論壇文章
Novell 為企業打造黃金級的資安監控營運中心
下一篇 - 有了CRM,日盛銀行輕鬆掌握客群 掌握市場

Novell 為企業打造黃金級的資安監控營運中心

撰文 | 台灣網威股份有限公司 合作夥伴事業部 李佩霙

 

何謂SOC資安監控營運中心?

企業在面對資訊安全產品與政策問題,缺少關鍵性的集中管理機制,一直擔憂潛在資安風險何時發生,使得具備統合管理能力的資訊安全管理機制愈來愈重要,資安監控維運中心(Security Operations Center,SOC)的概念應運而生。SOC的整合能力與效益,不僅可整合資訊安全管理的策略與行動,更能以量化的模式來評估資訊安全的水準,進而發揮風險管理的功能。
以政府單位為例,政府的法規即說明SOC的重要性與必要性,根據行政院國家資通安全會報中BS7799之「風險分級管理」概念,將我國資通安全事件概分為A、B、C、D四個等級,以利緊急狀況應變及通報時能判明危害影響等級,並有不同的資安要求其中,名列A級相關的單位,包括台電、中油、健保局、郵局、財金資訊等,必須在2007年底前完成SOC管理機制的建置。這股風潮除了影響A級以降的B、C與D級單位,對於民間企業也產生示範作用。

何謂SIEM安全資訊與事件管理?

安全資訊與事件管理(SIEM,Security Information and Event Management)的功用是進行跨設備資訊收集,跨時間的事件關聯分析,即時反應及事故處理追蹤。對各單位來說,SEIM能協助監控重要IT資產,並識別、解決了安全性與法規的遵循,它為企業帶來的終極效益為有效監控評估和改善安全狀況。SIEM也能把相應的資料關聯在一起,例如防火牆與入侵偵測產生的報告,並對這些資料應用適當的事件分類法及業務適用性分析即當某一事件需採取措施時,SIEM會提醒使用者注意。這樣一來可以減少出錯機率,二來能把資源集中到最需要的地方。有了SIEM方案,就如同位於資訊安全監控的制高點,能有效地控制風險,偵測需要注意的事件,減少誤判的情況並協助企業將資源集中在真正需要的地方,以避免上述案例的發生。
簡言之,SOC可說是SIEM加上完整的系統維運。對企業而言,能有效解決企業需求並為提供集使用者、系統和流程三者於一體的即時、綜合的法規遵守解決方案。

SIEM解決方案的需求

今日企業IT環境的特點就是不斷的改變,而絕大部分的改變來自於必須符合政府或行業的法令規範。為了能隨時掌控和報告那些受Sarbanesxley、HIPPA、BS7799、Basel II法案或其他法規控制的資產的所有安全活動,包含使用者活動、事件和違規等C企業則佈署了各種不同的監控與管理工具,包含防火牆、VPN、入侵偵測、入侵防護、防病毒應用程式等。我們假設一個情境:某家企業的防火牆指出一個緊急問題,可是入侵偵測系統卻出人意料的保持沉默,那該怎麼辦?
傳統的作法是採用昂貴、又缺乏效率、易導致衝突結果的特殊工具與手動處理程序。在網路上進行管理並監控事件時,只有樹立少數的最佳典範,卻幾乎沒有集中化,資料透過不同的資料庫、檔案系統和應用程式散佈,有些工具是設備中心式的安全性工具,有些則是身份中心式的安全性工具。因此,在大型企業中,產生結合人員、處理程序與技術的綜合觀點可能是一項全盤皆輸的工作。
因此,SIEM安全資訊及事件管理解決方案的需求因應而生,對企業來說,SEIM能協助監控重要IT資產,並識別、解決安全性與法規的遵循,它為企業帶來的終極效益並獲得非凡的洞察力,有效監控評估和改善安全狀況。SIEM能把相應的資料關聯在一起,例如防火牆與入侵偵測產生的報告,並對這些資料應用適當的事件分類法及業務適用性分析當某一事件須採取措施時,SIEM會提醒企業注意。這樣,既能減少出錯機率,並可以把資源集中到最需要的地方,有了SIEM 方案,企業就如同位於企業安全監控的制高點,能更有效地控制風險。

