1、1,IT安全风险监管 ArcSight Enterprise Security Management(ESM)介绍,安全分析顾问:盛兴中,2,目录,ArcSight产品市场需求与定位 ArcSight产品线功能介绍 ArcSight ESM架构与功能 Arcsight ESM产品的部署应用 ArcSight ESM针对合规应用的满足,3,ArcSight产品市场需求与定位,4,单点的安全投资,带来管理的复杂性和投资的低回报,海量日志内容 日志报警缺乏关联性,大量的误报信息 多种控制台界面,5,新的挑战 合规性(Compliance)和内部威胁,迁移到新的软件模型,外部威胁,员工使用移动设备,新
2、技术,例如VoIP,不安全的商业计算平台,合规性检查 (SOX, PCI, GLBA, HIPAA),98%,50%,44%,24%,14%,14%,12%,来源: 高盛安全花费调查, 2/13/06,财富1000强企业CIOs/CSOs调查: 目前在安全方面花费的最主要驱动因素?,内部威胁,6,新的技术与市场定位,SIM (Security Information Management) 数据来源主要是主机系统和应用程序,其次是用于支撑安全策略规范管理和内部威胁管理的安全设备/产品 用于支持IT安全、内部审计与合规检测等工作 SEM (Security Event Management) 数
3、据来源主要是安全设备/产品、网络设备和系统 通过对上述数据的接近实时处理与分析,提高安全事件响应能力 帮助IT安全运营人员更有效的响应外部与内部威胁 SIEMSIM+SEM,来源: Magic Quadrant for Security Information and Event Management, 1H06, Gartner Group,7,ArcSight产品线功能介绍,Arcsight平台系列技术-提升安全监管能力,取证&归档,安全策略应用 专业服务包,识别&监控,响应&稽核,日志管理系统,企业安全监管系统,策略配置与威胁响应管理,PCI,SOX & J-SOX,IT 治理,内部威胁
4、,FISMA,风险感知引擎,采集,防欺诈,模式发现,交互式发现,9,使用 ArcSight 后的安全事件处理流程,ArcSight Logger,ArcSight ESM,ArcSight TRM,高性能采集,低成本保存,智能处理,实时关联分析,高级分析,仪表板与报表,响应,Firewalls/VPN,Intrusion Detection Systems,Vulnerability Assessment,Network Equipment,Server and Desktop OS,Anti-Virus,Applications,Databases,Physical Infrastructu
5、re,Identity Management,Directory Services,System Health Information,Web Traffic,ArcSight NCM,配置管理,10,ArcSight ESM,数据源,Normalization / 统一格式,Categorization / 分类,Aggregation / 归并,Prioritization / 基于风险的优先排序,Anomaly detection / 异常检测,Correlation / 事件关联分析,Visualization / 图形化展示 Dashboard / Report,Collection
6、 / 收集,FW, IDS, AV, AAA, DB, OS, Router/Switch, ,11,发现威胁,有效的识别威胁: Arcsight ESM实时的基于风险的关联分析,已知漏洞,关键业务IT资产,基于风险的排序,警报 : 用户BadUser123在内部盗取关键oracle应用程序数据信息,12,ArcSight ESM架构与功能,13,ArcSight ESM平台,ArcSight ManagerTM,智能处理,灵活的收集,ArcSight Pattern DiscoveryTM,ArcSight Interactive DiscoveryTM,14,灵活的数据收集,Windows
7、 Systems,Unix/Linux/ AIX/Solaris,Security Device,Security Device,Mainframe & Apps,Security Device,Management Systems,Syslog,集中部署 或 分布式部署,Concentrator,ArcSight Console,ArcSight ManagerTM,15,数据格式统一与分类,Jun 02 2005 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227
