惠普白皮書:戰(zhàn)勝網(wǎng)絡(luò)威脅和風險
2011/12/06
概述
一名呼叫中心代表收到一份來自競爭對手企業(yè)的雇傭邀請�。該名代表在離職的前一周��,在公司呆到很晚�����,訪問客戶數(shù)據(jù)庫�,從中找出前 1,000 條客戶記錄����,并將其保存到自己的 USB閃存盤中;同時從工程服務(wù)器復(fù)制了若干份產(chǎn)品規(guī)劃文檔,將其發(fā)送到自己的個人郵箱��。
一家大型銀行遭遇數(shù)據(jù)泄露�,泄露了上百萬條客戶記錄�。另一家競爭銀行的首席信息官 (CIO) 指示其員工為內(nèi)部審計部門編寫報告,用以表明企業(yè)的訪問控制在起作用���,客戶的數(shù)據(jù)是安全的。然而��,通宵加班一周后�,員工卻不得不承認無法證實所有服務(wù)器和文件都受到保護。
一名數(shù)據(jù)庫管理員在離職前提前兩周通知其雇主�����。在其離職的最后一天��,人力資源部請 IT 部門提供一份報告����,內(nèi)容是該數(shù)據(jù)庫管理員在過去兩周訪問的所有數(shù)據(jù)庫和文件�����。人力資源部擔心該數(shù)據(jù)庫管理員可能復(fù)制了敏感數(shù)據(jù)或更改了關(guān)鍵數(shù)據(jù)庫的用戶權(quán)限����。令人遺憾的是���,IT 部門無法提供最終報告�。
以上所有情況都極為常見���。在每種情況下�,企業(yè)都十分關(guān)注如何保護其關(guān)鍵業(yè)務(wù)信息�?赡苁窃撈髽I(yè)懷疑出現(xiàn)了信息泄露;也可能是該企業(yè)只是比較小心謹慎;還可能是該企業(yè)確實丟失了數(shù)據(jù)��,但還蒙在鼓里���。不管情況如何��,最終都會加大企業(yè)的損失和受罰風險����。許多企業(yè)都在尋求解決方案以解決這些問題及其它類似問題��。
新的網(wǎng)絡(luò) — 業(yè)務(wù)挑戰(zhàn)
如今��,各行各業(yè)各種規(guī)模的企業(yè)均面臨著以下業(yè)務(wù)挑戰(zhàn)
- 更多在線交易:如今�����,眾多的電子交易服務(wù)在消費者中得到了廣泛應(yīng)用��,其中包括電子銀行��、支付服務(wù)(如 Paypal)���、自助電匯和自助股票交易等���。這一趨勢促使大量的交易通過電子方式完成,使得眾多的支付和財務(wù)信息面臨泄露風險�。
- 更多合并和收購:合并會帶來新的系統(tǒng)和新的用戶,以及更多可能導(dǎo)致信息被竊取的漏洞���,從而引發(fā)新的威脅���。例如,當兩家大型企業(yè)合并時���,需要一段時間才能理順不同用戶角色�����,現(xiàn)有系統(tǒng)可能無法識別合并進來的用戶�����。于是�����,在這種混亂狀態(tài)中����,心懷惡意的內(nèi)部人員將能夠輕松地竊取敏感數(shù)據(jù)而不被察覺。
- 更多裁員:最近的一項調(diào)查表明:近 50% 的 IT 管理員回應(yīng)如果他們知道自己要被解雇���,他們會從客戶數(shù)據(jù)庫中竊取敏感信息。盡管這個數(shù)字看起來令人震驚��,但它凸顯了關(guān)鍵用戶在面臨裁員時的竊取數(shù)據(jù)風險�����。隨著經(jīng)濟形勢的惡化��,這種風險也將隨之上升���。
- 更多外包:隨著越來越多的業(yè)務(wù)職能被外包給合作伙伴企業(yè)�����,“可信局外人”(即有權(quán)訪問企業(yè)內(nèi)部系統(tǒng)的非受雇者)也隨之變得越來越普遍��。首席信息官 (CIO) 必須在是否需要為其授予訪問權(quán)限與這樣做會帶來什么風險之間作出權(quán)衡���。
不斷增長的網(wǎng)絡(luò)安全趨勢
以上這些業(yè)務(wù)挑戰(zhàn)意味著大多數(shù)企業(yè)必須對以下四種不斷增長的網(wǎng)絡(luò)安全趨勢進行管理:
