監控威脅 ArcSight超智慧管理

一家銀行的CIO指示屬下針對內部審核提出報告，證明該公司的資料存取和顧客資料是安全的。經過一週的努力，他的下屬不情願的承認無法確保所有伺服器以及檔案都是安全的。一個資料庫管理者在兩週前提出他的離職申請，在他最後一天上班的時候，人力資源部門要求IT針對他在最後兩週存取過的資料庫以及檔案進行報告，他們擔心他可能複製機密資料或是更改了顧客的權限。不幸的是，IT無法交出準確的報告。

以上都是在公司經營上非常常見的風險。每個公司都想保護自己的重要資訊，但往往面對漏洞卻渾然不覺，導致未來可能需要面對更多的風險及危機。

企業需要面對的四大課題

幾乎所有的企業組織都必須面對新的商業變化，如線上交易、合併和收購、人事精簡和外包。伴隨而來的是企業組織必須管理以下四大安全趨勢：

1. 更多的外部威脅

惡意軟體和駭客威脅持續增加，這些威脅愈來愈厲害，駭客藉由新技術侵入系統，惡意軟體也持續對企業組織的系統造成傷害。

2. 更多的資料竊賊

隨著人事精簡和合併，不肖員工和承包商常常從系統中竊取機密資料。資料庫管理員、網路管理員、和財務分析師是一般有權限存取機密資料的人，隨著資料竊賊的增加，企業組織對於這些人也需要愈來愈小心。

3. 更多的帳戶詐騙

愈來愈多的使用者使用網路交易系統、處理銀行事務、電匯和股票交易。伴隨而來的是釣魚網站、複製信用卡、社交工程、鍵盤記錄器等針對使用者帳號的詐騙行為。

4. 更多的系統，應用程式和使用者

當企業組織擴張，使用新的科技及增加與合作廠商的資料存取時，他們必須管理更多的機器和應用程式。當然也會帶來更多的使用者，這代表了更多的配置議題、邏輯漏洞、角色衝突問題。這些情境都是潛在的安全風險。

由於以上因素。在未來會有愈來愈多的法律遵循規範出現，企業須要能確保資訊系統對相關資料的處理是符合法律規範的，並且需要產生符合法律規範的相關報表。因此，企業主管必須對這些問題更加關心。

將獨立事件連結　才能確保安全性

由於愈來愈多的線上資料、漏洞、威脅和規範，企業組織面臨了更多的商業風險。由於缺乏能見度，這些風險相當難以管理。所有資訊區域Oracle or Microsoft databases, Microsoft Windows file systems, SAP applications, websites, etc.都有可能是風險來源，要監控也具有相當挑戰性。更重要的是在這些資訊區域之間增加能見度。一個全球性的銀行執行長這樣說：「我們可以看到員工在做什麼，顧客在做什麼交易，或是各種網路上的安全問題。但是我們無法將他們連結，所以所有事情都像是獨立發生一樣，我們無法真正了解事情的發展，於是我們就有了麻煩。」這些擔心是由內部安全倡議和外部規範倡議所驅動，例如美國的Sarbanes-Oxley，德國的BaFin，和全球工業標準Basel II和PCI。

內部威脅　資安未爆彈

近年來，企業組織所面對的威脅和風險已經有所演變，也變得更深入。早期的企業組織最擔心的是來自網路的外部威脅，如駭客、釣魚網站、和蠕蟲鑽過防火牆侵入系統等。但演變至今，隨著企業組織和供貨商、顧客、協力廠商連線，網路邊界已消失，外部和內部威脅的分別也變得模糊，因此，企業組織開始重視由內部系統造成的威脅，如僵屍網路、病毒、鍵盤記錄器等惡意軟體。企業更慢慢了解到，其所面臨最大的威脅來自機密資訊、重要應用程式，和有權限存取這些資料的使用者。

ArcSight Enterprise Threat and Risk Management ETRM平台被企業組織和政府機關用來監控商業活動，以下是最常見、最有價值的案例。

1. 特殊權限使用者監控

針對資料庫活動、檔案活動和其他活動，藉由在企業組織目錄和身分管理系統結合使用者和其身分，ArcSight解決方案可以提供可起訴的問題，例如：「我的資料庫管理員上週做了什麼？」因此，企業組織可以確保內部保護有在運作，資料也是受保護的。

2. 約滿約聘人員之活動偵測

因企業組織運用約聘人員來增加開銷和運作的彈性，因此當合約到期時便會有人員的更換。儘管在公司人資系統中這些約聘人員已被停權，但同個帳號在其他本地伺服器卻仍然有效。舉例來說，一個IT約聘人員已經在PeopleSoft系統中被停權，但可能在Linux檔案系統中還有許多帳號，是PeopleSoft系統所管理不到的。這使得公司的系統出現後門，使其暴露在風險和竊盜之下。ArcSight解決方案可以將本地伺服器與人資系統、身分管理系統中的人員狀況做連結，以確保存取控制能貫徹整個組織。

