ArcSight Express为中型企业提供一流保护

简介

在现代网络世界里,所有规模的企业都面临攻击的风险。恶意软件、数据泄漏和监管要求(及相关处罚)都在不断增加。遗憾的是,对于大部分中型企业来说,安全员工并未有相应的增加,很多情况下反而是在减少。这些企业没有专门的员工承担安全管理员角色,很多企业甚至没有具备安全专业知识的员工。

与大型企业一样,中型企业也必须管理和保护重要信息的安全,如财务记录、私人客户数据和知识产权。这些企业与其大型竞争对手一样,受相同法律法令的约束,但不同的是后者具有较多的安全和合规性预算,而且拥有更多内部资源。

对于缺少专业安全知识和专门安全管理人员的中型企业来说, 他们必须在财务预算接受范围内找到一种保护他们数据的方法。任何待选的安全监控解决方案都必须能力担重任,通过自动化和内建的安全专业知识而简化IT管理员的工作。

本白皮书介绍了当今中型企业在安全和合规性方面面临的一些重要挑战。而且,它还介绍了 ArcSight Express 系列产品,以及 ArcSight 新推出的一款法规遵从和安全监控设备。许多企业需要面临日益严重的网络和关键信息安全威胁,但是又由于缺乏资源和专业技术——ArcSight Express 为他们提供了一款简单、经济高效的自动化解决方案。作为一个一体式(in a box)安全专家,ArcSight Express可为客户提供预先构建的规则和报告,帮助他们解决重要的安全和合规性问题。ArcSight Express 认识到大多数企业无力配置专门的安全运营中心。借助于 ArcSight Express,安全事件检测和通知功能实现了自动化,IT 人员能够将主要精力放在对重要安全事件的响应上面。

部署了 ArcSight Express 的企业可通过即购即用的自动化安全专家分析和监控功能,以更低的成本获得更高的安全性和合规性。

中型企业面临的挑战

一个有着中央总部(central HQ)、多个远程站点和数百名员工的公司可能会有许多特定的安全技术,例如防火墙、杀毒产品、入侵防御系统、远程接入和 VPN等。所有这些产品均使用其自身的控制台,并且需要专有资源和一定时间以确保有效运行。 小型企业技术学院(Small Business Technology Institute)最近的一项分析表明,在接受调查的公司中有超过一半缺少资金、专业知识和专用资源以实施良好的安全系统安装。
由于缺少必要的时间和专业知识,管理员难以对这些系统生成的数千件、有时甚至是数万件事件进行密切监控。因此,虽然病毒、蠕虫和数据外泄等安全事件被记录下来,但是警报都被淹没在海量事件中,在很长一段时间也无法得到注意。所以,对于没有专门安全人员的企业来说,他们需要面临的挑战就是及早了解安全事件带来的影响,从而防止宕机、数据丢失,或灾难性的业务影响。

有效安全保护的第一步

了解网络活动是提升安全投资有效性的最佳方式。这一点通常难以做到,因此企业需要进行优先级划分,着重解决可能性最大的威胁。作为安全信息和事件管理(SIEM)市场的领导者,ArcSight 曾与 1,000 多家企业合作,发现许多企业都面临着下面一个或多个问题。

 木马、蠕虫和病毒攻击
 黑客检测
 带宽滥用(bandwidth hogs)和策略违规
 未经授权的应用或系统访问
 VPN 偷袭
 系统和用户影响
 审计失败、罚款和处罚

木马、蠕虫和病毒攻击

恶意软件可能会对企业及其客户与合作伙伴带来巨大的危害。据计算机经济(Computer Economics)报道,2007 年企业仅在一项 “恶意软件”上的损失就超过 130 亿美元。一些最可怕的病毒可在几分钟内迅速蔓延全球,造成了巨大的财务和运营损失。过时的如果病毒防范定义或防毒软件如果未能即时更新,会使小型企业更易受到病毒攻击。有时,一些重要的服务器可能已经受到感染,但是因为未显示感染迹象而被忽略。错误和感染被记录在 AV 日志中,服务器管理员却不知晓,致使关键业务系统面临攻击时毫无防范。木马和键盘记录器是导致数据丢失的原因之一,其中还包括密码和账号被盗。支付卡行业数据安全标准(PCI DSS)明确要求企业保证使用并定期更新杀毒软件。即便企业相信自己受到杀毒软件的保护, 若更新失败依然会使系统处于风险之中,使企业暴露于恶意软件之下。