- 更多賬戶欺詐:客戶越來越多地在網(wǎng)上進行各種交易����,如銀行業(yè)務(wù)����、電匯和股票交易等。早期采用者可能已經(jīng)在這方面積累了豐富的經(jīng)驗����,但隨著大眾市場也采用在線銀行和支付,用戶賬戶遭遇欺騙的幾率將越來越大�����。網(wǎng)絡(luò)釣魚���、銀行卡克隆�、社會工程���、鍵盤記錄器和其它方法均可對客戶賬戶實施欺詐行為�����。
- 更多數(shù)據(jù)失竊:隨著裁員和合并的增加����,那些心懷不滿的雇員和承包商經(jīng)常會從企業(yè)系統(tǒng)中竊取敏感數(shù)據(jù)。數(shù)據(jù)庫管理員 (DBA)����、網(wǎng)絡(luò)管理員和財務(wù)分析師是常見的幾類有權(quán)訪問數(shù)據(jù)的用戶。隨著數(shù)據(jù)失竊率的上升���,企業(yè)對授權(quán)用戶的行為越來越關(guān)注。
- 更多外部威脅:傳統(tǒng)的威脅(如黑客和惡意軟件)也在繼續(xù)上升�����。這些外部威脅變得越來越狡詐�����,不斷嘗試逃避傳統(tǒng)的監(jiān)測方法��。黑客通過采用新的技術(shù)穿過外圍防御��,并通過零日惡意軟件持續(xù)破壞企業(yè)系統(tǒng)�。
- 更多規(guī)定:面對以上趨勢及不斷涌現(xiàn)的負面金融消息���,各種規(guī)定在接下來幾年有可能會進一步增長。報表要求和違規(guī)處罰將要求企業(yè)高管更加關(guān)注相關(guān)的風險����。
以上所有這些趨勢使得企業(yè)管理層面臨著更大的挑戰(zhàn)、更高的成本和更嚴峻的風險�����。
嚴重的網(wǎng)絡(luò)安全問題
隨著在線數(shù)據(jù)���、泄漏�、威脅和規(guī)定的增加���,企業(yè)面臨著更多的業(yè)務(wù)風險��。這種風險由于不可見而非常難以管理���。諸如 Oracle 或 Microsoft 數(shù)據(jù)庫、Microsoft Windows 文件系統(tǒng)��、SAP 應(yīng)用和網(wǎng)站等每一個信息領(lǐng)域均構(gòu)成風險來源���,需要加以監(jiān)控�。更為重要的是,真正的挑戰(zhàn)在于如何清晰了解這些領(lǐng)域��。
最近�,一家大型全球銀行的高層管理人員對以上問題進行了如下概括:“我們能看到雇員進行的各種活動、客戶從事的各種交易或網(wǎng)絡(luò)上發(fā)生的各種安全事件���。但是我們卻無法將它們進行關(guān)聯(lián)����,因此一切看起來都是“一次性”的��,我們始終無法真正明白發(fā)生了什么����。與此同時我們也始終暴露于各種風險之下�。”
各種內(nèi)部安全提案和外部法規(guī)提案進一步引起了這些擔憂����。其中外部法規(guī)提案包括美國的薩巴斯-奧克斯利法案、德國的聯(lián)邦金融監(jiān)管局出臺的規(guī)定(MaRisk 和 MiFID)���、以及各種國際行業(yè)標準(如 Basel II 和 PCI)等��。
網(wǎng)絡(luò)威脅和風險的演進
近些年來���,大多數(shù)企業(yè)面臨的網(wǎng)絡(luò)威脅和風險進一步演進����,越來越趨向于“內(nèi)部化”���。四五年前�����,各企業(yè)最擔心的是發(fā)生在其網(wǎng)絡(luò)邊界的外部威脅�����。穿過企業(yè)防火墻的黑客�、網(wǎng)絡(luò)釣客和蠕蟲被視作是業(yè)務(wù)運營的幾大網(wǎng)絡(luò)威脅��。
隨著各企業(yè)與供應(yīng)商�����、客戶和業(yè)務(wù)合作伙伴的聯(lián)系日益緊密,網(wǎng)絡(luò)邊界逐漸消失��,外部和內(nèi)部威脅的概念日漸融為一體�。與此同時,各企業(yè)開始日益關(guān)注由內(nèi)部系統(tǒng)�����、以及防火墻之外的系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)活動��。僵尸網(wǎng)絡(luò)�、病毒、鍵盤記錄器和其它惡意軟件給運營帶來越來越大的威脅�����。
