【IT168 方案】近几年来,电信行业中出现了多种趋势,正在推动其发生变革。这些趋势在为电信服务供应商创造了新机遇的同时,也带来了重大网络安全风险。因此,对于电信企业而言,制定合适的策略和解决方案以使整个企业能够有效规避风险正变得日益重要。
推动电信行业变革的重要趋势
• 迁移至IP网络:到2012年,超过85%的电信服务供应商将完全迁移至以IP为基础的网络中;
• 智能手机的采用率日益增长:随着智能手机销售的年均复合增长率(CAGR)达到30%,其已大幅超过所有其他的移动设备;
• 行业整合:并购活动带来了由于网络与组织整合不善所致的大量风险;
• 商业智能与反恐立法:这两个因素促使电信企业需要将更多的客户数据存储更长时间,从而产生了隐私问题和更高的数据泄漏风险;
• 外包:降低成本的压力掀起外包热,衍生出新形式的电信欺诈。
趋势产生机遇,但是也引发了重大网络安全风险
• 电信欺诈已导致超过600亿美元的年度收入损失。行业变革使得电信企业日益成为欺诈、数据泄漏、恶意软件和监管失察的主要目标;
• 80%以上的电信企业相信,到2012 年,云计算安全服务将成为主要的收入来源。然而除非电信企业自身的数据和网络是安全的,否则将无法利用这一机遇中;
• 近90%的电信企业相信,除非安全性具有非常高的优先级,否则迁移至下一代基于IP的网络的工作将会失败。
自动化监控的重要性
• 单点安全技术投资有助于实现一定程度的可见性,但无法提供完全的可见性来用于检测欺诈、遏制网络威胁及简化合规性工作;
• 为了有效解决这些问题,服务供应商需要对所有电信办公地点和基础设施进行全面监控,其中包括数据中心、零售分支机构、在线基础设施和服务使用活动(通话记录、ISP 流量)等;
• 连续收集和分析日志数据可实现自动化监控及对于所有活动的可见性;
• 安全信息与事件管理(SIEM)解决方案可提供自动化监控,但是并非所有的解决方案均能够应对电信行业特有的挑战。
针对电信服务供应商的ArcSight SIEM 平台
• ArcSight SIEM 平台能够持续、并自动监控不同位置和渠道(在线、零售及呼叫中心)的应用程序、用户和系统活动;
• ArcSight 在监控、可扩展性、灵活性和嵌入式知识(欺诈、外围威胁、内部威胁和跨监管机构的合规性预先打包内容)方面处于市场领先地位;
• ArcSight 技术得到了全球领先电信企业的广泛采用,用于遏制欺诈、减少网络安全威胁的风险,并有效实现合规性。
电信行业趋势
据美国通信欺诈管制协会(Communications Fraud Control Association, CFCA)估计,每年由于电信欺诈而导致的收入损失超过 600亿美元。对于某些电信企业而言,欺诈造成的损失占到年收入的 20-30%。除由盗用或无偿服务而引发的直接经济损失之外,电信欺诈还会损害品牌价值和客户保有度。在全球范围内,电信欺诈已经以不同的形式存在了数十年。从 20 世纪 70 年代的付费电话盗打,到 20 世纪 80 年代的干扰收费表,再到 20 世纪 90 年代的电话卡欺诈,每种新一代电信技术均伴随着新的风险源。
过去几年来,电信行业已开始另一种主要业务与技术变革。这一变革由六个主要趋势推动,而这些趋势在创造了新的收入来源的同时,也带来了重大网络安全风险。
趋势1:迁移到基于IP的网络中
电信企业只提供语音服务的时代已经一去不复返了。手机市场的饱和与消费者的融合需求正在迅速推动向基于 IP 的 3G 网络的迁移,以用来提供语音、数据、互联网、视频及其他内容的服务(见图 1)。IBM 对电信企业开展的一项名为《运营商服务安全状态》(State of Security in Carrier Service Delivery)的调查发现,到 2012 年,超过 85% 的电信服务供应商将完成这种迁移。
▲图1:在电信行业中,基于IP的3G网络正在逐渐成为传递所以内容服务类型的标准方法。
作为该迁移的一部分,电信供应商正将以前关闭的网络连接至其他运营商网络、专用网络/企业网络、内容供应商和公共互联网。因此,该趋势除了通过提供新服务来支持增加收入之外,也会将电信网络暴露给基于IP的恶意软件变种(病毒、蠕虫和木马)。多年来,有线服务供应商一直饱受这些恶意软件的威胁。