3. 共享使用者帳號

藉由關連身分資料、IP位址和應用程式使用，ArcSight解決方案可以在應用程式偵測共享管理帳號。顧客可以在不必重寫應用程式的前提下，有效的控制與管理帳號。於是，ArcSight的顧客在減少開支的同時也提升了法規遵循度。根據估計，一組織須投入一年的研發時間及800萬美金在修復共享使用者問題上，相對的，若使用ArcSight解決方案，只需要數個月和十分之一的開銷就可以建好補償性控制。

4. 敏感資料監控

藉由整合資料庫活動監控和預防資料外洩產品，及關聯在網路、Email上的活動，ArcSight解決方案可以監控機密資料的風 險，確保隱私性。因此，企業組織可以確保隱私性和顧客忠誠度。

5. 帳號接管偵測

結合詐騙偵測產品的輸出和伺服器、資料庫的活動，ArcSight解決方案可以偵測帳號接管的詐騙行為，一位美國的顧客因為使用ArcSight，安裝後一週就發現了一個近百萬美金的電匯詐欺案。

6. 網頁使用方針偵測

結合網頁代理人DLP和目錄資訊，ArcSight解決方案可以提供儀表板，顯示哪些部門由於違反安全政策可能將公司暴露於危險。許多客戶使用此功能訓練可能製造風險的部門，在每週或是每月進行例行檢查。

7. 連續的法規遵循監測

運用監控資料和自動實施規則的能力，ArcSight解決方案使企業組織得以自動且連續的監控法規遵循狀況，控管可適用於多種法規，並節省時間、金錢和人力，這些資訊顯示在一連串易更改的儀表板，即時的通知控制狀態和結果，也能即時顯示有關各方的違規情況。因此，企業組織可以花費較少人力即增加法規遵循度，提高通過稽核的機會。在以上所有的例子中，重點就是ArcSight ETRM平台利用公司在不同技術產品上的投資，藉由結合這些不同產品，ArcSight ETRM平台創造顯著的價值，也增進了個別的ROI。

ArcSight ETRM 平台　智慧判斷嚴加把關

ArcSight ETRM平台藉由對整個企業組織活動資料進行整合和分析，提供單一且簡單易懂的提醒。這個即時且廣泛的提醒會在風險等級超過某個門檻時通知管理者(例如：在五分鐘之內有五次對於使用者信用卡資料的失敗登入)。另外，ArcSight會將獨立時無害，聚在一起卻可能有害的活動標明出來，例如：資料庫管理員正在查詢顧客信用卡資料庫，在非上班時間並存取含有顧客PIN碼的資料庫。上述兩件事都沒問題，但若是同時發生可能代表資料庫管理員憑據被偷，而他的帳號正被用來竊取顧客資料。ArcSight ETRM平台藉由以下幾個重要函式來達到企業所有活動的能見度。

• 廣泛的收集

ArcSight架構會從所有地方收集資訊，其中包括防火牆、筆電、VOIP 電話、資料庫和目錄。因此，ArcSight ETRM平台可以全方面監控。

• 標準化和分類

所有資訊有著不同的形式，在未經處理的情況下是不可能進行分析的（無論對人還是對機器）。ArcSight ETRM平台將所有資訊標準化成單一的形式，再將其分類，以利分析。

• 使用針對具體業務的規則分析

ArcSight ETRM平台可以找出在不同組織定義下代表風險的癥結。舉例來說：一個零售銀行想要使用MCC碼、付款位置、帳號位置、和交易流來判斷交易是否為詐欺；但另一家醫院想藉由病人狀態、護士部門和之前的存取來警告可能的病歷外洩情形。

• 調查

藉由儲存上TB的資料，ArcSight ETRM平台在風險發生時可以進行分析。藉由ArcSight可以發現造成風險的活動已經進行多久以及有誰參與這項活動。另一面，當修復漏洞之後，ArcSight ETRM可以輕鬆的提供內部和外部稽核報告。

• 警告、報告、形象化

藉由即時儀錶板和預定的報告，可確保各個部門在正確的時間收到正確的資料，ArcSight ETRM平台顯示每個利益相關者提出的資料要求，因此安全管理員可以迅速的應對問題，稽核人員可以簽收成果，而管理者可以使用最正確的方式控制企業。ArcSight ETRM平台被設計來幫助企業組織了解：誰正在網路上？他們正在瀏覽什麼資訊？他們對這些資訊正在做什麼動作？隨著這種等級的可見度，使用ArcSight的人可以保護他們的企業也同時降低開銷，這項產品現今橫跨全球，防止威脅以及保護資訊安全。