保护企业数据安全的非常好的模型
近些年来,随着企业与供应商、客户和业务合作伙伴的联系日益紧密,网络边界逐渐消失,外部威胁和内部威胁的区别日渐模糊。与此同时,企业开始关注由内部系统以及防火墙之外的IT设备所产生的网络活动。僵尸网络、病毒、键盘记录器和其它恶意软件给企业运营带来越来越大的威胁。
王禄耀谈到,企业需要可以主动识别并管理风险的解决方案,无论数据和流程位于何处。跨技术层的安全信息需要被有效关联、分析和汇总,以提供一个基于风险的视图来协助决策制定。
随着时间的推移,大多数企业将实施各种安全单点解决方案,例如应对网络攻击的防火墙、防止结构化数据丢失的数据库加密和审计。尽管这些安全点解决方案可以极大地帮助企业保护其数据和IT环境的机密性、完整性和可用性,但是在这些不同的、非集成的单点解决方案之间依然存在许多安全漏洞。此外,这些传统的安全解决方案大多数与IT运营结合并不紧密,因此不支持IT环境中安全攻击和IT中断的无缝感知。
“企业需要考虑如何将这些非集成层结合起来,同时把其安全保护与IT运营连接起来以实现企业范围内的‘态势感知’。”王禄耀在描述企业数据安全的非常好的模型时这样说。
这正是采用强大SIEM技术的SIRM (安全智能与风险管理)平台独特的用武之处,它能够实现跨层间安全集成并将安全性融入IT运营中。这是通过跨越各安全点解决方案层所覆盖的领域以及IT运营而做到的——通过监控和分析来自安全和非安全设备断面(cross section)的活动日志。
例如,当分析来自各种安全和运营工具的事件日志时,一项有效的SIEM工具应该能够检测以下内容:
a) 通过分析网络流量:检测异常繁忙的网络流量;
b) 通过分析电子邮件流量:检测单台计算机外发数百个异常不相关的电子邮件域的情况
c) 通过分析防火墙日志:检测外部连接至列入黑名单的IP地址的计算机
接着,SIEM工具应能够将这些不同事件作为一次可能的木马侵袭关联起来,并即刻做出防御反应以阻止计算机进一步连接至网络上其它节点,同时提醒网络或安全管理员立即展开调查。以层为中心的安全管理方法很难(如果仍可能做到的话)实现这种级别的态势感知并进行及时补救。