安全信息治理企業信息治理解決方案

第一部分：掌控安全治理

在2001年，幾乎每個企業都受到了安全攻擊的影響。雖然大多數安全攻擊 – 約占90% – 要么是拒絕服務(DoS)要么是病毒攻擊，但據《信息周刊》(InformationWeek)稱(4/01)，在全美國，治理攻擊和安全基礎設施的總成本已增加到大約$2660億美元。構成這一成本的大部分在于檢測安全事件和修復這些事件所造成的破壞所涉及的人力開支。

另據《信息周刊》(InformationWeek)介紹，目前，安全攻擊的數量持續增加 – 比去年至少增多了15%。此外，目前大多數攻擊都是兼備了紅色代碼(Code Red)和尼姆達(Nimda)等一系列不同攻擊機制的更復雜的“混合型”攻擊。即使如此，大多數企業的最大擔憂并不在于被《今日美國》(USA Today)頭版稱為“又一個安全攻擊的犧牲者”所帶來的困擾，而是在于安全事件檢測和補救所導致的底線成本。企業必須能從上到下妥善治理好各項安全成本 – 非凡是與人力相關的成本。

為了抵御目前復雜的安全威脅，多數《財富》(Fortune) 1000 強企業為此而付出的年均成本高達五百萬至一千萬美元。多數企業都是通過投資購置防病毒軟件、防火墻、公鑰基礎設施(PKI)以及入侵檢測系統(IDS)而進行外圍防護的。這些設備的數量每年都會大幅增加。例如，美國東北部某大型托管安全服務供給商(MSSP)就是由一個12人安全運行團隊來治理整個企業中的450多臺安全設備的 – 即每人負責監控約35臺設備。到明年，這家MSSP的在用設備數量將超過550臺 – 也就是每人需要照管超過45臺設備！為適應安全設備基礎設施的增長，該公司計劃再增加至少五名安全專業人員，預期每年成本會超過$550,000美元。

外圍防御戰略的最顯著特征之一就在于安全基礎設施中每臺設備會產生極大量的事件數據。在一個一般的企業中，一臺設備每一天都會產生多達十億字節的告警信息。同樣，一個IDS檢測器每一天也可產生500,000多條消息。這就表明了安全治理的一個首要問題：安全設備所產生的數據量實在太多，導致安全團隊無法有效監控 – 更不要說關聯了。

利用傳統的安全分析方法，安全操作員可監控整個企業中的活動來揭示網絡攻擊或漏洞。他們必須以手工方式來處理每臺安全設備中所包含的極大量信息才能創建關于正在發生事件的全面視圖。以這種過時和無效的方法為基礎建立法律分析系統的過程既耗費時間又代價高昂，而且還會占用本可用于其他更有價值的運營和/或安全活動的專家資源。此外，傳統的安全數據分析方法需要若干天或若干周來執行。

到分析結束時，網絡也許已經遭到了若干次攻擊，并可因數據盜竊、客戶和合作伙伴失去服務或機構生產效率降低等而導致重大損失。

鑒于這一現實，以技術為基礎的實時安全數據監控和關聯系統也就應運而生。這些新的系統能檢測出所發生(甚至發生前)的網絡攻擊或漏洞。被業內一般稱為安全信息治理(SIMS)解決方案的這些技術系統正作為負責確保企業系統安全性的首席安全官(CSO)、首席信息官(CIO)以及其他IT專業人員的成本效益更好的強大資產而紛紛涌現出來。

什么是安全信息治理(SIMS)？

SIMS提供了一種簡單機制，可使安全團隊收集和分析極大量的安全告警數據。更具體地說，SIMS解決方案可實時地收集、分析和關聯整個企業中的所有安全設備信息。作為直觀圖形用戶界面的一部分，中心實時控制臺隨后可顯示關聯結果。

SIMS可分為四個不同階段：

1) 規范化是這樣一個過程，即收集每臺安全設備的數據，將這一數據放入更輕易理解的背景中，并將關于相同安全事件的不同消息映射為一個通用警報ID。請注重，安全設備行業中尚無任何標準，因此規范化本身就是安全團隊的重要資產。
2) 匯聚階段可從安全事件數據流中消除多余或重復的事件數據，并細化和優化呈現給安全分析員的信息數量。
3) 關聯階段是采用軟件技術來實時分析所匯聚的數據以確定具體模式是否存在。相似安全事件的這些模式一般對應于具體安全攻擊 – 無論是拒絕服務還是防病毒或其他一些形式的攻擊。
4) 可視化是SIMS的最后一步，它系指在一個實時控制臺中以圖形方式來呈現所關聯的信息。行之有效的可視化可使安全操作員在安全事件發生時并在其對企業造成影響之前迅速地加以識別和響應。

SIMS系統可利用規范化、匯聚和關聯等技術實時篩選和分析極大量的安全活動數據 – 對各類事件進行關聯，標記并評估所有攻擊、影響和漏洞的潛在嚴重性。SIMS技術的強大威力在于，它可使人數相對較少的安全團隊極大縮短攻擊與響應之間的時間。