黑客检测

企业正遭受着外部攻击的持续轰炸,其中包括来自黑客和网络钓鱼者(phisher)的攻击。当企业未能正确使用其安全技术时,其内部网络便很容易受到黑客入侵,而且这种入侵很难被检测出来。异常的网络活动或账户活动通常是黑客攻击尝试的一个标志。举例来说,短时间内多次失败登录一个或多个系统就可能是“暴力登录”攻击的一个迹象,此时黑客正在试图通过一些常用密码重复访问一个账户。理论上来讲,这应该很容易被检测到,但是实际上这需要广泛的监控和有效分析来支持。

带宽滥用和策略违规

未经授权使用企业网络资源会对该企业造成多方面的根本影响。一些用户访问未经授权的网站,下载内容,通过对等网络进行通讯,并且在公司网络上运行个人服务,这将会使企业网速变慢,有时甚至完全宕机。带宽滥用也是潜在恶意软件存在的一个标志。

未经授权的应用或系统访问

对任何企业来说,未经授权的账户活动都可能会是一个重大威胁。当个人系统证书受到损害或被用户共享时,企业就无法保护其重要基础设施和资产或识别账户活动。

小型企业通常会在不知情的情况下遭受上百次的侦查扫描和恶意访问攻击,他们通常不知道这些攻击的来源和目标。

VPN 偷袭

远程访问为蠕虫、病毒、间谍软件、黑客行为和信息盗贼等威胁提供了风险入口。对于小型企业,他们通常以无保护或保护不完备的方式将远程连接服务部署到一个或两个终端端点上。当用户从不安全的网络接入时,如酒店、咖啡馆、机场、商业展会,及其家庭和私人电脑,这种问题也会发生。远程访问将网络暴露在恶意用户和恶意软件攻击之下。

系统和用户影响

一旦发生攻击,企业通常不能轻松确定哪些系统和用户受到攻击需要补救。因此,恶意软件可能会继续留在少数用户的机器上,并再次传播至任何已清除病毒的系统。这时,企业需要一份明确的报告,说明哪些系统正在受到威胁,从而控制补救的成本和时间。

审计失败、罚款和处罚

随着法规和行业法令的日益增多,企业面临较高的合规性成本,对于小型企业尤其如此。 例举一个典型例子,一家在美国股市上市的公司,通过互联网和州、地方及联邦各级实体机构开展业务。这家公司拥有几百名员工,需要遵守十几条法规、行业和内部法令,包括萨班斯法案 (SOX)、PCI、职责划分、IT 安全、员工信息保密和其它各种政策。

企业若想证明其符合这些法令和政策要求,他们需要从本白皮书提到的各种资源中收集信息,将它们整理成相应的报告,然后将这数百份报告整理成有意义的信息。对大多数企业而言,这项工作过于复杂,使得他们的合规性努力要么干脆失败、要么也只是勉强过关。

ArcSight Express 简介

中型企业面临着多层面的业务压力,其中包括增加客户规模、高效运营、削减成本和实现流程自动化等。这些压力直接导致更复杂的 IT 基础设施需求,也造成安全工具上和实践上的不足。一般中型企业都希望能够在削减的预算和时间的前提下改进安全与合规性。ArcSight Express 用简单且经济有效的设备解决方案为其提供世界一流的安全监控。

ArcSight Express 是一款 SIEM 设备解决方案, 可以对企业IT基础设施上的活动进行日志与事件收集、监控和报告。这些基础设施可包括防火墙、服务器、台式机、杀毒产品、入侵防御系统、远程访问、VPN 设备、路由器、交换机和其它互联装置。该产品主要为IT管理资源有限的企业提供全面的解决方案。ArcSight Express让企业能够将安全信息整合至一个中心平台,并轻松检测各种问题。

ArcSight Express 内置有必要的最佳实践和专业安全知识,以法规、警报和仪表板等形式体现所关注的上述常见风险领域。它将这些专业知识与市场领先的关联能力完美结合,提供了一款全面的、易用的、低维护成本解决方案,着重解决中小型企业最常见的边界、网络、基础设施和合规性监控挑战。大多数企业一般上缺乏资金为安全运营中心配置专门人员。即便是缺乏其人才,借助于 ArcSight Express自动实现安全事件检测和通知功能,企业的IT 人员也能够轻松地将精力放在对重要安全事件的响应上面。

ArcSight Express 有单体式(one-box)和两件套(two-box)两种配置,其主要组件包括:

