网络安全威胁已经演进到一个新的阶段。在过去,企业IT 安全管理员只要用各种安全设备封锁好网络边界,即可基本上高枕无忧。而这样的时代,正在一去不复返。随着互联网以及移动互联网、云计算等新兴技术的高速发展,无论是我们的工作还是生活,都已出于无处不在的网络连接之中。由此,“封锁边界”的安全防御措施,已经不能适应于近日的网络安全防御。
面对无处不在而又无孔不入的新兴威胁,企业不但要保持日常业务的正常运行,还要时刻提防来自外部的攻击与来自内部的威胁,同时还要确保业务的持续合规。对于企业而言,面对新时代的网络安全威胁挑战,他们需要一个具备敏锐觉察力、能够快速识别威胁并迅速做出相应的安全防御系统。IBM QRadar,正是借助最先进的安全分析平台感知并检测各种现代威胁的最新安全解决方案。
敏锐识别 快速响应,IBM QRadar如何做到?
正如上所述,在新的网络安全威胁态势下,企业要想在网络安全保卫战中占据主动地位,就必须做到领先攻击者一步,对威胁“敏锐识别 快速响应”。而这对安全防御系统提出了严格的要求,例如:安全防御系统必须能够快速部署在整个网络中,能够快速检测环境中入侵者或恶意的内部人员,其要做到收集、标准化和关联数十亿个事件,确定少数优先考虑的问题;并且要能识别重要漏洞和风险,防止数据泄露。
IBM QRadar又能否满足这一切新的需求?
反观当今的网络地下黑产,正如同黑客们已经开始进行协同分工、共享其资源和技术一样,对于我们防御的一方而言,单枪匹马战斗的手段早已应摒弃,安全也应做到以共享资源为基础的响应。可以说,资源共享的基础来自于数据,没有数据,分析就毫无用处;没有大量的数据,分析也会软弱无力。而海量的数据来说,来自于企业员工的网络操作、企也应用的内部存储、以及安全设备过往的分析数据,以及众多源于外部的数据信息。
如何完成对这些数据的收集、分析?对于IBM QRadar来说,已经可以做到从网络内的每个设备、应用和用户处收集原始安全数据。在收集完数据后,QRadar 设备执行实时分析来搜索直接的危险信号,然后将结果与已存储的其他有关任何所涉及网络、用户或文件元数据的情报进一步融合。
然后,凭借IBM Sense Analytics的支持, QRadar可将用户行为与日志事件、网络流、威胁情报、漏洞和业务上下文相匹配,从而帮助企业消除威胁。通过在一片无序复杂的网络活动中识别出威胁信号,让企业专注于最直接和最危险的威胁,并迅速做出相应措施,最大限度降低威胁带来的损害。
由此,QRadar得以将以上对数据的分析转换为有意义的企业网络安全威胁洞察,帮助企业感知各种潜在的威胁活动,例如:揭示网络行为变化,以捕获与正常模式的偏差;揭示新的网络流量或突然终止的流量的异常;及时识别阈值违反情况,以查找哪些活动超出了既定的级别等等。而我们知道,用户或身份的常规行为变化,常常是网络被破坏或某些个人凭证可能被损害的初期迹象之一。通过对实时活动与历史模式的对比,系统还会根据检测新的应用使用情况、新的网站访问和新的文件传输活动,帮助企业安全管理运维人员排除误报结果。
而借助Sense Analytics,QRadar可以检测 Web 服务器是否停止对通信的响应,识别常用服务的活动水平是否有重大变化,以及在网络上出现新服务或协议时生成警报。此分析还会揭示应用的类型,识别端口和协议失配,这些都可以帮助企业加快调查速度。
在敏锐识别威胁方面,QRadar通过使用网络流数据和漏洞扫描来自动发现资产并创建资产概要文件。而这一概要文件定义了企业资产是什么、识别它如何与其他资产通信,并列出允许操作的应用和存在的任何已知漏洞。然后 ,QRadar 使用这些情景来进行分析,提供高度准确的威胁信息。
此外,对于安全分析而言,积累用户当前行为的知识,对攻击和破坏检测同样宝贵。在这方面,QRadar可以跟踪 IP 和 MAC 地址、电子邮件 ID 和聊天句柄等信息,并与其他身份和访问管理程序来为事故调查提供宝贵的情景资料。通过这一系列的这些关联信息,QRadar会限定其分析的范围,包含或排除与可疑活动有关的个人或角色。
开启企业安全威胁防御的全新之旅
面对当下愈演愈烈的网络安全威胁形势,每一个企业都需要构建起一套先进的网络安全防御系统,进行实时、可靠、可操作的安全洞察,而IBM QRadar 正是做到了让安全团队能够理解当前活动与过去已发生的活动有何关联,并且能够为基准活动提供正确的参数。
对于企业而言,在部署IBM QRadar之后,便开启了加强企业安全防御之路,在高级威胁检测、关键数据保护、内部威胁监视、风险和漏洞管理、以及未授权流量检测、取证调查等方面,你会不断发现 IBM QRadar所带给我们的价值。在征服未知的安全威胁世界之路上,IBM QRadar或许将助我们一臂之力。
(责任编辑:安博涛)