SIMS可通過以下功能提高您的團隊的能力…

> 淘汰手工設備監控
> 實時和自動地對各類安全告警進行關聯
> 從一個控制臺實時解決安全事件

結果…

> 能利用您現有人員妥善監控更多的設備和告警
> 可為您的企業提供更好的安全保護
> 可降低您的安全總擁有成本(TCO)

“假如在攻擊發生三十天得到全部回答，那么您很輕易就能成為安全專家。但到那時機構就已經損失了寶貴的時間和金錢。”

某《財富》(Fortune) 500 強制藥企業首席安全官

實施了SIMS解決方案的企業可以采取企業全盤方法來監控安全網絡，因為其安全操作員和分析員能實時地、逐一地觀察和分析威脅可能性。

為什么該選擇SIMS？

多數安全團隊都無法處理他們所必須監控和關聯的那么大量的數據。他們至多只能對企業安全設備所不斷產生的大量數據進行24x7監控而已。我們可以想象自己在遍布冰山的汪洋中航行，雖然只能看見每個冰山的一角，卻還必須盡可能避免發生重大事故。同理，安全團隊也無法消化潛伏在表面之下的所有數據，原因很簡單，即它缺乏必要的能力。

技術可以幫助我們減輕監控安全基礎設施所需要承擔的手工工作量。通過實現自動化的智能化診斷、分析和響應模板 – 可由IT治理人員針對各種不同風險情況進行選擇和定制 – SIMS解決方案可極大加快機構面對IT危機時的響應和恢復速度，同時還能有效地使人員編制保持較低水平。總擁有成本(TCO)可以得到降低，因為安全團隊的規模可以保持穩定，而且安全操作人員可以關注于安全事件而非每個設備日志或消息。

看待這一問題的另一角度是通過理解“資源缺口”。利用前面舉出的MSSP例子，我們可以很輕易地理解為什么說監控和分析安全數據的工作是相當困難的。假如沒有足夠的人力，那么我們幾乎不可能有效地監控和治理當今外圍設備所產生的極大量安全數據。該MSSP供給商熟悉到了這一點，因此就計劃要聘請更多人員來幫助處理這一問題。

現有可用于安全治理的資源與實際需要的資源之間的差距就是我們所說的“資源缺口”。在我們的例子中，該MSSP的估算是資源缺口大約為五人，盡管目前的大多數分析員都估計缺口應為接近12人。假如在企業中再添加100臺設備，那么該MSSP的資源短缺情況就會更加嚴重。

顯然，假如我們要有效地解決這一資源缺口問題，那么聘請更多的安全操作員就不是辦法。相反，我們必須借助技術 – 在本例中就是要采用SIMS。利用SIMS，這一資源缺口就能得到基本消除，因為安全操作員和分析員每人都能監控和分析幾百臺設備所產生的數據 – 而不是行業專家和分析員所估計的手工進行安全事件監控時每人最多只能治理五至十五臺設備的情況。

通過利用SIMS解決方案，企業就能在不擴大現有安全團隊規模的情況下擴展其安全設備基礎設施。正如前面MSSP例子所表明的，這就相當于企業能節省極大量資金。首先，有了SIMS，企業不需要將現有人員編制增加一倍就能監控現有基礎設施中的450臺安全設備(每人負責35臺設備)。此外，來年聘請更多安全專業人員來處理100臺新設備所產生的新增工作量的必要性也減小了。凈效果就是第一年可節省超過$150萬美元。

第二部分：安全信息治理 – 最大限度降低風險

美國企業永遠都不可能實現基礎設施的100%安全。理論指出，所有系統的安全都會隨時間而降低。對于網絡而言，熵的表述就是新攻擊的面世以及隨著網絡 – 乃至網絡在其中運行的環境 – 不斷改變新漏洞的產生。所以，我們最好將信息安全看成是一個持續過程，即不斷減小企業資源的風險，并將風險維持在最高治理層所愿意和能夠接受的限度。此外，鑒于風險評估過程必須考慮安全攻擊的可能性和結果，所以企業必須有能封閉事故與響應之間的缺口的戰略方法。因此，企業必須通過戰略方式 – 同時在企業中以及幫助企業治理信息安全威脅的技術合作伙伴中 – 利用、集成和部署安全政策、安全工具和安全智能。

盡管網絡的商業價值不斷增大而網絡遭受攻擊的漏洞也不斷增加，但企業最高治理層卻往往不能對網絡安全給予足夠的戰略上的重視。企業所采用的安全措施也往往是支離破碎和不完整的。

過去幾年來，很多企業都實施了防火墻、入侵檢測系統(IDS)和其他一些基于基礎設施的安全措施，而且以為這些技術可以保護網絡的安全。遺憾的是，現實往往與期望不符。

“假如只是做到反應性 — 即僅觀察和響應IDS告警 — 那么企業也許就會遺漏通過防火墻而進行的敵意活動的異常數據流模式。前瞻性風險評估可提供企業安全狀況的全盤視圖。”

netForensics公司首席技術官Kevin Hanrahan

為了最好地保證企業網絡得到優化而能避免攻擊威脅 – 并快速而決斷地對攻擊作出響應 – 最高治理層就必須通過建立針對網絡性能的業務要求和為機構不同環節定義可接受的風險水平來形成和調整安全政策。

