【IT168 方案】近几年来,电信行业中出现了多种趋势,正在推动其发生变革。这些趋势在为电信服务供应商创造了新机遇的同时,也带来了重大网络安全风险。因此,对于电信企业而言,制定合适的策略和解决方案以使整个企业能够有效规避风险正变得日益重要。
推动电信行业变革的重要趋势
• 迁移至IP网络:到2012年,超过85%的电信服务供应商将完全迁移至以IP为基础的网络中;
• 智能手机的采用率日益增长:随着智能手机销售的年均复合增长率(CAGR)达到30%,其已大幅超过所有其他的移动设备;
• 行业整合:并购活动带来了由于网络与组织整合不善所致的大量风险;
• 商业智能与反恐立法:这两个因素促使电信企业需要将更多的客户数据存储更长时间,从而产生了隐私问题和更高的数据泄漏风险;
• 外包:降低成本的压力掀起外包热,衍生出新形式的电信欺诈。
趋势产生机遇,但是也引发了重大网络安全风险
• 电信欺诈已导致超过600亿美元的年度收入损失。行业变革使得电信企业日益成为欺诈、数据泄漏、恶意软件和监管失察的主要目标;
• 80%以上的电信企业相信,到2012 年,云计算安全服务将成为主要的收入来源。然而除非电信企业自身的数据和网络是安全的,否则将无法利用这一机遇中;
• 近90%的电信企业相信,除非安全性具有非常高的优先级,否则迁移至下一代基于IP的网络的工作将会失败。
自动化监控的重要性
• 单点安全技术投资有助于实现一定程度的可见性,但无法提供完全的可见性来用于检测欺诈、遏制网络威胁及简化合规性工作;
• 为了有效解决这些问题,服务供应商需要对所有电信办公地点和基础设施进行全面监控,其中包括数据中心、零售分支机构、在线基础设施和服务使用活动(通话记录、ISP 流量)等;
• 连续收集和分析日志数据可实现自动化监控及对于所有活动的可见性;
• 安全信息与事件管理(SIEM)解决方案可提供自动化监控,但是并非所有的解决方案均能够应对电信行业特有的挑战。
针对电信服务供应商的ArcSight SIEM 平台
• ArcSight SIEM 平台能够持续、并自动监控不同位置和渠道(在线、零售及呼叫中心)的应用程序、用户和系统活动;
• ArcSight 在监控、可扩展性、灵活性和嵌入式知识(欺诈、外围威胁、内部威胁和跨监管机构的合规性预先打包内容)方面处于市场领先地位;
• ArcSight 技术得到了全球领先电信企业的广泛采用,用于遏制欺诈、减少网络安全威胁的风险,并有效实现合规性。
电信行业趋势
据美国通信欺诈管制协会(Communications Fraud Control Association, CFCA)估计,每年由于电信欺诈而导致的收入损失超过 600亿美元。对于某些电信企业而言,欺诈造成的损失占到年收入的 20-30%。除由盗用或无偿服务而引发的直接经济损失之外,电信欺诈还会损害品牌价值和客户保有度。在全球范围内,电信欺诈已经以不同的形式存在了数十年。从 20 世纪 70 年代的付费电话盗打,到 20 世纪 80 年代的干扰收费表,再到 20 世纪 90 年代的电话卡欺诈,每种新一代电信技术均伴随着新的风险源。
过去几年来,电信行业已开始另一种主要业务与技术变革。这一变革由六个主要趋势推动,而这些趋势在创造了新的收入来源的同时,也带来了重大网络安全风险。
趋势1:迁移到基于IP的网络中
电信企业只提供语音服务的时代已经一去不复返了。手机市场的饱和与消费者的融合需求正在迅速推动向基于 IP 的 3G 网络的迁移,以用来提供语音、数据、互联网、视频及其他内容的服务(见图 1)。IBM 对电信企业开展的一项名为《运营商服务安全状态》(State of Security in Carrier Service Delivery)的调查发现,到 2012 年,超过 85% 的电信服务供应商将完成这种迁移。
▲图1:在电信行业中,基于IP的3G网络正在逐渐成为传递所以内容服务类型的标准方法。
作为该迁移的一部分,电信供应商正将以前关闭的网络连接至其他运营商网络、专用网络/企业网络、内容供应商和公共互联网。因此,该趋势除了通过提供新服务来支持增加收入之外,也会将电信网络暴露给基于IP的恶意软件变种(病毒、蠕虫和木马)。多年来,有线服务供应商一直饱受这些恶意软件的威胁。
