安全信息治理企业信息治理解决方案
点击下载
第一部分:掌控安全治理
在2001年,几乎每个企业都受到了安全攻击的影响。虽然大多数安全攻击
– 约占90% – 要么是拒绝服务(DoS)要么是病毒攻击,但据《信息周刊》(InformationWeek)称(4/01),在全美国,治理攻击和安全基础设施的总成本已增加到大约$2660亿美元。构成这一成本的大部分在于检测安全事件和修复这些事件所造成的破坏所涉及的人力开支。
另据《信息周刊》(InformationWeek)介绍,目前,安全攻击的数量持续增加
– 比去年至少增多了15%。此外,目前大多数攻击都是兼备了红色代码(Code Red)和尼姆达(Nimda)等一系列不同攻击机制的更复杂的“混合型”攻击。即使如此,大多数企业的最大担忧并不在于被《今日美国》(USA
Today)头版称为“又一个安全攻击的牺牲者”所带来的困扰,而是在于安全事件检测和补救所导致的底线成本。企业必须能从上到下妥善治理好各项安全成本 – 非凡是与人力相关的成本。
为了抵御目前复杂的安全威胁,多数《财富》(Fortune)
1000 强企业为此而付出的年均成本高达五百万至一千万美元。多数企业都是通过投资购置防病毒软件、防火墙、公钥基础设施(PKI)以及入侵检测系统(IDS)而进行外围防护的。这些设备的数量每年都会大幅增加。例如,美国东北部某大型托管安全服务供给商(MSSP)就是由一个12人安全运行团队来治理整个企业中的450多台安全设备的
– 即每人负责监控约35台设备。到明年,这家MSSP的在用设备数量将超过550台 – 也就是每人需要照管超过45台设备!为适应安全设备基础设施的增长,该公司计划再增加至少五名安全专业人员,预期每年成本会超过$550,000美元。
外围防御战略的最显著特征之一就在于安全基础设施中每台设备会产生极大量的事件数据。在一个一般的企业中,一台设备每一天都会产生多达十亿字节的告警信息。同样,一个IDS检测器每一天也可产生500,000多条消息。这就表明了安全治理的一个首要问题:安全设备所产生的数据量实在太多,导致安全团队无法有效监控
– 更不要说关联了。
利用传统的安全分析方法,安全操作员可监控整个企业中的活动来揭示网络攻击或漏洞。他们必须以手工方式来处理每台安全设备中所包含的极大量信息才能创建关于正在发生事件的全面视图。以这种过时和无效的方法为基础建立法律分析系统的过程既耗费时间又代价高昂,而且还会占用本可用于其他更有价值的运营和/或安全活动的专家资源。此外,传统的安全数据分析方法需要若干天或若干周来执行。
到分析结束时,网络也许已经遭到了若干次攻击,并可因数据盗窃、客户和合作伙伴失去服务或机构生产效率降低等而导致重大损失。
鉴于这一现实,以技术为基础的实时安全数据监控和关联系统也就应运而生。这些新的系统能检测出所发生(甚至发生前)的网络攻击或漏洞。被业内一般称为安全信息治理(SIMS)解决方案的这些技术系统正作为负责确保企业系统安全性的首席安全官(CSO)、首席信息官(CIO)以及其他IT专业人员的成本效益更好的强大资产而纷纷涌现出来。
什么是安全信息治理(SIMS)?
SIMS提供了一种简单机制,可使安全团队收集和分析极大量的安全告警数据。更具体地说,SIMS解决方案可实时地收集、分析和关联整个企业中的所有安全设备信息。作为直观图形用户界面的一部分,中心实时控制台随后可显示关联结果。
SIMS可分为四个不同阶段:
1) 规范化是这样一个过程,即收集每台安全设备的数据,将这一数据放入更轻易理解的背景中,并将关于相同安全事件的不同消息映射为一个通用警报ID。请注重,安全设备行业中尚无任何标准,因此规范化本身就是安全团队的重要资产。
2) 汇聚阶段可从安全事件数据流中消除多余或重复的事件数据,并细化和优化呈现给安全分析员的信息数量。
3) 关联阶段是采用软件技术来实时分析所汇聚的数据以确定具体模式是否存在。相似安全事件的这些模式一般对应于具体安全攻击 – 无论是拒绝服务还是防病毒或其他一些形式的攻击。
4) 可视化是SIMS的最后一步,它系指在一个实时控制台中以图形方式来呈现所关联的信息。行之有效的可视化可使安全操作员在安全事件发生时并在其对企业造成影响之前迅速地加以识别和响应。
SIMS系统可利用规范化、汇聚和关联等技术实时筛选和分析极大量的安全活动数据
– 对各类事件进行关联,标记并评估所有攻击、影响和漏洞的潜在严重性。SIMS技术的强大威力在于,它可使人数相对较少的安全团队极大缩短攻击与响应之间的时间。
SIMS可通过以下功能提高您的团队的能力…
> 淘汰手工设备监控
> 实时和自动地对各类安全告警进行关联
> 从一个控制台实时解决安全事件
结果…
> 能利用您现有人员妥善监控更多的设备和告警
> 可为您的企业提供更好的安全保护
> 可降低您的安全总拥有成本(TCO)
“假如在攻击发生三十天得到全部回答,那么您很轻易就能成为安全专家。但到那时机构就已经损失了宝贵的时间和金钱。”
某《财富》(Fortune) 500 强制药企业首席安全官
实施了SIMS解决方案的企业可以采取企业全盘方法来监控安全网络,因为其安全操作员和分析员能实时地、逐一地观察和分析威胁可能性。
为什么该选择SIMS?