趋势2:采用智能手机
研究机构明特尔(Mintel)发表的《2008 年移动设备市场报告》(2008 Mobile Device Market Report)表明,智能手机的销售额在短短两年内涨幅就已超过 150%,而同期标准手机在销售额和市场占有率两方面均有所下降(见图 2)。电信企业借助智能手机,通过向现有客户向上销售多媒体数据服务,可从每个客户身上获得更多收入。随着智能手机将内置信用卡芯片转变为电子钱包,电信企业可能会找到利用这一趋势盈利的其他机遇。
▲图2:研究表明:与标准型手机相比,智能手机销售额大幅增加(信息来源:明特尔(Mintel)于2008年11月发表的《移动设备市场报告》(Mobile Device Market Report))。
但是,这一技术融合也伴随着同等的融合风险。智能手机引入了应用媒介,支持终端用户直接安装软件。它们也支持具有众多已知漏洞的操作系统(Microsoft Pocket PC、Symbian Open OS)和协议(WLAN、Bluetooth)。此外,消费者正使用智能手机来查看其银行存款,并进行电子商务交易,因而吸引了更多的移动设备恶意软件。
趋势3:行业整合
随着很多国家/地区移动电话服务的普及率达到或超过 100%,一些电信企业正在收购新兴市场(亚洲、非洲和东欧)中的公司,以扩大其影响范围。技术融合是行业整合的另一驱动因素。电信企业目前正在收购相关公司,以实现其“四网(包含互联网、电视、移动和固定线路服务)融合”的目标。
行业整合在帮助电信领先企业扩张的同时,也导致了内部欺诈和数据泄漏的情况上升。内部欺诈涉及多种活动,诸如直接将服务应用于交换机以绕过计费系统、暂停生成使用跟踪数据、或从计费系统中删除记录等。从历史上看,检测一直依赖于对计费应用程序及其他应用程序的访问进行监控,但是收购引发了新的复杂性。比如说,手机公司收购了采用不同计费系统的有线电视运营商。在此种情况下,在拥有独立访问控制机制的应用中监控运营商的活动将变得更加困难。收购之后缓慢的技术整合过程也可能会导致中断的用户对敏感数据的持续网络访问。
趋势4:数据保留和监管失察
电信行业正在获取更多的人口统计和交易数据,以便了解客户的使用偏好,执行有针对性的向上销售营销方案。这些信息除了提供有价值的消费者感受之外,还使电信行业成为进行身份盗窃的诱人目标。同时,它还迫使电信行业遵守行业强制命令(如 PCI 及其他隐私权法)。
反恐是电信行业中长期保留数据的另一个驱动因素。通过对 2004 年马德里列车爆炸案和 2005 年伦敦地铁爆炸案进行调查,官方强调了呼叫数据记录的重要性,而这促成了欧盟数据保留指令(EU Data Retention Directive)的颁布。类似的立法活动也正在世界其他地区进行。电信行业需要一种解决方案,该解决方案不仅需要有效存储、查询大量通话详细记录(CDR)和互联网流量,同时还需要能够防止对相关信息进行未经授权的访问。多数电信企业均为大型公共实体,它们已经受《萨班斯 — 奥克斯利法案》(Sarbanes Oxley)、《巴塞尔协议 II》(BASEL II)或其他国家/地区的类似法规的约束。这些新的隐私权法和反恐法进一步加剧了多数电信企业的现有负担。
趋势5:业务流程外包
随着电信行业持续私有化,企业利润持续下降,全球竞争也日益加剧。同时,在任何经济衰退期间,全球范围内的电信企业均会严重受挫,因为消费者会选择回避费用昂贵的附加服务。这一运营成本压力已迫使电信企业将客户服务、后台操作、人力资源及并非核心竞争力的其他职能外包。除了预期的成本效益之外,业务流程外包已造成更多形式的电信欺诈和数据泄漏出现。
具体而言,两个原因导致外包客户服务中心成为电信欺诈常见的目标。首先,电信企业在其销售和服务数据库中集中了大量敏感客户信息(财务和人口统计信息)。这就使得呼叫中心成为了数据泄漏的首要目标。其次,呼叫中心的员工通常很年轻,经验不足,待遇低,因此其流动率较高。有犯罪组织团伙通常将自己的人员安插在呼叫中心,贿赂员工泄露客户数据,或在执行欺诈的过程中相互勾结。
趋势 6:托管安全服务
