然而這并非易事，由于安全架構正變得更加復雜，如果只是單個系統(tǒng)受到感染，那么管理員跟蹤追查其根本原因?qū)⑹且环N“奢侈“的舉措，幾乎沒有哪個企業(yè)能夠承擔或者愿意承擔這樣的”奢侈“舉措。然而，受到感染或遭到破壞的系統(tǒng)可能只是冰山一角，它意味著您的網(wǎng)絡基礎設施即將觸礁。

外患不止，內(nèi)憂再起。在面臨更多來自企業(yè)外部的攻擊的同時，來自企業(yè)內(nèi)部的威脅也日益增加，企業(yè)內(nèi)外網(wǎng)邊界更模糊。一方面是內(nèi)部人員的操作失誤帶來的信息安全威脅。另一方面是內(nèi)部人員操作權限控制不當造成的訪問控制邊界違規(guī)、賬號濫用等，這些都是潛在的威脅。

因此，如何全面、及時地發(fā)現(xiàn)、識別、分析、處理信息安全事件,通過大量 采集和分析不同的網(wǎng)絡數(shù)據(jù),并進行聯(lián)動性比較分析，并且準確的發(fā)現(xiàn)內(nèi)部人員的不合規(guī)操作，分析潛在的信息安全風險，是企業(yè)信息安全管理的一大挑戰(zhàn)?？梢哉f，企業(yè)需要一雙可觀全局的“鷹眼”。

“鷹眼”系統(tǒng)，及時發(fā)現(xiàn)潛在問題

在第二屆中國信息安全用戶大會上，代表 太平洋保險選送的“鷹眼”大數(shù)據(jù)信息安全管控平臺——“保險行業(yè)風險及威脅的閉環(huán)管理 系統(tǒng)”榮獲了“第二屆智慧城市信息安全保障優(yōu)秀案例”獎，這引起了記者的關注。在后續(xù)的采訪中，太平洋保險（集團）股份有限公司信息安全與內(nèi)控管理安全專家張軍介紹道, 借助 Intel Security 提供的 SIEM 解決方案，太平洋保險的“鷹眼系統(tǒng)”主要包括日志收集平臺、安全事件集中監(jiān)控平臺、安全事件關聯(lián)分析平臺、 權限管理平臺等多個平臺的搭建來聯(lián)合實施。

該平臺的實施，主要通過對外部攻擊、內(nèi)部合規(guī)等事件的集中監(jiān)控，利用關聯(lián)、基線等分析技術，形成安全威脅的主動發(fā)現(xiàn)、安全風險的及時感知與精準定位，實現(xiàn)信息安全事件的可知可防可控。另外，該平臺以安全事件的集中監(jiān)控與關聯(lián)分析，解決了碎片化監(jiān)管被動、低效等問題，提升安全事件發(fā)現(xiàn)與防范的主動性與智能性。

如今,太平洋保險公司 IT 人員可以很輕松借助安全威脅模型,例如訪問控制邊界違規(guī)、 賬號濫用、僵尸網(wǎng)絡、暴力破解入侵及漏洞攻擊檢測等等,把孤立、海量、多樣的事件信息進行關聯(lián)自動化分析,可及時有效地發(fā)現(xiàn)潛在的問題。

源自Intel Security的力量

“公司之前曾采用過別的安全產(chǎn)品, 希望通過對于不同管理信息的分析,進行安全風險的預判和重構，但該安全產(chǎn)品的實際表現(xiàn)卻差強人意,而且無法有效支持國產(chǎn)設備,這讓太平洋保險 IT 人員們有些失望,而且增加了公司面臨的安全風險。” 信息安全與內(nèi)控管理部總經(jīng)理李麗紅這樣談到時，記者并沒有感到意外，因為，該系統(tǒng)僅是日志源就已經(jīng)達到了近 6000 個,收集范圍覆蓋太平洋保險集團某數(shù)據(jù)中心 6 大類 32 種設備類型,每天收集的日志數(shù)量均在 15 億條左右。這樣龐大的數(shù)據(jù)量，傳統(tǒng)的SIEM產(chǎn)品是很難完成的。

因為傳統(tǒng)SIEM產(chǎn)品構建于數(shù)據(jù)庫和架構基礎之上，并且這些數(shù)據(jù)庫和架構在處理大量事件、歷史記錄數(shù)據(jù)和關系數(shù)據(jù)擴展的能力方面存在固有的局限性。另外，傳統(tǒng)SIEM產(chǎn)品的分析能力也有所欠缺。許多企業(yè)不得不關閉重要但非主要的分析功能，然后再耗費數(shù)小時的等待才能生成一份報告，這讓企業(yè)很難接受。

而從太平洋保險“鷹眼系統(tǒng)”上線后的表現(xiàn)來看，不得不承認Intel Security SIEM解決方案的能力所在。張軍介紹道，“目前,我們利用該平臺完成 58 條定制規(guī)則開發(fā)、18 張合規(guī)報表的開發(fā)調(diào)優(yōu),將孤立、海量、多樣的事件信息進行關聯(lián)自動化分析,從每天 10 多 億的安全日志中分析產(chǎn)生 5000 次左右威脅告”。 

值得一提的是,SIEM還 預先內(nèi)置了 190 種左右的關聯(lián)規(guī)則在硬件里面,使太平洋保險的 IT 人員可以輕松操作和使用,這是業(yè)內(nèi)產(chǎn)品中獨一無二的。另外,和Intel Security的其他產(chǎn)品一樣,SIEM 同樣可與ePO 集成,實現(xiàn)專業(yè)而統(tǒng)一的管理。當然，Intel Security SIEM也可以把純IT的語言，翻譯成業(yè)務的語言，這也是SIEM的另一個強勢所在。

正是借助 Intel Security 的 SIEM 強大的安全風險分析能力,太平洋保險擁有了“一雙鷹眼”，輕松地把各種看似沒有關聯(lián)的各種事件源數(shù)據(jù),進行海量數(shù)據(jù)的集中監(jiān)控、智能 分析,并能敏銳地感知到可能會發(fā)生的安全風險,讓攻擊者無處可逃，讓安全隱患化為烏有。