企業(yè)日漸意識到:業(yè)務(wù)的主要網(wǎng)絡(luò)風險來自機密信息�����、關(guān)鍵應(yīng)用和管理這些應(yīng)用和數(shù)據(jù)的授權(quán)用戶����。因此,現(xiàn)在的首席信息官們除了惡意軟件和黑客�,同時還要關(guān)注內(nèi)部泄露、內(nèi)部盜竊和內(nèi)部詐騙��。
常見示例
全球最大�����、要求最嚴苛的企業(yè)和政府機構(gòu)使用 ArcSight SIEM 平臺來監(jiān)控網(wǎng)絡(luò)業(yè)務(wù)活動�����。以下列出了幾項最常見的高價值示例應(yīng)用:
- 授權(quán)用戶監(jiān)控:通過將企業(yè)目錄或身份管理系統(tǒng)中的用戶和角色信息與數(shù)據(jù)庫活動�����、文件活動及其它所有活動進行關(guān)聯(lián)���,ArcSight 可針對諸如“數(shù)據(jù)庫管理員上周干了什么”之類的問題給出切實可行的答案��。因此�,企業(yè)可以確保內(nèi)部控制機制在發(fā)揮作用���,信息處于保護之中���。
- 已終止合作的承包商活動監(jiān)測:現(xiàn)在企業(yè)紛紛使用承包商來提高成本和運營的靈活性���,很自然地,隨著合同期滿和企業(yè)終止與承包商的合作�����,企業(yè)也看到更多的交接現(xiàn)象����。盡管承包商(或其它系統(tǒng)用戶)可能在企業(yè)的 HR 系統(tǒng)中已被解除合作關(guān)系,但這些用戶通常在本地服務(wù)器上擁有仍處于活動狀態(tài)的交易賬戶����。例如,某 IT 承包商的賬戶在 PeopleSoft 系統(tǒng)中可能已禁用��,但也許還有多個本地賬戶�。這些本地賬戶在不同的 Linux 文件服務(wù)器上仍處于活動狀態(tài),并不受 PeopleSoft 流程的管理����。這使得這些終止合作的用戶可通過此類后門進入企業(yè)內(nèi)部系統(tǒng)�����,使企業(yè)面臨風險和失竊威脅。ArcSight SIEM 平臺能夠?qū)⒈镜叵到y(tǒng)活動與HR系統(tǒng)和身份管理系統(tǒng)中的用戶狀態(tài)進行關(guān)聯(lián)���,從而可確保訪問控制在整個企業(yè)范圍內(nèi)得到應(yīng)用����。
- 共享用戶賬戶:通過將身份數(shù)據(jù)�、IP 地址與應(yīng)用使用關(guān)聯(lián)起來,ArcSight 可監(jiān)測到遺留應(yīng)用
程序中管理賬戶的共享使用情況������?蛻糁罂蓪@種使用進行糾正并進行有效控制,而不用重新編寫遺留應(yīng)用程序�����。因此�����,ArcSight 客戶可以更好地遵從法規(guī)�,同時減少當前的資本支出 (CapEx) 需求����。一家金融機構(gòu)預(yù)測��,糾正包含嵌入式共享賬戶的關(guān)鍵應(yīng)用需要耗費 800 萬美元的成本和一年的開發(fā)時間����。而借助 ArcSight,企業(yè)可以用 1/10 的成本在短短幾個月內(nèi)實施補救控制�����。
- 敏感數(shù)據(jù)監(jiān)控:通過集成數(shù)據(jù)庫活動監(jiān)控和數(shù)據(jù)泄漏預(yù)防產(chǎn)品��,并將其活動與網(wǎng)絡(luò)和電子郵件系統(tǒng)相關(guān)聯(lián)����,ArcSight 能夠監(jiān)控機密數(shù)據(jù)面臨的風險,確保其私密性�����。因此���,企業(yè)可以遵從隱私法規(guī)并保持客戶忠誠度���。