多数安全团队都无法处理他们所必须监控和关联的那么大量的数据。他们至多只能对企业安全设备所不断产生的大量数据进行24x7监控而已。我们可以想象自己在遍布冰山的汪洋中航行,虽然只能看见每个冰山的一角,却还必须尽可能避免发生重大事故。同理,安全团队也无法消化潜伏在表面之下的所有数据,原因很简单,即它缺乏必要的能力。
技术可以帮助我们减轻监控安全基础设施所需要承担的手工工作量。通过实现自动化的智能化诊断、分析和响应模板
– 可由IT治理人员针对各种不同风险情况进行选择和定制 – SIMS解决方案可极大加快机构面对IT危机时的响应和恢复速度,同时还能有效地使人员编制保持较低水平。总拥有成本(TCO)可以得到降低,因为安全团队的规模可以保持稳定,而且安全操作人员可以关注于安全事件而非每个设备日志或消息。
看待这一问题的另一角度是通过理解“资源缺口”。利用前面举出的MSSP例子,我们可以很轻易地理解为什么说监控和分析安全数据的工作是相当困难的。假如没有足够的人力,那么我们几乎不可能有效地监控和治理当今外围设备所产生的极大量安全数据。该MSSP供给商熟悉到了这一点,因此就计划要聘请更多人员来帮助处理这一问题。
现有可用于安全治理的资源与实际需要的资源之间的差距就是我们所说的“资源缺口”。在我们的例子中,该MSSP的估算是资源缺口大约为五人,尽管目前的大多数分析员都估计缺口应为接近12人。假如在企业中再添加100台设备,那么该MSSP的资源短缺情况就会更加严重。
显然,假如我们要有效地解决这一资源缺口问题,那么聘请更多的安全操作员就不是办法。相反,我们必须借助技术
– 在本例中就是要采用SIMS。利用SIMS,这一资源缺口就能得到基本消除,因为安全操作员和分析员每人都能监控和分析几百台设备所产生的数据 – 而不是行业专家和分析员所估计的手工进行安全事件监控时每人最多只能治理五至十五台设备的情况。
通过利用SIMS解决方案,企业就能在不扩大现有安全团队规模的情况下扩展其安全设备基础设施。正如前面MSSP例子所表明的,这就相当于企业能节省极大量资金。首先,有了SIMS,企业不需要将现有人员编制增加一倍就能监控现有基础设施中的450台安全设备(每人负责35台设备)。此外,来年聘请更多安全专业人员来处理100台新设备所产生的新增工作量的必要性也减小了。净效果就是第一年可节省超过$150万美元。
第二部分:安全信息治理 – 最大限度降低风险
美国企业永远都不可能实现基础设施的100%安全。理论指出,所有系统的安全都会随时间而降低。对于网络而言,熵的表述就是新攻击的面世以及随着网络
– 乃至网络在其中运行的环境 – 不断改变新漏洞的产生。所以,我们最好将信息安全看成是一个持续过程,即不断减小企业资源的风险,并将风险维持在最高治理层所愿意和能够接受的限度。此外,鉴于风险评估过程必须考虑安全攻击的可能性和结果,所以企业必须有能封闭事故与响应之间的缺口的战略方法。因此,企业必须通过战略方式
– 同时在企业中以及帮助企业治理信息安全威胁的技术合作伙伴中 – 利用、集成和部署安全政策、安全工具和安全智能。
尽管网络的商业价值不断增大而网络遭受攻击的漏洞也不断增加,但企业最高治理层却往往不能对网络安全给予足够的战略上的重视。企业所采用的安全措施也往往是支离破碎和不完整的。
过去几年来,很多企业都实施了防火墙、入侵检测系统(IDS)和其他一些基于基础设施的安全措施,而且以为这些技术可以保护网络的安全。遗憾的是,现实往往与期望不符。
“假如只是做到反应性
— 即仅观察和响应IDS告警 — 那么企业也许就会遗漏通过防火墙而进行的敌意活动的异常数据流模式。前瞻性风险评估可提供企业安全状况的全盘视图。”
netForensics公司首席技术官Kevin Hanrahan
为了最好地保证企业网络得到优化而能避免攻击威胁
– 并快速而决断地对攻击作出响应 – 最高治理层就必须通过建立针对网络性能的业务要求和为机构不同环节定义可接受的风险水平来形成和调整安全政策。
只有最高治理层才能够平衡技术的成本与受攻击威胁的信息资源的价值之间的关系。但是,只要有互联网和内部网的存在,我们就不可能保证企业网络的任何一个环节不会遭到攻击的威胁。
面对不可避免的诸多风险,企业就必须部署SIMS解决方案。当最高主管和治理人员评价其现有网络安全功能时,机构必须能测量和了解企业中任何资产的漏洞。假如没有这种漏洞或风险评估,那么企业就看不见他们所面临的威胁。而SIMS解决方案恰恰能提供企业随时了解其网络基础设施中存在的漏洞所需要的重要的风险测量功能。
风险评估是安全信息治理的要害部分
企业必须采用练习有素的方法来进行风险评估、风险治理和风险消除。
这一过程的第一步是评估企业的可能目标并确定对这些目标的潜在威胁。
然后,治理层必须为可能会成为攻击目标的每个资产都定义一个可接受的风险水平。必须进行测量来确定企业中每个资产的漏洞并进而确定风险削弱努力是否达到了可接受水平。
SIMS技术可以有效用于测量资产漏洞或风险,但每种SIMS解决方案可以不同方式来对待和处理风险评估。本文通过举例着重介绍了Cisco
SIMS解决方案。
要想削弱风险,我们就必须首先了解风险。从安全角度说,风险指的是对企业中任何特定资产的总体漏洞的了解。风险一般被定义为威胁、漏洞和价值的产物。威胁被定义为针对系统或资产的任何异常数据流或活动。Cisco
SIMS解决方案可对每种风险类型进行评分,无论是端口扫描还是登录失败。Cisco SIMS可将这些分数分解为总体风险计算。价值指的是任何特定系统或资产的重要性程度(可以美元表示)。对于Cisco
SIMS而言,价值指的是针对企业中每种资产的一个用户定义变量。最后,漏洞指的是针对系统或资产的威胁或攻击取得成功的可能性。Cisco SIMS是根据频率或普遍性来测量漏洞的
– 也就是说,针对任何一个系统或资产的“点击率”或“访问率”越高,其中一些数据流能成功获得访问的几率也就越大。
一旦机构评估并了解了风险,它就能采取适当措施来提供适当的风险削弱水平。
第三部分:安全信息治理 – 加速响应
企业系统破坏的数学计算很简单。从一个安全事故发生之时开始一直到公司作出有效响应之时为止,破坏或损失是随时间而呈指数
– 而非线性 – 速度增加的。只要从执行时刻开始一个安全攻击 – 如网络宕机、病毒感染、数据盗窃或资源崩溃等 – 的影响仍不能被检测出来,那么恢复成本不但会增大而且还会导致生产效率、交易量、公司形象乃至最终客户忠诚度等很多方面更为严重的损失。
大多数机构都是通过实施外围防御基础设施
– 如防病毒软件、防火墙、公钥基础设施(PKI)以及入侵检测系统(IDS)等 – 来解决或实现反应性数据安全功能的。响应规划中最常见的欠缺在于,全盘分析网络防火墙攻击的原因和结果所需要的专业技术和知识是散布在各处的。例如,企业不同部门的专家往往被要求独立分析对他们自己部门的IT资源的破坏情况,然后再将他们所发现的问题或提出的建议报告给实际上实施该战略的系统治理员。这一过程根本就不能解决安全攻击的紧迫性。
应对安全威胁的要害在于要通过实施一个行之有效的SIMS解决方案而充分利用现有人员。有了SIMS技术,只需配备一个实时控制台就能实现针对整个企业发生的安全事件的集中检测和响应。SIMS可使机构在安全威胁造成严重问题之前就对其加以解决。而安全团队也会更加有效,因为无需添加更多人手它就能更有效地识别和应对更多威胁。
“针对企业安全的传统方法不但耗费时间;而且往往是零碎和不完整的,因为系统治理员至多只能获得关于非法攻击的零碎视图。”
美国西南部某地区性银行负责信息安全的IT总监
结束语
多数大型企业尚未建立起必要的响应技术和人员组合,因为它们几乎只是重视基于外围基础设施的安全解决方案。遗憾的是,这种多厂家防火墙设备和防病毒软件不会永远都坚不可摧。另外一个事实在于,最高主管和治理人员对妥善预备好统一的响应和恢复战略以应对越来越复杂的IT威胁这一问题缺乏足够重视,因此就导致攻击所造成的成本可能会高于必要限度。
SIMS是一种战略性更强的方法。它可有效降低整个企业中日常安全监控工作居高不下的成本,而且还可实现实时检测和响应
– 所以能在安全威胁演变成代价高昂且很可能是灾难性的事件之前就加以解决。