隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展，企業(yè)IT環(huán)境正面臨著前所未有的挑戰(zhàn)。新技術(shù)的應(yīng)用在為企業(yè)帶來新的商業(yè)模式和新的發(fā)展契機(jī)的同時(shí)，也給企業(yè)的IT管理帶來了全新的挑戰(zhàn)。新的安全風(fēng)險(xiǎn)、從未遇到過的業(yè)務(wù)系統(tǒng)問題、網(wǎng)絡(luò)問題成了令I(lǐng)T管理人員頭疼的話題。如果應(yīng)對這些新環(huán)境下的IT風(fēng)險(xiǎn)，讓IT繼續(xù)為企業(yè)業(yè)務(wù)發(fā)展助力，就這個(gè)話題，我們采訪了惠普亞太及日本地區(qū)企業(yè)安全區(qū)域市場總監(jiān)王祿耀先生。

企業(yè)IT風(fēng)險(xiǎn)的變化

“在過去的幾年里企業(yè)面臨的安全風(fēng)險(xiǎn)日益嚴(yán)峻，從很大程度上來說，這是因?yàn)楫?dāng)今的網(wǎng)絡(luò)犯罪與以往比發(fā)生了很大的變化。今天的攻擊主要是由一些高智商人員發(fā)起，他們通過復(fù)雜的技術(shù)來攻擊具有較高價(jià)值的特定目標(biāo)。這已不再是之前的無差別攻擊——當(dāng)人們無意下載了帶有木馬的賀卡才會受到攻擊。”在談到當(dāng)前IT風(fēng)險(xiǎn)的變化時(shí)，王祿耀這樣談到。

相對于這些安全風(fēng)險(xiǎn)的變化，今天的防御措施也需與以往不同。舉例來說，防毒簽名(anti-virus signature) 在今天的環(huán)境中不像原來一樣奏效了。要么是攻擊方式變化太快無法生成簽名，要么就是攻擊展開太慢無法檢測。而且，即使簽名可用，無邊界網(wǎng)絡(luò)的普及也意味著你幾乎沒阻礙去應(yīng)用簽名。

并且漏洞類型也不同了;先前被認(rèn)為處于“內(nèi)部”并享受保護(hù)的系統(tǒng)現(xiàn)在則處于無監(jiān)控狀態(tài)，暴露在攻擊之下。特權(quán)用戶對于這些系統(tǒng)具有訪問權(quán)限，并游離在監(jiān)控之外，致使訪問權(quán)限的易主也無處檢測。

上述內(nèi)容可歸結(jié)為以下三點(diǎn)：

企業(yè)面臨比以往更高的風(fēng)險(xiǎn);

曾經(jīng)使用的安全戰(zhàn)略和戰(zhàn)術(shù)現(xiàn)已無法有效防御攻擊;

因此企業(yè)需要從根本上改變，通過對企業(yè)IT環(huán)境中的人以及自動(dòng)化活動(dòng)和互動(dòng)的高級關(guān)聯(lián)來實(shí)現(xiàn)一種持續(xù)、一致的態(tài)勢感知能力;而且，一旦發(fā)現(xiàn)潛在的惡意攻擊，能夠做出及時(shí)、有效的補(bǔ)救。

云計(jì)算、移動(dòng)互聯(lián)網(wǎng)對企業(yè)IT的影響

云和移動(dòng)計(jì)算使計(jì)算“表面積”呈指數(shù)級增長，導(dǎo)致兩個(gè)方向的影響：一是企業(yè)維持IT環(huán)境中態(tài)勢感知的復(fù)雜性增加，從而使您無法保護(hù)您看不到的地方;二是網(wǎng)絡(luò)罪犯有更多機(jī)會盜取用戶數(shù)據(jù)和信息。

舉個(gè)例子：以前，員工在單層IT平臺上工作，即公司網(wǎng)絡(luò)?，F(xiàn)在，員工可以在多個(gè)平臺上工作，例如傳統(tǒng)的公司網(wǎng)絡(luò)、內(nèi)部/外部云域、以及非企業(yè)標(biāo)準(zhǔn)操作環(huán)境的私有移動(dòng)設(shè)備。據(jù)3M委托進(jìn)行的《2010年可視數(shù)據(jù)泄漏風(fēng)險(xiǎn)評估研究》報(bào)告指出，70%的公司仍然沒有制定明確的政策約束員工在公共場所工作時(shí)使用不同設(shè)備連接網(wǎng)絡(luò)。

隨著用戶跨平臺的切換和移動(dòng)行為的增加，倘若沒有正確的工具，企業(yè)很難對其進(jìn)行追蹤。由于越來越多的人在這些新環(huán)境中工作和訪問信息，現(xiàn)有漏洞危險(xiǎn)的級別將增加，并且還將出現(xiàn)新的漏洞。網(wǎng)絡(luò)罪犯正在設(shè)法利用這種新增的復(fù)雜性給企業(yè)制造麻煩。

