今日企業IT環境的特點就是與日俱增的改變﹐而絕大部分的改變來自於需要符合政府或行業的法令規範。為了可以隨時掌控和報告那些受Sarbanes-Oxley, HIPPA, BS7799, Basell II法案或其他法規控制的資產的所有安全活動﹑包含使用者活動﹑事件和違規等﹐企業佈署了各種不同的監控與管理工具﹐包含防火牆﹑VPN﹑入侵偵測﹑入侵防護﹑防病毒應用程式等等﹐我們試想一個情境:某家企業的防火牆指出一個緊急問題﹐可是入侵偵測系統卻出人意料的保持沈默﹐那該如何處理﹖那個設備的報告才是正確的﹖企業將如何做出回應﹖
因此﹐SIEM(Security Information and Event Management)安全資訊及事件管理解決方案的需求也因應而生﹐什麼是SIEM﹖它的功用是進行跨設備資訊收集,跨時間的事件關聯分析﹐即時反應以及事故處理追蹤。對於企業來說﹐SEIM能協助監控重要IT資產﹐並識別﹑解決了安全性與法規的遵循﹐它為企業帶來的終極效益為獲得非凡的洞察力,有效監控評估和改善安全狀況。SIEM可以把相應的資料關聯在一起﹐例如防火牆與入侵偵測產生的報告,並對這些資料應用適當的事件分類法及業務適用性分析 - 當某一事件需要採取措施時,會提醒您注意。這樣,一來可以減少出錯機率,並可以把資源集中到最需要的地方﹐有了SIEM方案﹐您就如同位於企業安全監控的制高點﹐可以更有效地控制風險﹐並可避免上述案例的發生。
傳統上使用普通的定點工具來管理分散式的混合 IT 安全環境是一項極艱難的工作。所有一切 - 包括伺服器、資料庫、應用程式、防火牆、路由器、交換機以及入侵檢測和防禦系統- 時時刻刻都在產生大量的資料,這些即時或歷史紀錄都必須加以匯總、分析才能洞察企業的安全和法規遵守狀態。
一套完善的SIEM方案可以通過對安全和法規遵守事件以及 IT 控制活動進行自動化的連續監視,來代替需要大量人力的手動流程。把企業環境中所有資料源產生的安全與法規遵守事件放在一起並加以分析,從而幫助您即時識別安全事件並做出快速回應。自動化事件回應管理功能對事件或違規活動的跟蹤、上報和回應流程進行歸檔並加以制度化,並與故障跟單系統進行雙向整合,因而可以迅速做出回應,高效解決事件,並可根據需要向審核人員證明 IT 控制工作能合規無虞。
企業應如何建置SIEM? SIEM的建置除了安全資訊及事件管理的方法論之外,還需7*24小時的人員嚴密監控,一般來說﹐因應需求與預算的不同,企業可以依以下幾種方式來進行SIEM﹕
• 第一種是在企業內自行建立SOC(Security Operation Center) - 資訊安全防護營運中心, 包含若干項目: 系統平台建置、持續性的SOC 環境參數調適、營運操作與組織教育訓練、輔導建立營運流程及規範。
• 第二種是企業建立SOC系統,可是將系統監控服務委外給服務廠商
• 第三種是完全的資安管理委外服務 - 稱為MSS(Managed Security Service)意指客戶間共用MSSP 業者的SOC 。
縱看目前SIEM的趨勢發展藍圖﹐未來勢必與身份權限的認證授權相結合﹐Novell 是目前第一家能夠為整個企業的安全和法規遵守活動提供單一視圖的領導廠商。這個利基點會協助企業可形成一個結合了以人為基礎的身份和存取管理以及以IT資產為基礎的安全資訊和事件管理的跨平臺系統。這一解決方案可以幫助企業減少成本並實現風險的最小化和效率的最大化 - 同時還能確保最高水平的安全性和法規遵守。
那些產業對於SIEM的需求最為殷切? 根據行政院國家資通安全會報第十五次工作小組會議紀錄,A級(重要核心)單位在防護縱深作業應採取NSOC直接防護或自建SOC﹐在今年Novell 就協助五院中第一個SOC的規劃建置﹐此外﹐金融業因為要符合相關Basell II法規﹐另外﹐高科技製造業或者中國大陸的電信業者要符合SOX,這些都是SIEM施行的範疇。 舉例而言﹐美國海軍電腦網路防禦系統作業指揮部門也使用Novell Sentinel 平台作為電腦網路防禦系統之縱深防禦,前端管理系統,以處理軟硬體使用之事件收集及監測分析,保衛和保護整個美國海軍基礎設施。
對於企業來說,能夠有效解決企業需求並為它們提供集使用者、系統和流程三者於一體的即時、綜合的法規遵守解決方案才是SIEM的至善之道。
留言列表