趋势2:采用智能手机
研究机构明特尔(Mintel)发表的《2008 年移动设备市场报告》(2008 Mobile Device Market Report)表明,智能手机的销售额在短短两年内涨幅就已超过 150%,而同期标准手机在销售额和市场占有率两方面均有所下降(见图 2)。电信企业借助智能手机,通过向现有客户向上销售多媒体数据服务,可从每个客户身上获得更多收入。随着智能手机将内置信用卡芯片转变为电子钱包,电信企业可能会找到利用这一趋势盈利的其他机遇。
▲图2:研究表明:与标准型手机相比,智能手机销售额大幅增加(信息来源:明特尔(Mintel)于2008年11月发表的《移动设备市场报告》(Mobile Device Market Report))。
但是,这一技术融合也伴随着同等的融合风险。智能手机引入了应用媒介,支持终端用户直接安装软件。它们也支持具有众多已知漏洞的操作系统(Microsoft Pocket PC、Symbian Open OS)和协议(WLAN、Bluetooth)。此外,消费者正使用智能手机来查看其银行存款,并进行电子商务交易,因而吸引了更多的移动设备恶意软件。
趋势3:行业整合
随着很多国家/地区移动电话服务的普及率达到或超过 100%,一些电信企业正在收购新兴市场(亚洲、非洲和东欧)中的公司,以扩大其影响范围。技术融合是行业整合的另一驱动因素。电信企业目前正在收购相关公司,以实现其“四网(包含互联网、电视、移动和固定线路服务)融合”的目标。
行业整合在帮助电信领先企业扩张的同时,也导致了内部欺诈和数据泄漏的情况上升。内部欺诈涉及多种活动,诸如直接将服务应用于交换机以绕过计费系统、暂停生成使用跟踪数据、或从计费系统中删除记录等。从历史上看,检测一直依赖于对计费应用程序及其他应用程序的访问进行监控,但是收购引发了新的复杂性。比如说,手机公司收购了采用不同计费系统的有线电视运营商。在此种情况下,在拥有独立访问控制机制的应用中监控运营商的活动将变得更加困难。收购之后缓慢的技术整合过程也可能会导致中断的用户对敏感数据的持续网络访问。
趋势4:数据保留和监管失察
电信行业正在获取更多的人口统计和交易数据,以便了解客户的使用偏好,执行有针对性的向上销售营销方案。这些信息除了提供有价值的消费者感受之外,还使电信行业成为进行身份盗窃的诱人目标。同时,它还迫使电信行业遵守行业强制命令(如 PCI 及其他隐私权法)。
反恐是电信行业中长期保留数据的另一个驱动因素。通过对 2004 年马德里列车爆炸案和 2005 年伦敦地铁爆炸案进行调查,官方强调了呼叫数据记录的重要性,而这促成了欧盟数据保留指令(EU Data Retention Directive)的颁布。类似的立法活动也正在世界其他地区进行。电信行业需要一种解决方案,该解决方案不仅需要有效存储、查询大量通话详细记录(CDR)和互联网流量,同时还需要能够防止对相关信息进行未经授权的访问。多数电信企业均为大型公共实体,它们已经受《萨班斯 — 奥克斯利法案》(Sarbanes Oxley)、《巴塞尔协议 II》(BASEL II)或其他国家/地区的类似法规的约束。这些新的隐私权法和反恐法进一步加剧了多数电信企业的现有负担。
趋势5:业务流程外包
随着电信行业持续私有化,企业利润持续下降,全球竞争也日益加剧。同时,在任何经济衰退期间,全球范围内的电信企业均会严重受挫,因为消费者会选择回避费用昂贵的附加服务。这一运营成本压力已迫使电信企业将客户服务、后台操作、人力资源及并非核心竞争力的其他职能外包。除了预期的成本效益之外,业务流程外包已造成更多形式的电信欺诈和数据泄漏出现。
具体而言,两个原因导致外包客户服务中心成为电信欺诈常见的目标。首先,电信企业在其销售和服务数据库中集中了大量敏感客户信息(财务和人口统计信息)。这就使得呼叫中心成为了数据泄漏的首要目标。其次,呼叫中心的员工通常很年轻,经验不足,待遇低,因此其流动率较高。有犯罪组织团伙通常将自己的人员安插在呼叫中心,贿赂员工泄露客户数据,或在执行欺诈的过程中相互勾结。
趋势 6:托管安全服务