- 賬戶侵權(quán)監(jiān)測:通過將欺詐監(jiān)測產(chǎn)品的輸出內(nèi)容與網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫內(nèi)的活動相結(jié)合,ArcSight 可監(jiān)測到賬戶侵權(quán)中的欺詐性活動�。美國的一名客戶在安裝了 ArcSight 的第一周內(nèi),就發(fā)現(xiàn)了數(shù)額接近 100 萬美元的電匯欺詐��。
- 持續(xù)的合規(guī)性監(jiān)控:ArcSight 數(shù)據(jù)監(jiān)控和自動應(yīng)用規(guī)則功能可支持客戶持續(xù)���、自動地對合規(guī)性進行監(jiān)控����?蛻魧⒖梢愿鶕(jù)多種規(guī)定的要求對活動進行控制��,以節(jié)省時間�、金錢和精力����。信息通過一系列便于審計的儀表盤進行展示,能夠顯示出實時控制狀態(tài)和結(jié)果����,并向所有利益相關(guān)方實時提供違規(guī)通知。因此����,企業(yè)可以毫不費力地提高法規(guī)遵從能力��,從而提高通過審計的幾率�����。
在以上所有示例中��,關(guān)鍵之處在于 ArcSight 可充分利用企業(yè)在不同技術(shù)上已有的投資�����。通過結(jié)合這些產(chǎn)品點�,ArcSight 可帶來巨大的價值��,并提高每種產(chǎn)品的投資回報 (ROI)��。
ArcSight 可綜合利用不同技術(shù)的優(yōu)點來監(jiān)控網(wǎng)絡(luò)威脅和風險
盡管有多種有效技術(shù)可用于監(jiān)控特定信息風險領(lǐng)域�����,但最終目的則是將這些技術(shù)整合在一起����,針對當前風險級別����、安全威脅和運營活動提供一個統(tǒng)一的全面視角�。ArcSight SIEM 平臺通過對整個企業(yè)范圍內(nèi)的活動數(shù)據(jù)進行匯集、分析和顯示�����,提供了這種統(tǒng)一的“視圖”����。
這一全面的實時視圖可通知管理員危險活動何時超出了特定級別(如��,某數(shù)據(jù)庫管理員在試圖登錄到客戶支付卡數(shù)據(jù)庫時�,五分鐘內(nèi)失敗了五次)。此外�,ArcSight 的關(guān)聯(lián)功能還能夠重點突出多個單獨看似安全、但綜合起來則會構(gòu)成風險的活動����。例如,數(shù)據(jù)庫管理員可能在正常時間之外查詢客戶支付卡數(shù)據(jù)庫�,也可能訪問包含客戶 PIN 碼的表格。以上這些行為單獨執(zhí)行都沒問題�����,但一起進行則表明該數(shù)據(jù)庫管理員的證書被盜,有人正在用他的賬戶竊取客戶數(shù)據(jù)���。
ArcSight 提供了多項重要功能��,能夠幫助深入洞察整個企業(yè)范圍內(nèi)的活動�����。
- 廣泛采集數(shù)據(jù):ArcSight 架構(gòu)經(jīng)過專門設(shè)計����,能夠通過企業(yè)中的所有信息來源收集數(shù)據(jù)�,包括防火墻、員工卡讀卡器����、筆記本電腦、VOIP 電話����、數(shù)據(jù)庫和目錄等。因此,ArcSight 可“洞察一切”�����。
- 標準化和分類:這一廣泛的數(shù)據(jù)集分為多種數(shù)據(jù)格式�,在保持各自格式的情況下將毫無用處。ArcSight 可將所有數(shù)據(jù)標準化為單一的通用格式��,然后將其進行分類���,以便于進行人工和機器分析�����。