8、.16/443 flags FIN ACK on interface outside,ArcSight Categorization:,ArcSight Normalization:,16,确保数据完整与可靠,经过压缩的 日志数据,SSL,ArcSight Connector,带宽管理,ArcSight Console,ArcSight ManagerTM,日志数据,*符合NIST 800-92 日志归并要求,17,业内最广泛的合作范围 200+ connectors, 170+ products, 80+ vendors,Access and Identity,Anti-Virus,Appl
9、ications,Content Security,Database,Data Security,Firewalls,Honeypot,Network IDS/IPS,Host IDS/IPS,Integrated Security,Log Consolidation,Mail Filtering,Mail Server,Mainframe,NBAD,Network Monitoring,Net Traffic Analysis,Operating Systems,Router,Switch,Security Management,Web Filtering,Web Server,VPN,Vu
10、lnerability Mgmt,Wireless,Policy Management,Web Cache,Network Management,18,ArcSight ESM平台,SmartConnector,FlexConnector,灵活的收集,19,智能关联分析与工作流,实时的、内存内(In-Memory) 关联分析 实时关联分析规则 106个内置的关联分析规则 统计关联分析 模式发现: 发现以前未检测到的模式 仪表板展示 169个可重用、实时更新的数据监控块41个预置Dashboard 活动列表: 自动威胁升级 基于风险的排序: 减少误报可执行的工作流 工单管理 自动化流转、通知与升
11、级 可与第三方系统集成,20,资产与脆弱性关联,Real-Time, In- Memory Correlation,SmartConnectors,ArcSight ManagerTM,优先排序后 的事件,Vulnerability Scanner,脆弱性 Is the asset susceptible to the specific attack?,攻击历史 Is there a history with this attacker or target (active lists)?,资产重要性 How important is this asset to the business?,设备
12、安全 Mapping of reporting device severity to ArcSight severity (if reported),Asset Mgmt System,事件,21,TruThreat 风险关联,事件,扫描,关联,设备,优先级,发生什么了?,谁是 目标?,是什么?,弱点是什么?,= 错误警报或一般警报,= 优先处理的红色警报,主动威胁按严重程度建的索引,资产关键程度,确认弱点,加权算法,+,+,+,被监测到的事件,确保所有关键资源和关联在多重可变因素上按重要性输入到等级事件,22,ArcSight ESM平台,ArcSight ManagerTM,智能处理,Sm
13、artConnector,FlexConnector,灵活的收集,23,存档和检索,高效存储,ArcSight SmartStorage: 高效的数据库、存储与存档,企业级、业内标准 RDBMS 高扩展性、高性能、高可用性 支持符合审计要求的长期数据存储 灵活的选择存储模式 基于图形化界面的分区管理,24,ArcSight ESM平台,ArcSight ManagerTM,智能处理,SmartConnector,FlexConnector,灵活的收集,25,ArcSight ESM管理界面,为安全信息查看人员设计可以有更广泛的授权用户方便部署安全的“随时、随地”访问主要功能包括: 报表、仪表板
14、、通知、工单管理、事件查看、知识库,等等,为安全分析员设计全功能 控制、配置、调节、分配、等等深度调查丰富的可视化展示完全的自定义能力集中式管理 控制功能性访问 控制数据访问,26,ArcSight ESM的CONSOLE的管理界面,针对Connector管理,27,通过Arcsight ESM的连接器配置,可对Connector进行远程配置,如: 1、日志过滤; 2、日志归并; 3、保留原始日志; 4、带宽管理; ,28,针对资产的管理,28,通过Arcsight ESM的资产项配置,可收集如下资产信息: 1、资产区域; 2、资产漏洞; 3、资产价值; 4、资产类别; ,29,通过监控仪表板
15、,我们很容易看出,大量攻击源发起的蠕虫攻击针对4台设备,并引发高级告警信息。,威胁仪表板(针对蠕虫病毒),集中性 全局性 逻辑性 追溯性 交互性,Arcsight:彻彻底底的可视化体验,Arcsight 监管平台-安全风险可视化监控 (活动频道),Arcsight:彻彻底底的可视化体验,集中性 全局性 逻辑性 追溯性 交互性,提供整个IT架构风险事件的集中化监控。,Arcsight 监管平台-安全风险可视化监控 (活动频道),集中性 全局性 逻辑性 追溯性 交互性,Arcsight:彻彻底底的可视化体验,以全局的视角来把控当前安全风险态势。,Arcsight 监管平台-安全风险可视化监控 (活
16、动频道),Arcsight:彻彻底底的可视化体验,集中性 全局性 逻辑性 追溯性 交互性,提供各种逻辑结构的风险影响监控视图。,Arcsight 监管平台-安全风险可视化监控 (活动频道),Arcsight:彻彻底底的可视化体验,集中性 全局性 逻辑性 追溯性 交互性,支持对攻击路径和关联状态的过程分析。,Arcsight 监管平台-安全风险可视化监控 (活动频道),Arcsight:彻彻底底的可视化体验,集中性 全局性 逻辑性 追溯性 交互性,以图形交互的方式来分析安全风险活动。,Arcsight 监管平台-安全风险可视化监控 (模式发现),36,标准及易于定制的报表系统(报表),367个
17、标准报表模版基于资产的报表功能预先打包的合规解决方案GUI 报表编辑器不要求SQL或者编程工作,Arcsight 监管平台-多元化的风险报告,Arcsight:报表应是全面、高效、可监控、可定制和可交互!,全面:能对资产、漏洞、威胁活动以及工单响应进行全方位的数据统计,满足取证、策略优化、服务质量改善和合规满足等需要; 高效:提供Trend高效统计的功能,能帮助企业实现长期、快速统计需求,同时还能节省系统资源利用率,如:存储、CPU等。可监控:安全监控不仅要求实时性,同时还需对风险的长期趋势进行监控,而报表统计的风险趋势监控不仅能满足功能需求还极大优化系统消耗。,Arcsight 监管平台-多
18、元化的风险报告 (报表模板定制),Arcsight:报表应是全面、高效、可监控、可定制和可交互!,可定制:提供报告式的模版设计功能,可自定义多个查询统计,从而提供运维和报告等的工作效率,满足不同角色人员的需求。 可交互:二线的安全分析和安全风险报告都需安全分析专家与统计结果进行评价和总结,并最终形成报告,因此这就需要报告和报表是可以交互的。,39,Arcsight ESM产品分布式部署,Arcsight 监管平台-灵活的层次部署结构,.支持层次的部署结构.基于角色实现多级管理.支持简化的监控Web入口.层次关联实现全局预警,企业分支A,企业分支B,企业分支C,企业分支D,企业分支E,企业总部,
19、Arcsight 监管平台-与第三方管理系统交互,与网管系统的交互支持 支持网络事件安全事件的独立采集机制; 支持网管与安管的预警交互接口; 支持第三方工单管理处理。,与安管系统的交互支持 通过事件交互实现安管之间的技术交互; 通过专用API实现信息共享,如:Mcafee的SIA(安全创新联盟);,与资产管理系统的交互支持 支持第三方的资产管理系统; 支持第三方的身份管理系统;,42,Arcsight ESM 针对合规应用的满足,Arcsight 监管平台-合规应用的满足,OS、DB、App、IAM、FW、AV、IDS、IPS等;,合规 紧迫性,44,ArcSight Compliance I
20、nsight Packages,为合规性规章制度提供预打包的解决方案 直接的合规日志回放结构 可以为 “governance approach” 和 “regulation specific approach”的组织提供相关应用 为审计和合规检查提供全面的基于报表、规则、活动列表和仪表板的最佳实践 例如: ArcSight Compliance Insight Package for IT Governance 为 ISO-17799 和 NIST 800-53标志生成报表 为合规性技术检查和风险管理提供超过80种报表模版 针对企业内部的合规性问题相关动作提供超过45种图形化展现 对与合规性相
21、关联的高风险动作进行实时跟踪 部署指导 经过深入研发工作,开发出独特的多标准方法 为合规性日志回放提供强大的基础 IT治理、萨班斯法案和 PCI模块,45,萨班斯法案 (Sarbanes-Oxley),直接专注财务报表过程 被NIST/ISO框架所支持 重点关注领域 认证 可用性 病毒/蠕虫/恶意程序等活动 帐户/配置/脆弱性管理 全面的针对企业符合SOX规范的实践内容 70种报表 50种图形查看方式,显示企业内所有与合规性相关的活动 15 条关联规则,访问控制策略 攻击 工作流,46,ArcSight Compliance Insight Package for PCI,直接针对PCI的12项要求 三个主要关注领域: 持续有效的针对PCI要求进行管理 为审计做准备 直接针对审计要求 28条规则可以自动检测PCI违规操作 超过100个报表提供有效的信息展示 层次化仪表板系统同时提供了针对PCI合规性状态的高层和细节查看,谢谢!,