具有讽刺意味的是,托管安全服务在增加了网络威胁的同时,也为电信企业创造了收入的机遇。2007 年度《IBM 运营商服务安全状态》(IBM State of Security in Carrier Service Delivery)报告显示,80% 以上的电信企业相信,到 2012 年,云计算托管安全服务将成为主要的收入来源(见图 3)。虽然其看似矛盾,但这一趋势是合理的。不同行业的企业正在面临着日益严重的网络犯罪威胁,这些企业将会发现,构建和维护用来保护自身的安全专业技术变得越来越困难。影响企业的外部威胁将会遍及由服务供应商所拥有和托管的核心网络。
▲图3:研究表明:超过80%的电信企业相信,到2012年,云计算托管安全服务将成为主要的收入来源(信息来源:2007年度《IBM运营商服务安全状态》(IBM State of Security in Carrier Service Delivery)报告)。
现在我们来考虑一下服务供应商面对的状况。电信企业在其下一代高带宽网络中将会拥有显著提高的容量。与此同时,他们也需要构建用于托管和保护这些网络的安全专业技术。因此,电信企业非常适于检测和应对针对其业务客户的网络威胁。
但是,电信企业在成功启动托管安全服务方面,面临着两个障碍。第一,他们必须拥有保护其自身数据和网络的良好记录。第二,企业面临着日益增加的内部威胁,但是电信企业通常无权访问内部网络。能够成功建立信任并为客户的内部和外部网络提供安全管理服务的电信企业,将具有明显的竞争优势。
自动化监控需求
在欺诈已成为收入流失巨大根源的电信行业中,技术与业务趋势只会增加欺诈与数据泄漏风险。为了应对这一情况,电信企业当前选择将许多技术拼凑在一起来提供保护,包括防火墙、IDS、IPS、数据泄漏预防(Data Leak Prevention, DLP)、收入保障、身份管理和专用电信欺诈软件等。虽然这些投资会在特定应用程序或部分电信基础设施内提供本地保护,但是它们不会提供所需的企业范围的可见性来检测当前复杂形式的欺诈和数据泄漏。此外,每项单点解决方案的投资也会增加学习和管理新界面的负担。
例如,大多数专门的电信欺诈解决方案监控个人帐户层面的计费和使用数据,以从中发现异常情况,如通话时间过长或电话通话次数过多等。从事订阅或高资费服务(PRS)欺诈的有组织罪犯只是简单地转变为高规模、低数量战略,就消除了此解决方案的作用。高规模、低数量战略是指使用几个窃取的身份,同时保持每个帐户都保持在触发欺诈的条件以下。遗憾的是,电信企业无法通过简单地降低阈值来进行应对,因为这将会产生较高的误判率。有效的欺诈检测需要能够监控不同帐户的服务使用活动,以发现可能代表欺诈的模式。
为了取得亟需的网络范围可见性,电信企业必须能够自动地持续监控所有内部用户、客户、经销商/分销商及基础设施(包括桌面、服务器、数据库、网络和安全设备,以及计费和服务应用程序)的活动,并进行关联。
日志与监控
很多电信企业没有认识到的是,他们实际上已经拥有必要的信息,可用于及时检测欺诈和数据泄漏,并经济高效地满足法规要求。在一天中的所有时刻,终端设备、服务器、网络设备、安全设备和电信应用程序均会以日志的形式留下活动踪迹。例如,通过日志,电信企业可以跟踪到所有基于 IP 的通信、应用程序访问、设备配置更改、客户数据库查询、通话记录及其他客户或员工活动。通过对日志进行合并和分析,电信企业将能够有效、持续地检测欺诈、数据泄漏和违反合规性的情况。
然而,每日跟踪所生成的数百万日志事件是一项艰巨的挑战。由于法规要求对服务使用活动(CDR 和互联网流量元数据)进行储存,电信行业的日志量尤其庞大。此外,每个设备或应用程序供应商记录数据的格式不同,从而使监控不同日志源的工作更为困难。
安全信息和事件管理(SIEM)解决方案提供了多种功能来应对这些挑战,包括用于从大量来源收集日志的预建适配器;高效的集中式日志存储和保留;以及最重要的、强大且可扩展的日志分析能力。尽管如此,大多数商业 SIEM 解决方案仍缺乏用于满足电信行业特有的监控需求的功能。图4列出了用于评估 SIEM 解决方案的重要要求。
▲图 4:遵循此 SIEM 解决方案评估清单,可帮助确保全面满足电信企业的特有需求。