- 使用特定業(yè)務(wù)規(guī)則進行分析:ArcSight 可利用內(nèi)置的規(guī)則及針對每個不同企業(yè)定制的規(guī)則將各種業(yè)務(wù)活動關(guān)聯(lián)起來。例如�,銀行可能希望應(yīng)用風險衡量標準(如 MCC 碼、付款地點�、賬戶地點、付款趨勢)來確定交易是否存在欺詐����。而醫(yī)院可能希望分析患者情況、護理科室及之前的病歷來發(fā)現(xiàn)可能的患者健康信息泄露情況�。因此,ArcSight 能夠根據(jù)每個企業(yè)定義的規(guī)則,大海撈針地找到可能帶來業(yè)務(wù)風險的活動����。
- 調(diào)查:通過存儲海量數(shù)據(jù),ArcSight 可在發(fā)現(xiàn)風險時進行取證分析�。ArcSight 能夠支持輕松查出某危險活動進行了多久,以及還有哪些人員涉入�。反過來,當問題被糾正時�����,ArcSight 可輕松地將這些信息上報給內(nèi)部和外部審計人員��。
- 警告����、報告和顯示:最后,實時儀表板和按需或定期報告可確保正確的相關(guān)方在合適的時間收到其需要的信息�����。ArcSight 可根據(jù)每個利益相關(guān)方的需求來顯示信息��,讓安全管理員可對問題作出迅速的響應(yīng)����,同時審計人員可對結(jié)果進行簽字確認���,管理人員可借助有用指標對業(yè)務(wù)進行指導(dǎo)。
ArcSight SIEM 平臺可幫助企業(yè)了解誰在訪問網(wǎng)絡(luò)����、他們在查看什么信息以及他們對該信息進行了何種操作。借助這種級別的可見性���,ArcSight 客戶可在保護業(yè)務(wù)的同時降低運營成本��。如今�,ArcSight 產(chǎn)品在全球范圍內(nèi)得到廣泛應(yīng)用�,用于預(yù)防威脅和保護信息安全��。
為何選擇 ArcSight
ArcSight 在解決網(wǎng)絡(luò)風險和威脅監(jiān)控方面獨樹一幟�����。ArcSight SIEM 平臺具有三大優(yōu)勢:
- ArcSight 可幫助企業(yè)輕松通過審計:ArcSight 通過對合規(guī)性進行持續(xù)監(jiān)控����,并將監(jiān)控信息展示在便于審計的儀表板上����,可提高企業(yè)通過審計的幾率�����。此外��,ArcSight 還具有自動收集信息和報告的功能����,可減輕員工的負擔和減少預(yù)算。
- ArcSight 可幫助企業(yè)保護流程和數(shù)據(jù):ArcSight 的實時分析和警告功能可盡早將威脅通知給部門�,以便其能及時阻止威脅和最大限度地減少損失。
- ArcSight 能夠在企業(yè)網(wǎng)絡(luò)向合作伙伴和客戶開放時�����,加強對其的控制:ArcSight 能夠幫助隨時了解誰在訪問系統(tǒng)����,哪些數(shù)據(jù)正在被查看,哪些操作正在被執(zhí)行�����,以及用戶是雇員、承包商���、客戶��,還是其他人�。
最后��,通過對本文中以上描述的概念進行總結(jié)���,我們可以得出 ArcSight 在為企業(yè)提供威脅和風險監(jiān)控方面具有獨特優(yōu)勢的三大原因:
- 市場領(lǐng)導(dǎo)地位:憑借在 SIEM 市場占據(jù)的領(lǐng)先份額��,ArcSight 可幫助全球要求最為嚴苛的企業(yè)(包括全球性銀行���、民政和軍事政府機構(gòu)及全球眾多大型零售商)保護其 IT 基礎(chǔ)設(shè)施。
- 面向未來:首席信息官的職責是確保企業(yè)的信息策略隨企業(yè)業(yè)務(wù)策略的演變而改進��。ArcSight 獨特的架構(gòu)可確保在技術(shù)發(fā)生變更的情況下�,您仍能持續(xù)監(jiān)控業(yè)務(wù),以防發(fā)生風險��。
- 不受平臺限制:與大型安全產(chǎn)品供應(yīng)商不同�����,ArcSight 能夠監(jiān)控來自不同供應(yīng)商的技術(shù)��。ArcSight 著重于跨任意第三方平臺進行風險和威脅監(jiān)控���。
it168網(wǎng)站
相關(guān)閱讀: