然而這并非易事，由于安全架構(gòu)正變得更加復(fù)雜，如果只是單個(gè)系統(tǒng)受到感染，那么管理員跟蹤追查其根本原因?qū)⑹且环N“奢侈“的舉措，幾乎沒(méi)有哪個(gè)企業(yè)能夠承擔(dān)或者愿意承擔(dān)這樣的”奢侈“舉措。然而，受到感染或遭到破壞的系統(tǒng)可能只是冰山一角，它意味著您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施即將觸礁。

外患不止，內(nèi)憂再起。在面臨更多來(lái)自企業(yè)外部的攻擊的同時(shí)，來(lái)自企業(yè)內(nèi)部的威脅也日益增加，企業(yè)內(nèi)外網(wǎng)邊界更模糊。一方面是內(nèi)部人員的操作失誤帶來(lái)的信息安全威脅。另一方面是內(nèi)部人員操作權(quán)限控制不當(dāng)造成的訪問(wèn)控制邊界違規(guī)、賬號(hào)濫用等，這些都是潛在的威脅。

因此，如何全面、及時(shí)地發(fā)現(xiàn)、識(shí)別、分析、處理信息安全事件,通過(guò)大量 采集和分析不同的網(wǎng)絡(luò)數(shù)據(jù),并進(jìn)行聯(lián)動(dòng)性比較分析，并且準(zhǔn)確的發(fā)現(xiàn)內(nèi)部人員的不合規(guī)操作，分析潛在的信息安全風(fēng)險(xiǎn)，是企業(yè)信息安全管理的一大挑戰(zhàn)?？梢哉f(shuō)，企業(yè)需要一雙可觀全局的“鷹眼”。

“鷹眼”系統(tǒng)，及時(shí)發(fā)現(xiàn)潛在問(wèn)題

在第二屆中國(guó)信息安全用戶大會(huì)上，代表 太平洋保險(xiǎn)選送的“鷹眼”大數(shù)據(jù)信息安全管控平臺(tái)——“保險(xiǎn)行業(yè)風(fēng)險(xiǎn)及威脅的閉環(huán)管理 系統(tǒng)”榮獲了“第二屆智慧城市信息安全保障優(yōu)秀案例”獎(jiǎng)，這引起了記者的關(guān)注。在后續(xù)的采訪中，太平洋保險(xiǎn)（集團(tuán)）股份有限公司信息安全與內(nèi)控管理安全專家張軍介紹道, 借助 Intel Security 提供的 SIEM 解決方案，太平洋保險(xiǎn)的“鷹眼系統(tǒng)”主要包括日志收集平臺(tái)、安全事件集中監(jiān)控平臺(tái)、安全事件關(guān)聯(lián)分析平臺(tái)、 權(quán)限管理平臺(tái)等多個(gè)平臺(tái)的搭建來(lái)聯(lián)合實(shí)施。

該平臺(tái)的實(shí)施，主要通過(guò)對(duì)外部攻擊、內(nèi)部合規(guī)等事件的集中監(jiān)控，利用關(guān)聯(lián)、基線等分析技術(shù)，形成安全威脅的主動(dòng)發(fā)現(xiàn)、安全風(fēng)險(xiǎn)的及時(shí)感知與精準(zhǔn)定位，實(shí)現(xiàn)信息安全事件的可知可防可控。另外，該平臺(tái)以安全事件的集中監(jiān)控與關(guān)聯(lián)分析，解決了碎片化監(jiān)管被動(dòng)、低效等問(wèn)題，提升安全事件發(fā)現(xiàn)與防范的主動(dòng)性與智能性。

如今,太平洋保險(xiǎn)公司 IT 人員可以很輕松借助安全威脅模型,例如訪問(wèn)控制邊界違規(guī)、 賬號(hào)濫用、僵尸網(wǎng)絡(luò)、暴力破解入侵及漏洞攻擊檢測(cè)等等,把孤立、海量、多樣的事件信息進(jìn)行關(guān)聯(lián)自動(dòng)化分析,可及時(shí)有效地發(fā)現(xiàn)潛在的問(wèn)題。

源自Intel Security的力量

“公司之前曾采用過(guò)別的安全產(chǎn)品, 希望通過(guò)對(duì)于不同管理信息的分析,進(jìn)行安全風(fēng)險(xiǎn)的預(yù)判和重構(gòu)，但該安全產(chǎn)品的實(shí)際表現(xiàn)卻差強(qiáng)人意,而且無(wú)法有效支持國(guó)產(chǎn)設(shè)備,這讓太平洋保險(xiǎn) IT 人員們有些失望,而且增加了公司面臨的安全風(fēng)險(xiǎn)。” 信息安全與內(nèi)控管理部總經(jīng)理李麗紅這樣談到時(shí)，記者并沒(méi)有感到意外，因?yàn)?，該系統(tǒng)僅是日志源就已經(jīng)達(dá)到了近 6000 個(gè),收集范圍覆蓋太平洋保險(xiǎn)集團(tuán)某數(shù)據(jù)中心 6 大類 32 種設(shè)備類型,每天收集的日志數(shù)量均在 15 億條左右。這樣龐大的數(shù)據(jù)量，傳統(tǒng)的SIEM產(chǎn)品是很難完成的。

因?yàn)閭鹘y(tǒng)SIEM產(chǎn)品構(gòu)建于數(shù)據(jù)庫(kù)和架構(gòu)基礎(chǔ)之上，并且這些數(shù)據(jù)庫(kù)和架構(gòu)在處理大量事件、歷史記錄數(shù)據(jù)和關(guān)系數(shù)據(jù)擴(kuò)展的能力方面存在固有的局限性。另外，傳統(tǒng)SIEM產(chǎn)品的分析能力也有所欠缺。許多企業(yè)不得不關(guān)閉重要但非主要的分析功能，然后再耗費(fèi)數(shù)小時(shí)的等待才能生成一份報(bào)告，這讓企業(yè)很難接受。

而從太平洋保險(xiǎn)“鷹眼系統(tǒng)”上線后的表現(xiàn)來(lái)看，不得不承認(rèn)Intel Security SIEM解決方案的能力所在。張軍介紹道，“目前,我們利用該平臺(tái)完成 58 條定制規(guī)則開(kāi)發(fā)、18 張合規(guī)報(bào)表的開(kāi)發(fā)調(diào)優(yōu),將孤立、海量、多樣的事件信息進(jìn)行關(guān)聯(lián)自動(dòng)化分析,從每天 10 多 億的安全日志中分析產(chǎn)生 5000 次左右威脅告”。 

值得一提的是,SIEM還 預(yù)先內(nèi)置了 190 種左右的關(guān)聯(lián)規(guī)則在硬件里面,使太平洋保險(xiǎn)的 IT 人員可以輕松操作和使用,這是業(yè)內(nèi)產(chǎn)品中獨(dú)一無(wú)二的。另外,和Intel Security的其他產(chǎn)品一樣,SIEM 同樣可與ePO 集成,實(shí)現(xiàn)專業(yè)而統(tǒng)一的管理。當(dāng)然，Intel Security SIEM也可以把純IT的語(yǔ)言，翻譯成業(yè)務(wù)的語(yǔ)言，這也是SIEM的另一個(gè)強(qiáng)勢(shì)所在。

正是借助 Intel Security 的 SIEM 強(qiáng)大的安全風(fēng)險(xiǎn)分析能力,太平洋保險(xiǎn)擁有了“一雙鷹眼”，輕松地把各種看似沒(méi)有關(guān)聯(lián)的各種事件源數(shù)據(jù),進(jìn)行海量數(shù)據(jù)的集中監(jiān)控、智能 分析,并能敏銳地感知到可能會(huì)發(fā)生的安全風(fēng)險(xiǎn),讓攻擊者無(wú)處可逃，讓安全隱患化為烏有。