降低潛在威脅、活用大數據預測網絡危機
傳統上,我們需不停留意系統、應用之間的漏洞,並及時修正漏洞才可令整個 IT 環境更安全;然而實際情況是網絡威脅的發展步伐已非保安團隊所能夠應付,以致許多機構需要大幅增加人手及培訓計劃。同時數據的數量、速度及種類使分析及了解機構內部保安風險的工作越來越困難。
有限的資源及失效的解決方案亦限制了保安人員進行有效的防禦;不過大數據方案出現以後,只需使用得宜的話,對於預測即將到來的風險有一定幫助;最近 HP 便推出新方案,此方案主要能協助用戶加速大數據分析及於應用程式層面實時探測威脅,最終破壞網絡攻擊的生命週期﹐提高保安運作團隊的整體效能。
透過新技術的協助下,員工便可以專心從大數據中發掘有意義的安全情報,及減少花在系統管理、產品部署、風險評估及人手漏洞搜索工作的時間。上述提及的方案名為 HP ArcSight,此方案能確認威脅及需處理的優先次序,同時由於其結合保安及商業智能方案,因此當完成分析後,可進一步消除應用程式層面中潛在的盲點,讓用戶對其保安環境有更大的控制。
加強可見性以消除盲點
雖然保安開支繼續集中於外圍,但根據 HP 2012 年公佈的 HP Cyber Security Risk Study 中顯示,仍有 84% 商業保安入侵事故源於應用程式層面,而流動技術上的漏洞亦增加 68%,證明企業 IT 安全性方面仍有一定的風險存在。而今次介紹的 HP ArcSight Application View 方案則可透過整合 HP ArcSight Security Information and Event Management (SIEM) 平台、HP ArcSight ESM 及 HP ArcSight Express 與 HP Fortify Runtime 自動探測及記錄應用程式保安事故,從而縮小這個差距。
此舉為保安運作團隊在應用程式層面上帶來可見性,有助實時阻擋攻擊應用程式以及防止數據遺失、身份盜竊及 IP 遺失的發生;至於 HP ArcSight Risk Insight 則可協助機構有效對抗現時的針對性威脅,並管理與保安相關及不斷上升的數據。現時 HP ArcSight Risk Insight 附加於 HP ArcSight ESM 上的形式交付。該解決方案可協助保安運作團隊確認攻擊目標,分析現行的安全技術部署及仔細考慮新興的風險,從而決定舒緩措施集中的地方。
HP ArcSight Risk Insight 匯集於 HP ArcSight ESM 確認到的威脅,並進一步形成清晰的關鍵風險指標(Key Risk Indicators,KRIs),與基礎架構的一個分層、以商業為本的檢視並列。該方案專為連繫保安情報及商業風險而設,就安全數據給予高級管理層次序分明的策略性見解,以及應付風險的可行智能。
精簡保安運作管理以改善生產力
保安運作團隊正致力在營運效率及從事保安情報研究中取得平衡,特別是其 SIEM 及記錄部署的範圍與複雜性不斷提高。HP ArcSight Management Center 是一個企業級的中央保安管理樞紐,讓 HP ArcSight 用戶能夠從單一控制台管理 HP ArcSight Logger、HP ArcSight SmartConnectors 及 HP ArcSight Connector Appliance 的大型部署。
HP ArcSight Management Center 則主要協助精簡中央設定管理及遵循工作,同時減少更改系統或執行政策改動所需的時間。此舉可令保安運作團隊更有效率地分配罕有資源,並集中處理威脅,而非互不相連的工具和產品。
透過保安及更廣泛的運作數據智能驅動威脅探測
保安運作正迅速轉變以成為高度積極的項目,旨在問題出現前得以領先、預防或涵蓋保安威脅。這些使用個案需要準確的模型 (modeling) 及有效結合大量遍及人為及機械訊息的數據組。而 HP Software 則利用了 HP HAVEn 平台連繫各個大數據組之間的線索,以應付這特定的需要。
HP HAVEn 平台包含供儲存原數據及分析批次模式的 Hadoop、處理人為訊息的 HP Autonomy、分析廣泛大數據的 HP Vertica Analytics Platform 及作實時保安監控與分析的 HP ArcSight ESM﹐加上運行在平台上的應用程式;HP HAVEn 平台的一個重要組成部分為一組數據引擎,其以一種合乎邏輯的方式互相連繫,另有超過七百枚接駁一系列數據來源的連接器。數據收集、儲存、監控及分析現都可透過 HP Software 進行。
當與 Hadoop、HP Autonomy 或 HP Vertica Analytics Platform 數據儲存庫同時使用﹐HP HAVEn 平台的開放度及靈活性能讓保安團隊在更廣泛的情況下分析安全事故。此舉讓用戶能夠更準確地按優先次序排列風險、異常及先進的內部威脅模式,繼而從中獲益。
根據官方數據,HP ArcSight ESM 方案能實時運作,並篩選數以百萬計的記錄,同時以每秒二百萬項事故的速度連繫數據,從而尋找重要的事項。