針對IT風(fēng)險(xiǎn)的變化，企業(yè)IT安全管理也需要有相應(yīng)的辦法來應(yīng)對，王祿耀建議說：當(dāng)今，現(xiàn)代化的IT部門支持無邊界企業(yè)，并且積極采用云計(jì)算、組合應(yīng)用和移動(dòng)設(shè)備。傳統(tǒng)的補(bǔ)丁式(bolting-on) 安全技術(shù)方法已不再可行。無論數(shù)據(jù)和進(jìn)程位于何處，企業(yè)需要可以主動(dòng)識別并管理風(fēng)險(xiǎn)的解決方案。

對于IT人員的挑戰(zhàn)，王祿耀表示，現(xiàn)在，首席信息官和IT人員能夠監(jiān)測到企業(yè)員工參與的各項(xiàng)活動(dòng)和他們的客戶進(jìn)行的各種交易或在其網(wǎng)絡(luò)上發(fā)生的各類安全事件。而他們所面臨的真正挑戰(zhàn)是通過將企業(yè)環(huán)境內(nèi)的各種IT活動(dòng)(網(wǎng)絡(luò)/系統(tǒng)登錄/退出、應(yīng)用交易、電子郵件/互聯(lián)網(wǎng)信息交換、文件傳輸?shù)?關(guān)聯(lián)起來(而非孤立看待)以獲得更完整的全局掌握。

保護(hù)企業(yè)數(shù)據(jù)安全的最佳模型

近些年來，隨著企業(yè)與供應(yīng)商、客戶和業(yè)務(wù)合作伙伴的聯(lián)系日益緊密，網(wǎng)絡(luò)邊界逐漸消失，外部威脅和內(nèi)部威脅的區(qū)別日漸模糊。與此同時(shí)，企業(yè)開始關(guān)注由內(nèi)部系統(tǒng)以及防火墻之外的IT設(shè)備所產(chǎn)生的網(wǎng)絡(luò)活動(dòng)。僵尸網(wǎng)絡(luò)、病毒、鍵盤記錄器和其它惡意軟件給企業(yè)運(yùn)營帶來越來越大的威脅。

王祿耀談到，企業(yè)需要可以主動(dòng)識別并管理風(fēng)險(xiǎn)的解決方案，無論數(shù)據(jù)和流程位于何處?？缂夹g(shù)層的安全信息需要被有效關(guān)聯(lián)、分析和匯總，以提供一個(gè)基于風(fēng)險(xiǎn)的視圖來協(xié)助決策制定。

隨著時(shí)間的推移，大多數(shù)企業(yè)將實(shí)施各種安全單點(diǎn)解決方案，例如應(yīng)對網(wǎng)絡(luò)攻擊的防火墻、防止結(jié)構(gòu)化數(shù)據(jù)丟失的數(shù)據(jù)庫加密和審計(jì)。盡管這些安全點(diǎn)解決方案可以極大地幫助企業(yè)保護(hù)其數(shù)據(jù)和IT環(huán)境的機(jī)密性、完整性和可用性，但是在這些不同的、非集成的單點(diǎn)解決方案之間依然存在許多安全漏洞。此外，這些傳統(tǒng)的安全解決方案大多數(shù)與IT運(yùn)營結(jié)合并不緊密，因此不支持IT環(huán)境中安全攻擊和IT中斷的無縫感知。

“企業(yè)需要考慮如何將這些非集成層結(jié)合起來，同時(shí)把其安全保護(hù)與IT運(yùn)營連接起來以實(shí)現(xiàn)企業(yè)范圍內(nèi)的‘態(tài)勢感知’。”王祿耀在描述企業(yè)數(shù)據(jù)安全的最佳模型時(shí)這樣說。

這正是采用強(qiáng)大SIEM技術(shù)的SIRM (安全智能與風(fēng)險(xiǎn)管理)平臺獨(dú)特的用武之處，它能夠?qū)崿F(xiàn)跨層間安全集成并將安全性融入IT運(yùn)營中。這是通過跨越各安全點(diǎn)解決方案層所覆蓋的領(lǐng)域以及IT運(yùn)營而做到的——通過監(jiān)控和分析來自安全和非安全設(shè)備斷面(cross section)的活動(dòng)日志。

例如，當(dāng)分析來自各種安全和運(yùn)營工具的事件日志時(shí)，一項(xiàng)有效的SIEM工具應(yīng)該能夠檢測以下內(nèi)容：

a) 通過分析網(wǎng)絡(luò)流量：檢測異常繁忙的網(wǎng)絡(luò)流量;

b) 通過分析電子郵件流量：檢測單臺計(jì)算機(jī)外發(fā)數(shù)百個(gè)異常不相關(guān)的電子郵件域的情況

c) 通過分析防火墻日志：檢測外部連接至列入黑名單的IP地址的計(jì)算機(jī)