ArcSight SIEM 平台
▲图5:ArcSight SIEM平台
ArcSight SIEM 平台是一套集成的产品,用于收集、分析和管理企业事件信息。ArcSight 技术广泛用于包括电信在内的多种行业,用于管理和监控安全性、业务风险与合规性。该平台包括用于数据捕获、日志管理、事件关联和自动化响应的产品,以及用于监控合规性控制、用户和应用程序的内容模块。
数据捕获
对于企业范围的可见性,ArcSight Connector 支持从超过 275 个来源中进行即时事件日志收集,包括桌面、服务器、数据库、安全与网络设备、身份管理系统和商业应用程序等。Arcsight Connector 也可以轻松将收集范围扩展到专用计费、采购、收入保障及电信行业使用的其他应用程序。
除了进行集中式部署外,Connector 还可被部署于零售点和分支机构中的终端设备附近,以便安全地收集敏感记录(CDR、互联网通信、存储事务日志等)。ArcSight Connector 可将大量加密格式的日志转换为单一普通分类,以简化分析。
日志管理
电信行业中对数据保留的要求极具挑战性,它不仅要求捕获基础设施层日志,还要求捕获大量服务使用日志,以便进行欺诈检测并满足反恐立法规定。ArcSight Logger 通过支持同步收集、高效存储和快速分析大量日志,有效解决了这一问题。分层部署和分布式分析能够满足全球电信企业的需求。此外,ArcSight Logger 还提供了基于 SAN 的模式,能够支持电信企业将其现有的存储区域网络作为主要的数据存储区。
事件关联
ArcSight ESM 是市场领先的实时关联引擎,可对事件数据进行高级分析,以检测和响应网络安全威胁、欺诈和违反合规性情况(当其发生时)。ArcSight ESM 采用多种复杂的分析方法,以筛选数百万事件,从中找到真正具有业务影响的事件。这些方法包括:
• 背景关联:ArcSight ESM 能够将实时活动与其强大的资产与用户模式中的信息相结合,以减少误报并发现代表了某种威胁的相关活动。例如,当其他条件适用时(比如,用户为承包商,访问直接进行(与通过应用程序相对),且数据库存储着敏感客户信息),一条仅代表数据库访问的日志将会转换为高优先级的警报。
• 模式发现:多数电信欺诈解决方案限于在单个帐户级别上和给定应用程序内制定使用简档,这会限制通过多个帐户执行的少量欺诈行为的可见性。ArcSight ESM 采用模式发现算法,能够发现所有客户帐户、应用程序和基础设施中的欺诈行为与其他可疑模式。
• 身份映射:由于无法通过主机、应用程序及其他基础设施中的凭据追溯至单个用户,许多形式的电信欺诈和数据泄漏均处于未被发现状态。ArcSight ESM 能够在应用程序、基础设施甚至物理来源(如徽章 ID)中将身份映射至单个用户,有效克服了此限制。
• 动态跟踪与上报:网络罪犯通常有意进行少量的欺诈行为,以避免在收入保障及其他电信欺诈工具中触发警报。ArcSight ESM 使用动态监控列表,可发现持续平稳发生的攻击,而不会产生在专用欺诈工具中由于降低阈值而引起的大量误报情况。
控制监控
ArcSight Compliance Insight Package 能够支持电信企业通过使用基于诸如 ISO 27002 等非常好的实践构建的预建内容,自动制定法规合规性审计要求。ArcSight 合规性解决方案包括用于检测违规情况的实时规则(在发生时)、历史记录报告和用于可视化合规性状态的仪表板(见图 6)。此外,针对影响电信行业的重要法规,如《萨班斯 — 奥克斯利法案》(Sarbanes Oxley)和 PCI 等,还有专用的解决方案可用。
▲图6:此处显示的是由ArcSight Compliance Insight Package针对《萨班斯—奥克斯利法案》(Sarbanes-Oxley)而生成的报告示例。
自动化响应
当发现数据泄漏、欺诈或违反合规性事件时,电信企业可能会失去可以用来找出如何及在何处抵御攻击的宝贵时间。ArcSight Threat Response Manager(TRM)可确定需要采取的非常好的措施,并在整个执行过程中对响应团队给予指导,甚至可使相应流程实现自动化。例如,它可确定要禁用 Active Directory 中的哪个帐户以应对内部威胁,或确定要禁用哪个端口及在哪里禁用端口,响应正在进行的移动 DDoS 攻击。