具有讽刺意味的是,托管安全服务在增加了网络威胁的同时,也为电信企业创造了收入的机遇。2007 年度《IBM 运营商服务安全状态》(IBM State of Security in Carrier Service Delivery)报告显示,80% 以上的电信企业相信,到 2012 年,云计算托管安全服务将成为主要的收入来源(见图 3)。虽然其看似矛盾,但这一趋势是合理的。不同行业的企业正在面临着日益严重的网络犯罪威胁,这些企业将会发现,构建和维护用来保护自身的安全专业技术变得越来越困难。影响企业的外部威胁将会遍及由服务供应商所拥有和托管的核心网络。
▲图3:研究表明:超过80%的电信企业相信,到2012年,云计算托管安全服务将成为主要的收入来源(信息来源:2007年度《IBM运营商服务安全状态》(IBM State of Security in Carrier Service Delivery)报告)。
现在我们来考虑一下服务供应商面对的状况。电信企业在其下一代高带宽网络中将会拥有显著提高的容量。与此同时,他们也需要构建用于托管和保护这些网络的安全专业技术。因此,电信企业非常适于检测和应对针对其业务客户的网络威胁。
但是,电信企业在成功启动托管安全服务方面,面临着两个障碍。第一,他们必须拥有保护其自身数据和网络的良好记录。第二,企业面临着日益增加的内部威胁,但是电信企业通常无权访问内部网络。能够成功建立信任并为客户的内部和外部网络提供安全管理服务的电信企业,将具有明显的竞争优势。
自动化监控需求
在欺诈已成为收入流失巨大根源的电信行业中,技术与业务趋势只会增加欺诈与数据泄漏风险。为了应对这一情况,电信企业当前选择将许多技术拼凑在一起来提供保护,包括防火墙、IDS、IPS、数据泄漏预防(Data Leak Prevention, DLP)、收入保障、身份管理和专用电信欺诈软件等。虽然这些投资会在特定应用程序或部分电信基础设施内提供本地保护,但是它们不会提供所需的企业范围的可见性来检测当前复杂形式的欺诈和数据泄漏。此外,每项单点解决方案的投资也会增加学习和管理新界面的负担。
例如,大多数专门的电信欺诈解决方案监控个人帐户层面的计费和使用数据,以从中发现异常情况,如通话时间过长或电话通话次数过多等。从事订阅或高资费服务(PRS)欺诈的有组织罪犯只是简单地转变为高规模、低数量战略,就消除了此解决方案的作用。高规模、低数量战略是指使用几个窃取的身份,同时保持每个帐户都保持在触发欺诈的条件以下。遗憾的是,电信企业无法通过简单地降低阈值来进行应对,因为这将会产生较高的误判率。有效的欺诈检测需要能够监控不同帐户的服务使用活动,以发现可能代表欺诈的模式。
为了取得亟需的网络范围可见性,电信企业必须能够自动地持续监控所有内部用户、客户、经销商/分销商及基础设施(包括桌面、服务器、数据库、网络和安全设备,以及计费和服务应用程序)的活动,并进行关联。
日志与监控
很多电信企业没有认识到的是,他们实际上已经拥有必要的信息,可用于及时检测欺诈和数据泄漏,并经济高效地满足法规要求。在一天中的所有时刻,终端设备、服务器、网络设备、安全设备和电信应用程序均会以日志的形式留下活动踪迹。例如,通过日志,电信企业可以跟踪到所有基于 IP 的通信、应用程序访问、设备配置更改、客户数据库查询、通话记录及其他客户或员工活动。通过对日志进行合并和分析,电信企业将能够有效、持续地检测欺诈、数据泄漏和违反合规性的情况。
然而,每日跟踪所生成的数百万日志事件是一项艰巨的挑战。由于法规要求对服务使用活动(CDR 和互联网流量元数据)进行储存,电信行业的日志量尤其庞大。此外,每个设备或应用程序供应商记录数据的格式不同,从而使监控不同日志源的工作更为困难。
安全信息和事件管理(SIEM)解决方案提供了多种功能来应对这些挑战,包括用于从大量来源收集日志的预建适配器;高效的集中式日志存储和保留;以及最重要的、强大且可扩展的日志分析能力。尽管如此,大多数商业 SIEM 解决方案仍缺乏用于满足电信行业特有的监控需求的功能。图4列出了用于评估 SIEM 解决方案的重要要求。
▲图 4:遵循此 SIEM 解决方案评估清单,可帮助确保全面满足电信企业的特有需求。