接著，SIEM工具應(yīng)能夠?qū)⑦@些不同事件作為一次可能的木馬侵襲關(guān)聯(lián)起來，并即刻做出防御反應(yīng)以阻止計(jì)算機(jī)進(jìn)一步連接至網(wǎng)絡(luò)上其它節(jié)點(diǎn)，同時(shí)提醒網(wǎng)絡(luò)或安全管理員立即展開調(diào)查。以層為中心的安全管理方法很難(如果仍可能做到的話)實(shí)現(xiàn)這種級別的態(tài)勢感知并進(jìn)行及時(shí)補(bǔ)救。

惠普ArcSight SIEM平臺介紹

HP ArcSight SIEM平臺旨在幫助企業(yè)了解哪些人正在訪問其網(wǎng)絡(luò)以及他們在瀏覽什么信息和用這些信息做什么。借助這種級別的可視性，ArcSight客戶能夠保護(hù)其業(yè)務(wù)并降低運(yùn)營成本。如今，這些產(chǎn)品在世界范圍內(nèi)大量部署，廣泛用于威脅防范和信息保護(hù)。

今天的企業(yè)往往針對各IT層來購買安全解決方案：針對電子郵件流量購買電子郵件安全解決方案，針對瀏覽器流量購買web安全解決方案等。我們堅(jiān)信通過三個(gè)步驟能幫助我們的客戶更好地保護(hù)其業(yè)務(wù)。

首先是將我們合作伙伴出售的不同安全層更好地連接起來。ArcSight可提供跨所有層的監(jiān)控與可視性。其次，即使集成了安全層，它們與IT運(yùn)營也并未自動(dòng)連接。這樣，當(dāng)IT人員發(fā)現(xiàn)某個(gè)關(guān)鍵應(yīng)用運(yùn)行緩慢時(shí)，無從知道是由于負(fù)載過重、老化的硬盤，還是受僵尸網(wǎng)絡(luò)攻擊所致。通過將安全層與IT信息相連接，我們能夠提供全面的視圖。ArcSight在日志管理方面處于領(lǐng)先地位，而惠普在系統(tǒng)事件管理方面占據(jù)優(yōu)勢。因此，我們將對兩者優(yōu)勢進(jìn)行整合。

在將前兩步連接起來之后，就可以開始分析數(shù)據(jù)并將其整合到業(yè)務(wù)流程級別，從而實(shí)現(xiàn)更好的風(fēng)險(xiǎn)管理。因此，借助ArcSight統(tǒng)一日志管理和關(guān)聯(lián)功能，您就可以執(zhí)行更高級別的業(yè)務(wù)風(fēng)險(xiǎn)分析，我們相信這也是客戶所需要的。

最后，談到惠普在應(yīng)對企業(yè)IT風(fēng)險(xiǎn)管理未來發(fā)展時(shí)，王祿耀表示：“我們將進(jìn)一步增強(qiáng)ArcSight解決方案組合以提供更高的效率和效用，幫助我們的客戶在這個(gè)充滿威脅且瞬息萬變的IT環(huán)境中保持安全。同時(shí)，我們在ArcSight解決方案能力與惠普行業(yè)領(lǐng)先的技術(shù)和服務(wù)產(chǎn)品(從打印機(jī)和個(gè)人系統(tǒng)到高端企業(yè)服務(wù)器)的優(yōu)勢整合中看到了無限良機(jī)。”

目前，惠普是系統(tǒng)事件監(jiān)控領(lǐng)域的領(lǐng)導(dǎo)者(即某應(yīng)用運(yùn)行如何，速度是否變慢、是否出現(xiàn)了問題)。通過將ArcSight日志管理與惠普系統(tǒng)事件管理相連接，我們能夠提供一個(gè)更加全面的視圖，以及更好的業(yè)務(wù)運(yùn)營(包括業(yè)務(wù)風(fēng)險(xiǎn))監(jiān)控。

ArcSight將與HP OpenView，即業(yè)務(wù)服務(wù)管理(BSM)、自動(dòng)化(BSA)產(chǎn)品相集成，同時(shí)也將繼續(xù)作為一個(gè)獨(dú)立領(lǐng)先的威脅與風(fēng)險(xiǎn)管理平臺而存在。ArcSight可以從非常廣泛的技術(shù)層面收集信息，擴(kuò)展惠普系統(tǒng)管理可視性的范圍。同時(shí)，通過在BSA和ArcSight之間發(fā)送信息，我們可為客戶提供一個(gè)全面的整體運(yùn)行視圖，包括威脅和風(fēng)險(xiǎn)影響?？紤]到日志和事件管理連接所帶來的巨大價(jià)值，我們也希望將日志管理軟件應(yīng)用于系統(tǒng)管理產(chǎn)品。

除了IT運(yùn)營管理之外，我們還將ArcSight從連接HP Fortify和HP TippingPoint開始連接至其它惠普安全產(chǎn)品——HP Fortify可提供應(yīng)用漏洞信息，ArcSight在其關(guān)聯(lián)規(guī)則中將使用這些信息。HP TippingPoint可提供網(wǎng)絡(luò)入侵信息，在收購之前已與ArcSight相集成。