然而这并非易事,由于安全架构正变得更加复杂,如果只是单个系统受到感染,那么管理员跟踪追查其根本原因将是一种“奢侈“的举措,几乎没有哪个企业能够承担或者愿意承担这样的”奢侈“举措。然而,受到感染或遭到破坏的系统可能只是冰山一角,它意味着您的网络基础设施即将触礁。
外患不止,内忧再起。在面临更多来自企业外部的攻击的同时,来自企业内部的威胁也日益增加,企业内外网边界更模糊。一方面是内部人员的操作失误带来的信息安全威胁。另一方面是内部人员操作权限控制不当造成的访问控制边界违规、账号滥用等,这些都是潜在的威胁。
因此,如何全面、及时地发现、识别、分析、处理信息安全事件,通过大量 采集和分析不同的网络数据,并进行联动性比较分析,并且准确的发现内部人员的不合规操作,分析潜在的信息安全风险,是企业信息安全管理的一大挑战。可以说,企业需要一双可观全局的“鹰眼”。
“鹰眼”系统,及时发现潜在问题
在第二届中国信息安全用户大会上,代表 太平洋保险选送的“鹰眼”大数据信息安全管控平台——“保险行业风险及威胁的闭环管理 系统”荣获了“第二届智慧城市信息安全保障优秀案例”奖,这引起了记者的关注。在后续的采访中,太平洋保险(集团)股份有限公司信息安全与内控管理安全专家张军介绍道, 借助 Intel Security 提供的 SIEM 解决方案,太平洋保险的“鹰眼系统”主要包括日志收集平台、安全事件集中监控平台、安全事件关联分析平台、 权限管理平台等多个平台的搭建来联合实施。
该平台的实施,主要通过对外部攻击、内部合规等事件的集中监控,利用关联、基线等分析技术,形成安全威胁的主动发现、安全风险的及时感知与精准定位,实现信息安全事件的可知可防可控。另外,该平台以安全事件的集中监控与关联分析,解决了碎片化监管被动、低效等问题,提升安全事件发现与防范的主动性与智能性。
如今,太平洋保险公司 IT 人员可以很轻松借助安全威胁模型,例如访问控制边界违规、 账号滥用、僵尸网络、暴力破解入侵及漏洞攻击检测等等,把孤立、海量、多样的事件信息进行关联自动化分析,可及时有效地发现潜在的问题。
源自Intel Security的力量
“公司之前曾采用过别的安全产品, 希望通过对于不同管理信息的分析,进行安全风险的预判和重构,但该安全产品的实际表现却差强人意,而且无法有效支持国产设备,这让太平洋保险 IT 人员们有些失望,而且增加了公司面临的安全风险。” 信息安全与内控管理部总经理李丽红这样谈到时,记者并没有感到意外,因为,该系统仅是日志源就已经达到了近 6000 个,收集范围覆盖太平洋保险集团某数据中心 6 大类 32 种设备类型,每天收集的日志数量均在 15 亿条左右。这样庞大的数据量,传统的SIEM产品是很难完成的。
因为传统SIEM产品构建于数据库和架构基础之上,并且这些数据库和架构在处理大量事件、历史记录数据和关系数据扩展的能力方面存在固有的局限性。另外,传统SIEM产品的分析能力也有所欠缺。许多企业不得不关闭重要但非主要的分析功能,然后再耗费数小时的等待才能生成一份报告,这让企业很难接受。
而从太平洋保险“鹰眼系统”上线后的表现来看,不得不承认Intel Security SIEM解决方案的能力所在。张军介绍道,“目前,我们利用该平台完成 58 条定制规则开发、18 张合规报表的开发调优,将孤立、海量、多样的事件信息进行关联自动化分析,从每天 10 多 亿的安全日志中分析产生 5000 次左右威胁告”。
值得一提的是,SIEM还 预先内置了 190 种左右的关联规则在硬件里面,使太平洋保险的 IT 人员可以轻松操作和使用,这是业内产品中独一无二的。另外,和Intel Security的其他产品一样,SIEM 同样可与ePO 集成,实现专业而统一的管理。当然,Intel Security SIEM也可以把纯IT的语言,翻译成业务的语言,这也是SIEM的另一个强势所在。
正是借助 Intel Security 的 SIEM 强大的安全风险分析能力,太平洋保险拥有了“一双鹰眼”,轻松地把各种看似没有关联的各种事件源数据,进行海量数据的集中监控、智能 分析,并能敏锐地感知到可能会发生的安全风险,让攻击者无处可逃,让安全隐患化为乌有。