只有最高治理層才能夠平衡技術的成本與受攻擊威脅的信息資源的價值之間的關系。但是，只要有互聯網和內部網的存在，我們就不可能保證企業網絡的任何一個環節不會遭到攻擊的威脅。

面對不可避免的諸多風險，企業就必須部署SIMS解決方案。當最高主管和治理人員評價其現有網絡安全功能時，機構必須能測量和了解企業中任何資產的漏洞。假如沒有這種漏洞或風險評估，那么企業就看不見他們所面臨的威脅。而SIMS解決方案恰恰能提供企業隨時了解其網絡基礎設施中存在的漏洞所需要的重要的風險測量功能。

風險評估是安全信息治理的要害部分

企業必須采用練習有素的方法來進行風險評估、風險治理和風險消除。

• 這一過程的第一步是評估企業的可能目標并確定對這些目標的潛在威脅。
  
• 然后，治理層必須為可能會成為攻擊目標的每個資產都定義一個可接受的風險水平。必須進行測量來確定企業中每個資產的漏洞并進而確定風險削弱努力是否達到了可接受水平。

SIMS技術可以有效用于測量資產漏洞或風險，但每種SIMS解決方案可以不同方式來對待和處理風險評估。本文通過舉例著重介紹了Cisco SIMS解決方案。

要想削弱風險，我們就必須首先了解風險。從安全角度說，風險指的是對企業中任何特定資產的總體漏洞的了解。風險一般被定義為威脅、漏洞和價值的產物。威脅被定義為針對系統或資產的任何異常數據流或活動。Cisco SIMS解決方案可對每種風險類型進行評分，無論是端口掃描還是登錄失敗。Cisco SIMS可將這些分數分解為總體風險計算。價值指的是任何特定系統或資產的重要性程度(可以美元表示)。對于Cisco SIMS而言，價值指的是針對企業中每種資產的一個用戶定義變量。最后，漏洞指的是針對系統或資產的威脅或攻擊取得成功的可能性。Cisco SIMS是根據頻率或普遍性來測量漏洞的 – 也就是說，針對任何一個系統或資產的“點擊率”或“訪問率”越高，其中一些數據流能成功獲得訪問的幾率也就越大。

一旦機構評估并了解了風險，它就能采取適當措施來提供適當的風險削弱水平。

第三部分：安全信息治理 – 加速響應

企業系統破壞的數學計算很簡單。從一個安全事故發生之時開始一直到公司作出有效響應之時為止，破壞或損失是隨時間而呈指數 – 而非線性 – 速度增加的。只要從執行時刻開始一個安全攻擊 – 如網絡宕機、病毒感染、數據盜竊或資源崩潰等 – 的影響仍不能被檢測出來，那么恢復成本不但會增大而且還會導致生產效率、交易量、公司形象乃至最終客戶忠誠度等很多方面更為嚴重的損失。

大多數機構都是通過實施外圍防御基礎設施 – 如防病毒軟件、防火墻、公鑰基礎設施(PKI)以及入侵檢測系統(IDS)等 – 來解決或實現反應性數據安全功能的。響應規劃中最常見的欠缺在于，全盤分析網絡防火墻攻擊的原因和結果所需要的專業技術和知識是散布在各處的。例如，企業不同部門的專家往往被要求獨立分析對他們自己部門的IT資源的破壞情況，然后再將他們所發現的問題或提出的建議報告給實際上實施該戰略的系統治理員。這一過程根本就不能解決安全攻擊的緊迫性。

應對安全威脅的要害在于要通過實施一個行之有效的SIMS解決方案而充分利用現有人員。有了SIMS技術，只需配備一個實時控制臺就能實現針對整個企業發生的安全事件的集中檢測和響應。SIMS可使機構在安全威脅造成嚴重問題之前就對其加以解決。而安全團隊也會更加有效，因為無需添加更多人手它就能更有效地識別和應對更多威脅。

“針對企業安全的傳統方法不但耗費時間；而且往往是零碎和不完整的，因為系統治理員至多只能獲得關于非法攻擊的零碎視圖。”

美國西南部某地區性銀行負責信息安全的IT總監

結束語

多數大型企業尚未建立起必要的響應技術和人員組合，因為它們幾乎只是重視基于外圍基礎設施的安全解決方案。遺憾的是，這種多廠家防火墻設備和防病毒軟件不會永遠都堅不可摧。另外一個事實在于，最高主管和治理人員對妥善預備好統一的響應和恢復戰略以應對越來越復雜的IT威脅這一問題缺乏足夠重視，因此就導致攻擊所造成的成本可能會高于必要限度。

SIMS是一種戰略性更強的方法。它可有效降低整個企業中日常安全監控工作居高不下的成本，而且還可實現實時檢測和響應 – 所以能在安全威脅演變成代價高昂且很可能是災難性的事件之前就加以解決。