傳統上,使用普通的定點工具來管理分散式的混合IT安全環境是一項極艱難的工作。所有一切包括伺服器、資料庫、應用程式、防火牆、路由器、交換機及入侵檢測和防禦系統等,隨時都在產生大量的資料,這些即時或歷史紀錄必須加以匯總、分析才能洞察企業的安全和法規遵守狀態。

一套完善的SIEM方案可以通過對安全和法規遵守事件,及IT控制活動進行自動化的連續監視,取代需要大量人力的手動流程。把企業環境中所有資料源產生的安全與法規,遵守事件放在一起並加以分析,從而幫助企業即時識別安全事件並快速做出回應。自動化事件回應管理功能對事件或違規活動的跟蹤、上報和回應流程進行歸檔並加以制度化,並與故障跟單系統進行雙向整合,能迅速解決事件。

企業應如何建置SIEM?

SIEM的建置除了安全資訊及事件管理的方法論外,還需7 ?24小時的人員嚴密監控,一般來說,因應需求與預算的不同,企業可依照下列幾種方式進行SIEM:
在企業內自行建立SOC系統:包含系統平台建置、持續性的SOC環境參數調適、營運操作與組織教育訓練、輔導建立營運流程及規範。
企業建立SOC系統,可將系統監控服務委外給服務廠商。
完全的資安管理委外服務稱為MSS(Managed Security Service)意指客戶間共用MSSP業者的SOC
縱看目前SIEM的趨勢發展藍圖,未來勢必與身份權限的認證授權相結合,Novell 是目前第一家能為企業的安全和法規遵守活動提供單一視圖的領導廠商。這個利基點能協助企業形成一個結合了以人為基礎的身份和存取管理,及IT資產為基礎的安全資訊和事件管理的跨平台系統。此一解決方案能幫助企業減少成本,並實現風險的最小化和效率的最大化,同時還能確保最高水平的安全性和法規遵守。

Novell Sentinel 解決方案

Novell的Sentinel是一個全面性的安全資訊與事件管理解決方案,不但能提供任何IT環境與任何實際的資料來源,即時而完整的安全性與規範遵循狀態檢視,Sentinel更可在網路上提供整合式的安全性與規範遵循事件檢視,讓管理員能同時識別內外的安全威脅,及與規範遵從相關之所有種類的侵害。管理員可以利用Sentinel採取立即的行動,以便根據角色、法規要求與企業規則來處理弱點。
Sentinel結合了身份識別與系統管理,及即時安全性事件管理與監控的優點,針對使用者、網路和應用程式事件,提供完整的即時儀表板檢視,讓IT人員對於潛在威脅的回應更為迅速;並可協助企業簡化人工回報處理程序、透過自動化流程削減成本,並在整個企業內建置嚴格的安全性與規範遵循方案。

Sentinel會根據內建的企業規則,將事件的辨識與解析自動化。這些規則可以輕鬆加以設定,以符合組織規則,並回應法規要求。利用Sentinel,IT管理員可以監控並追蹤違反的狀態及補救的動作,同時使用任何實際的資料來源,快速識別整個企業的新威脅或攻擊。IT人員也可以處理即時圖形化資訊並與之互動,在數秒內查看關於特定裝置、使用者或事件的詳細歷史資料。此外,Sentinel使用記憶體常駐的關聯性,減少資料庫的負載,並加快將重要事件資料傳送到中央主控台的速度。
Sentinel能協助IT人員理智並快速地回應任何事件,Sentinel也可以為發生在企業網路上的任何事情建立稽核線索。Sentinel也會識別並記錄已知和出現的威脅,讓您迅速反應、有效地解決事件,並向稽核員證明您的IT控制項如預期般運作。