ArcSight Express 关联设备

ArcSight Express的“心脏”是一款一流及市场领先的关联引擎。该关联引擎使用各种各样的方法来快速识别可能导致安全问题的事件。

关联规则可包含多个属性以确定事件的重要程度,包括历史趋势分析、资产重要性、攻击历史、统计分析和其它技术。这样可过滤掉上百万的不必要事件,只有关键事件才会报告管理员。因此,管理员可迅速关注真正问题,无需查看成堆的记录数据,也无需监控面向特定安全产品的多个不同控制台。

内建的专家关联规则、仪表板和报告

ArcSight Express 包括一系列规则、报告、警报和仪表板,可使小型安全团队即时掌握环境状况,无需等待报告整理。已经超负荷的 IT 团队不必在开发平台上定义和构建合适的内容。

ArcSight Express 为您提供了一位一体式安全专家,可帮助您应对下述所有挑战:
 木马、蠕虫和病毒报告 —在它们造成损失之前,发现新的零日(zero-day)爆发。检查和遏制正在您IT环境里蔓延的病毒。报告防毒定义并更新失败的防毒软件。
 黑客检测 —了解外部攻击的来源以及攻击哪些主机/服务器,边界警报和警报类型,及时更新防火墙规则和 IDS/IPS 签名。

 带宽滥用和政策违规报告 — 监控昂贵网络资源的使用,支持关键业务组件保持快速响应,阻止在公司网络上运行未经授权的服务和应用。带宽方差可作为早期警报系统来检测恶意软件。

 未经授权的应用和系统访问检测 —在主要服务器上检测暴力登录攻击或异常的登录活动,以确定哪些系统可能有泄密用户账户。
 VPN 偷袭检测 —了解企业的远程访问模式。阻止非法用户进入企业网络,检测曾用于访问内部资源的受感染机器,了解面向本地和远程用户的远程访问模式。

 系统和用户影响 —找出受到感染或受攻击影响的系统和用户,阻止病毒在整个企业再次传播。
 合规审计支持 —为审计员和执行人员轻松整理所需信息,证明企业的合规性、主动查找违规行为,然后进行识别和修补。

ArcSight Express 日志管理设备 — 高效和自助管理存储

合规法令针对事件日志数据(event log data)通常具有较长的保留期限。ArcSight Express 拥有一款完整的、市场领先的日志管理设备以支持长期数据保留。日志数据存储为一种高效的压缩格式,支持快速搜索和分析,无需解压缩数据。而且,ArcSight Express 无需配备额外的独立存储基础设施即可满足大多数合规法令的保留要求。许多日志管理产品需要客户在快速数据捕获、快速搜索和高压缩之间做出取舍,而 ArcSight Express 日志管理设备却不需要。ArcSight Express 日志管理设备提供了一种独特的数据存储架构,能够高速捕获数据、支持高速同步搜索,并可保持 10:1 的平均数据压缩比。

ArcSight 连接器
为了解企业的整体安全状况,管理部门需要从整个网络的所有设备中收集事件日志。通过预先构建的 ArcSight 连接器,ArcSight Express可以轻易地从超过 300个设备中收集立即可用的事件日志。这些连接器按事件日志的原有格式收集,然后按照通用数据格式对它们进行标准化和分类,以便于关联和分析。举例来说,倘若一台 Linux 服务器的配置改变,思科的路由器和甲骨文的数据库也会发生相应变化。ArcSight 连接器会以一种通用格式将所有这些不同事件展现出来,这样企业内的所有配置变化便可一目了然。因此,安全管理员可以更快速地了解任何特定事件之间的相关性。

ArcSight 连接器架构支持“面向未来”的监控。即便当原有的网络技术被新供应商的新技术所取代,该系统仍可继
续运行。

自动化安全操作:案例管理和工作流程

ArcSight Express 拥有一个内置的全功能的案例管理和工作流程引擎。一旦检测到安全事件后,该引擎便可自动创建案例并通知管理员。因此,原本需要一个安全运营中心(SOC)工作人员来执行的工作便可通过 PDA、电子邮件、短信或寻呼机通知来完成。这使 ArcSight Express 可以在没有专门SOC工作人员或安全管理员的环境中运行。

易于部署和管理

小型企业希望快速部署其 SIEM 解决方案,并希望用最少的步骤即可完成设置并开始运行。ArcSight Express 包括必要的预打包规则、警报、报告和仪表板,可帮助使用者快速上手。

ArcSight Express 有独立式和两件套两种配置,可避免购买、配置和单独保护额外硬件的麻烦。

针对日常维护,ArcSight Express 支持无代理收集。这使小型企业无需推送和维护软件代理,对于不能本地向ArcSight Express 推送日志的 Windows 设备更是如此。

最后,ArcSight 采用了自助管理存储,无需外部存储或数据库方面的专业知识。

综述

相关推荐