨大的價(jià)值,并提高每種產(chǎn)品的投資回報 (ROI)。
ArcSight 可綜合利用不同技術(shù)的優(yōu)點(diǎn)來(lái)監控網(wǎng)絡(luò )威脅和風(fēng)險
盡管有多種有效技術(shù)可用于監控特定信息風(fēng)險領(lǐng)域,但最終目的則是將這些技術(shù)整合在一起,針對當前風(fēng)險級別、安全威脅和運營(yíng)活動(dòng)提供一個(gè)統一的全面視角。ArcSight SIEM 平臺通過(guò)對整個(gè)企業(yè)范圍內的活動(dòng)數據進(jìn)行匯集、分析和顯示,提供了這種統一的“視圖”。
這一全面的實(shí)時(shí)視圖可通知管理員危險活動(dòng)何時(shí)超出了特定級別(如,某數據庫管理員在試圖登錄到客戶(hù)支付卡數據庫時(shí),五分鐘內失敗了五次)。此外,ArcSight 的關(guān)聯(lián)功能還能夠重點(diǎn)突出多個(gè)單獨看似安全、但綜合起來(lái)則會(huì )構成風(fēng)險的活動(dòng)。例如,數據庫管理員可能在正常時(shí)間之外查詢(xún)客戶(hù)支付卡數據庫,也可能訪(fǎng)問(wèn)包含客戶(hù) PIN 碼的表格。以上這些行為單獨執行都沒(méi)問(wèn)題,但一起進(jìn)行則表明該數據庫管理員的證書(shū)被盜,有人正在用他的賬戶(hù)竊取客戶(hù)數據。
ArcSight 提供了多項重要功能,能夠幫助深入洞察整個(gè)企業(yè)范圍內的活動(dòng)。
- 廣泛采集數據:ArcSight 架構經(jīng)過(guò)專(zhuān)門(mén)設計,能夠通過(guò)企業(yè)中的所有信息來(lái)源收集數據,包括防火墻、員工卡讀卡器、筆記本電腦、VOIP 電話(huà)、數據庫和目錄等。因此,ArcSight 可“洞察一切”。
- 標準化和分類(lèi):這一廣泛的數據集分為多種數據格式,在保持各自格式的情況下將毫無(wú)用處。ArcSight 可將所有數據標準化為單一的通用格式,然后將其進(jìn)行分類(lèi),以便于進(jìn)行人工和機器分析。
- 使用特定業(yè)務(wù)規則進(jìn)行分析:ArcSight 可利用內置的規則及針對每個(gè)不同企業(yè)定制的規則將各種業(yè)務(wù)活動(dòng)關(guān)聯(lián)起來(lái)。例如,銀行可能希望應用風(fēng)險衡量標準(如 MCC 碼、付款地點(diǎn)、賬戶(hù)地點(diǎn)、付款趨勢)來(lái)確定交易是否存在欺詐。而醫院可能希望分析患者情況、護理科室及之前的病歷來(lái)發(fā)現可能的患者健康信息泄露情況。因此,ArcSight 能夠根據每個(gè)企業(yè)定義的規則,大海撈針地找到可能帶來(lái)業(yè)務(wù)風(fēng)險的活動(dòng)。
- 調查:通過(guò)存儲海量數據,ArcSight 可在發(fā)現風(fēng)險時(shí)進(jìn)行取證分析。ArcSight 能夠支持輕松查出某危險活動(dòng)進(jìn)行了多久,以及還有哪些人員涉入。反過(guò)來(lái),當問(wèn)題被糾正時(shí),ArcSight 可輕松地將這些信息上報給內部和外部審計人員。
- 警告、報告和顯示:最后,實(shí)時(shí)儀表板和按需或定期報告可確保正確的相關(guān)方在合適的時(shí)間收到其需要的信息。ArcSight 可根據每個(gè)利益相關(guān)方的需求來(lái)顯示信息,讓安全管理員可對問(wèn)題作出迅速的響應,同時(shí)審計人員可對結果進(jìn)行簽字確認,管理人員可借助有用指標對業(yè)務(wù)進(jìn)行指導。
