2017年,WannaCry勒索软件席卷网络,各组织如临大敌,纷纷将注意力投向网络安全威胁问题。在这次事件中,WannaCry可以利用软件漏洞绕过公司安全系统,医院和制造商成为这起事件的主要受害者。
●●●
“当程序出现漏洞时,快速的反应显得尤为重要”
总部位于伦敦的托管安全服务提供商——ITC Secure Networking对于这类安全威胁最为熟悉,自1999年以来,该公司已帮助许多组织成功解决网络安全威胁问题,保护了数据。当前,ITC面临的最大挑战是如何尽可能快地识别潜在漏洞与威胁,该组织认识到,保护客户数据和系统的最佳方法是对防火墙、入侵防范系统、安全应用程序和其他系统设备的日志进行数据收集与分析。
对于某些组织来说,这个过程可能非常耗时。解决方案之一是使用安全信息和事件管理(SIEM)工具,自动地进行日志分析,使用预定义规则查找可疑活动的迹象。但并非所有公司都可负担这样的工具,或者雇佣有能力操作该工具的员工。如果组织不能解决这个问题,将可能面临网络威胁的风险。
Kevin Whelan(ITC首席技术官)认为:黑客组织发布的的产品中,包括一款用来传播WannaCry的载体工具,这为攻击者渗透系统提供了更多的方便。一旦ITC的系统遭到破坏,其客户将损失惨重,顾客需要保护高价值的知识产权。此外,ITC还负责保护处理在线交易的网站及系统的完整性和可用性。
●●●
“ArcSight ESM具有快速、轻松、有效创建用例的出色能力。”
——ITC首席技术官Kevin Whelan
通过提供快速、经济的威胁检测,保护客户的数据免受网络攻击
ITC的SIEM必须能够接收大量数据,随后将其关联以快速识别威胁;解决方案也必须是高度定制化的,ITC需要创建、应用并更新复杂的规则,以加快发现可疑活动或事件的速度。通过为客户托管和管理SIEM解决方案,同时定制化实施,ITC解决了这些难题。该方案降低了预设的安全成本,更快地识别关键性威胁从而节省了时间。
在该方案中,ITC十分依赖ArcSight Enterprise Security Manager(ESM),这是公司托管服务平台(NetSure360°)的核心技术。此外,ITC设有一个专门的安全操作中心,由一组管理这些系统和监控安全警报的专家组成。顾客每月支付固定的费用才能获取这项服务。Micro Focus还建议该公司了解其新产品的开发情况,以更好地挖掘销售机会并提供技术支持。
方案有效降低网络攻击的检测和响应时间
ITC已将其许多客户的网络安全威胁检测时间从数小时减少到几分钟。公司在ArcSight ESM中创建了一个用例和规则,使其在几分钟内便可检测到攻击。不仅如此,客户还可以在其他方面节省时间。例如,在线零售商需要对网络商店受到威胁的警报和事件做出响应,ITC通过构建客户IT环境的资产模型来实现这一功能,对象还包括网络商店。随后创建用例规则,对有关web商店的警报进行优先级排序。
Whelan说道:“ArcSight足够灵活,我们可以优先考虑客户组织中哪些部分更重要。”他把一些SIEM比作黑匣子,因为它不允许用户有隐藏行为,并且可实现有效的定制警报。Whelan补充说道:“有了黑匣子,很快就会因为出现太多的警报而产生超载状态。ArcSight ESM具有快速、轻松、有效创建用例的最佳能力。这使客户能够将注意力集中在最重要的警报上。”
ITC还可以通过自动断开受损计算机与网络的连接来加快客户对威胁的响应,即使用ArcSight ESM来实现这一点。使用脚本调用应用程序编程网络或网络访问控制设备的接口(API),然后断开受损计算机的连接。然而,并非每个组织都希望这样做,但这可以体现ArcSight ESM的广度以及多功能性。
ArcSight ESM为客户带来明显的经济效益,同时提高法规遵从性
ArcSight ESM的多租户功能使托管安全服务提供商更容易通过让客户共享服务器来降低成本。有些组织自己无法购买、托管和管理同等级别的安全性。因此他们将不得不部署相关工作人员、软件及硬件,并不断更新系统——这是一个全天候运作工程。ITC使用相同的基础架构来托管ArcSight ESM的多个实例,每个实例监视不同的客户。这种方法是可行的,因为ArcSight ESM可以从软件的多个实例中摄取并关联大量的事件和日志数据。在一个月内,它为ITC分析了386亿个安全事件,关联了11681个警报,识别出467个事件。一个大型制造业客户在100多个国家拥有400个日志数据源。
“ArcSight具有处理列表和数据的非凡能力,该技术具有高度可扩展性。”
——ITC首席技术官Kevin Whelan
ArcSight ESM还帮助ITC的客户检查他们是否符合相关法规。例如,ITC使用它来审查客户对ISO/iec27001信息安全系统标准的遵从性。此外,还使用该产品审查客户是否遵守支付卡行业数据安全标准(PCI DSS)的情况,客户可以收到详细说明其IT环境的哪些区域不符合所需的安全标准的报告。Micro Focus还可提供ArcSight ESM软件包,企业可用其来检查是否符合美国《萨班斯-奥克斯利法案》和《健康保险便携性和责任法案》,以及其他国家及地区的法规。
文章来源:www.microfocus.com