使用案例
上文中介绍的 Arcsight 平台的功能有与电信企业相关的广泛的使用案例。事实上,全球各类规模的电信企业均采用 ArcSight SIEM 平台来满足法规审计要求、监控其网络以防内部和外部威胁,并提供其托管安全服务。下面总结了由 ArcSight 平台专门针对电信行业实现的重要使用案例:
• 合规性监控
电信服务供应商受大量跨国法规(如 PCI、《萨班斯 — 奥克斯利法案》(SOX)和《巴塞尔协议 II》)(BASEL II)、很多全国性及地方性隐私权法规约束。ArcSight 平台可降低合规性运营成本,自动制定不同法规的审计报告要求,并进行主动监控以发现违规情况。
• 应用程序欺诈监控
计费、供应、客户服务及其他应用程序是可用来检测外部欺诈的非常好的信息源。它们也是操作员、主管 IT 的管理员、承包商和合作伙伴进行内部欺诈的日益重要的目标。ArcSight 平台能够监控所有应用程序访问活动及使用日志,以检测滥用、欺诈和数据泄漏情况。
• 敏感数据保护
电信企业存储着各种形式的敏感数据,其中包括通话记录、客户人口统计和财务信息、产品或服务计划及内部财务数据。ArcSight 平台能够监控针对此类敏感数据的所有直接访问或基于应用程序的访问,以检测潜在泄漏情况。
• 多渠道监控
服务和计费选项通过呼叫中心、新的在线门户、零售店和经销商合作伙伴来提供。ArcSight 平台能够监控这些通道的活动,以发现欺诈的潜在标志(如使用同一张信用卡通过不同渠道开立的单独帐户)。
• CDR 保留和取证
现在,受反恐立法的影响(如《欧盟数据保留指令》(EU Data Retention Directive)),很多地区的电信企业均需要延长服务使用数据的保留期。ArcSight 高性能日志管理设备拥有出色的数据收集、存储和取证分析性能,能够经济高效地实现合规性。
• 特权用户监控
任何电信服务供应商均拥有担当大量不同角色的用户(服务操作员、计费坐席、IT 管理员、数据库经理、专业承包商、合作伙伴/经销商/分销商),每种角色均具有多个身份,在不同应用程序中拥有不同的访问级别。ArcSight 平台能够跟踪用户不同凭据的活动,并基于角色和权限的相关信息来检测未经授权的访问。
• SLA 监控
迁移至基于IP 的网络会将电信企业暴露给更多的恶意软件和那些可以降低其服务可用性的其他攻击。ArcSight 平台提供的预建内容可分析恶意IP流量模式(蠕虫、DdoS 攻击等)。
• 托管安全服务
电信企业拥有重大机会来为其业务客户管理安全性。电信服务供应商可通过利用 ArcSight SIEM 平台妥善保护自身网络,建立出色的竞争优势和声誉。ArcSight 平台能够在规模上、多租户和集中管理客户方面对托管服务进行有效优化。
总结
移动设备对更多的宽带服务和技术融合的需求在电信行业中引发了一场革命。私有化和市场饱和也加剧了竞争,并推动了行业整合。同时,源自大量生产成本的利润压力促使企业将更多业务流程外包。随着电信企业从注重普及率到注重向上销售业务战略的转变,捕获和分析客户信息的重要性也显著提高。最后,电信企业在满足业务客户日益增长的托管安全服务方面,处于一个得天独厚的地位。这些趋势使电信行业能够保持可持续增长,并在全球高科技舞台上占据重要的一席之地。
然而,这些趋势也大大增加了电信行业中网络威胁、数据泄漏和欺诈的风险。有效应对新的挑战需要对网络上所有活动具有可见性。单点技术投资虽然颇具价值,但无法提供电信企业亟需的可见性。正如本白皮书所述,解决方案需要能够对所有用户、系统和应用程序活动进行持续、自动化的监控。
ArcSight 提供了一款可扩展、侵入程度最低的日志分析平台,能够出色地解决电信行业中特有的很多监控挑战。电信企业如果能够满足新消费者和业务服务的需求,并规避网络安全威胁的相关风险,将可以建立更加强大的品牌,形成更加出色的竞争优势。全球范围内的电信企业正在使用 ArcSight 平台实现这一平衡,并提供安全的下一代服务。