ArcSight SIEM 平臺可幫助企業(yè)了解誰(shuí)在訪(fǎng)問(wèn)網(wǎng)絡(luò )、他們在查看什么信息以及他們對該信息進(jìn)行了何種操作。借助這種級別的可見(jiàn)性,ArcSight 客戶(hù)可在保護業(yè)務(wù)的同時(shí)降低運營(yíng)成本。如今,ArcSight 產(chǎn)品在全球范圍內得到廣泛應用,用于預防威脅和保護信息安全。
為何選擇 ArcSight
ArcSight 在解決網(wǎng)絡(luò )風(fēng)險和威脅監控方面獨樹(shù)一幟。ArcSight SIEM 平臺具有三大優(yōu)勢:
- ArcSight 可幫助企業(yè)輕松通過(guò)審計:ArcSight 通過(guò)對合規性進(jìn)行持續監控,并將監控信息展示在便于審計的儀表板上,可提高企業(yè)通過(guò)審計的幾率。此外,ArcSight 還具有自動(dòng)收集信息和報告的功能,可減輕員工的負擔和減少預算。
- ArcSight 可幫助企業(yè)保護流程和數據:ArcSight 的實(shí)時(shí)分析和警告功能可盡早將威脅通知給部門(mén),以便其能及時(shí)阻止威脅和最大限度地減少損失。
- ArcSight 能夠在企業(yè)網(wǎng)絡(luò )向合作伙伴和客戶(hù)開(kāi)放時(shí),加強對其的控制:ArcSight 能夠幫助隨時(shí)了解誰(shuí)在訪(fǎng)問(wèn)系統,哪些數據正在被查看,哪些操作正在被執行,以及用戶(hù)是雇員、承包商、客戶(hù),還是其他人。
最后,通過(guò)對本文中以上描述的概念進(jìn)行總結,我們可以得出 ArcSight 在為企業(yè)提供威脅和風(fēng)險監控方面具有獨特優(yōu)勢的三大原因:
- 市場(chǎng)領(lǐng)導地位:憑借在 SIEM 市場(chǎng)占據的領(lǐng)先份額,ArcSight 可幫助全球要求最為嚴苛的企業(yè)(包括全球性銀行、民政和軍事政府機構及全球眾多大型零售商)保護其 IT 基礎設施。
- 面向未來(lái):首席信息官的職責是確保企業(yè)的信息策略隨企業(yè)業(yè)務(wù)策略的演變而改進(jìn)。ArcSight 獨特的架構可確保在技術(shù)發(fā)生變更的情況下,您仍能持續監控業(yè)務(wù),以防發(fā)生風(fēng)險。
- 不受平臺限制:與大型安全產(chǎn)品供應商不同,ArcSight 能夠監控來(lái)自不同供應商的技術(shù)。ArcSight 著(zhù)重于跨任意第三方平臺進(jìn)行風(fēng)險和威脅監控。
it168網(wǎng)站
相關(guān)閱讀:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
化隆|
鲜城|
拉萨市|
秦皇岛市|
桦川县|
兰考县|
伊川县|
微山县|
吉首市|
阿尔山市|
巴林左旗|
通河县|
荣成市|
吉木萨尔县|
瑞丽市|
鞍山市|
聊城市|
江川县|
迁安市|
石城县|
兴宁市|
比如县|
格尔木市|
大城县|
临澧县|
江孜县|
田林县|
三台县|
长沙县|
沂水县|
保亭|
仁寿县|
奉贤区|
延庆县|
班戈县|
盘锦市|
泽库县|
获嘉县|
姚安县|
潍坊市|
甘德县|
http://444
http://444
http://444
http://444
http://444
http://444