概述

　　一名呼叫中心代表收到一份来自竞争对手企业的雇佣邀请。该名代表在离职的前一周，在公司呆到很晚，访问客户数据库，从中找出前 1,000 条客户记录，并将其保存到自己的 USB闪存盘中;同时从工程服务器复制了若干份产品规划文档，将其发送到自己的个人邮箱。

　　一家大型银行遭遇数据泄露，泄露了上百万条客户记录。另一家竞争银行的首席信息官 (CIO) 指示其员工为内部审计部门编写报告，用以表明企业的访问控制在起作用，客户的数据是安全的。然而，通宵加班一周后，员工却不得不承认无法证实所有服务器和文件都受到保护。

　　一名数据库管理员在离职前提前两周通知其雇主。在其离职的最后一天，人力资源部请 IT 部门提供一份报告，内容是该数据库管理员在过去两周访问的所有数据库和文件。人力资源部担心该数据库管理员可能复制了敏感数据或更改了关键数据库的用户权限。令人遗憾的是，IT 部门无法提供最终报告。

　　以上所有情况都极为常见。在每种情况下，企业都十分关注如何保护其关键业务信息。可能是该企业怀疑出现了信息泄露;也可能是该企业只是比较小心谨慎;还可能是该企业确实丢失了数据，但还蒙在鼓里。不管情况如何，最终都会加大企业的损失和受罚风险。许多企业都在寻求解决方案以解决这些问题及其它类似问题。

　　新的网络 — 业务挑战

　　如今，各行各业各种规模的企业均面临着以下业务挑战

　　? 更多在线交易：如今，众多的电子交易服务在消费者中得到了广泛应用，其中包括电子银行、支付服务(如 Paypal)、自助电汇和自助股票交易等。这一趋势促使大量的交易通过电子方式完成，使得众多的支付和财务信息面临泄露风险。

　　? 更多合并和收购：合并会带来新的系统和新的用户，以及更多可能导致信息被窃取的漏洞，从而引发新的威胁。例如，当两家大型企业合并时，需要一段时间才能理顺不同用户角色，现有系统可能无法识别合并进来的用户。于是，在这种混乱状态中，心怀恶意的内部人员将能够轻松地窃取敏感数据而不被察觉。

　　? 更多裁员：最近的一项调查表明：近 50% 的 IT 管理员回应如果他们知道自己要被解雇，他们会从客户数据库中窃取敏感信息。尽管这个数字看起来令人震惊，但它凸显了关键用户在面临裁员时的窃取数据风险。随着经济形势的恶化，这种风险也将随之上升。

　　? 更多外包：随着越来越多的业务职能被外包给合作伙伴企业，“可信局外人”(即有权访问企业内部系统的非受雇者)也随之变得越来越普遍。首席信息官 (CIO) 必须在是否需要为其授予访问权限与这样做会带来什么风险之间作出权衡。

　　不断增长的网络安全趋势

　　以上这些业务挑战意味着大多数企业必须对以下四种不断增长的网络安全趋势进行管理：

　　? 更多账户欺诈：客户越来越多地在网上进行各种交易，如银行业务、电汇和股票交易等。早期采用者可能已经在这方面积累了丰富的经验，但随着大众市场也采用在线银行和支付，用户账户遭遇欺骗的几率将越来越大。网络钓鱼、银行卡克隆、社会工程、键盘记录器和其它方法均可对客户账户实施欺诈行为。

　　? 更多数据失窃：随着裁员和合并的增加，那些心怀不满的雇员和承包商经常会从企业系统中窃取敏感数据。数据库管理员 (DBA)、网络管理员和财务分析师是常见的几类有权访问数据的用户。随着数据失窃率的上升，企业对授权用户的行为越来越关注。

　　? 更多外部威胁：传统的威胁(如黑客和恶意软件)也在继续上升。这些外部威胁变得越来越狡诈，不断尝试逃避传统的监测方法。黑客通过采用新的技术穿过外围防御，并通过零日恶意软件持续破坏企业系统。

　　? 更多规定：面对以上趋势及不断涌现的负面金融消息，各种规定在接下来几年有可能会进一步增长。报表要求和违规处罚将要求企业高管更加关注相关的风险。

　　以上所有这些趋势使得企业管理层面临着更大的挑战、更高的成本和更严峻的风险。

　　严重的网络安全问题

　　随着在线数据、泄漏、威胁和规定的增加，企业面临着更多的业务风险。这种风险由于不可见而非常难以管理。诸如 Oracle 或 Microsoft 数据库、Microsoft Windows 文件系统、SAP 应用和网站等每一个信息领域均构成风险来源，需要加以监控。更为重要的是，真正的挑战在于如何清晰了解这些领域。

　　最近，一家大型全球银行的高层管理人员对以上问题进行了如下概括：“我们能看到雇员进行的各种活动、客户从事的各种交易或网络上发生的各种安全事件。但是我们却无法将它们进行关联，因此一切看起来都是“一次性”的，我们始终无法真正明白发生了什么。与此同时我们也始终暴露于各种风险之下。”

　　各种内部安全提案和外部法规提案进一步引起了这些担忧。其中外部法规提案包括美国的萨巴斯-奥克斯利法案、德国的联邦金融监管局出台的规定(MaRisk 和 MiFID)、以及各种国际行业标准(如 Basel II 和 PCI)等。

　　网络威胁和风险的演进

　　近些年来，大多数企业面临的网络威胁和风险进一步演进，越来越趋向于“内部化”。四五年前，各企业最担心的是发生在其网络边界的外部威胁。穿过企业防火墙的黑客、网络钓客和蠕虫被视作是业务运营的几大网络威胁。

▲

　　近些年来，随着各企业与供应商、客户和业务合作伙伴的联系日益紧密，网络边界逐渐消失，外部和内部威胁的概念日渐融为一体。与此同时，各企业开始日益关注由内部系统、以及防火墙之外的系统所产生的网络活动。僵尸网络、病毒、键盘记录器和其它恶意软件给运营带来越来越大的威胁。

　　近些年来，企业日渐意识到：业务的主要网络风险来自机密信息、关键应用和管理这些应用和数据的授权用户。因此，现在的首席信息官们除了恶意软件和黑客，同时还要关注内部泄露、内部盗窃和内部诈骗。

　　常见示例

　　全球最大、要求最严苛的企业和政府机构使用 ArcSight SIEM 平台来监控网络业务活动。以下列出了几项最常见的高价值示例应用：

　　? 授权用户监控：通过将企业目录或身份管理系统中的用户和角色信息与数据库活动、文件活动及其它所有活动进行关联，ArcSight 可针对诸如“数据库管理员上周干了什么”之类的问题给出切实可行的答案。因此，企业可以确保内部控制机制在发挥作用，信息处于保护之中。

　　? 已终止合作的承包商活动监测：现在企业纷纷使用承包商来提高成本和运营的灵活性，很自然地，随着合同期满和企业终止与承包商的合作，企业也看到更多的交接现象。尽管承包商(或其它系统用户)可能在企业的 HR 系统中已被解除合作关系，但这些用户通常在本地服务器上拥有仍处于活动状态的交易账户。例如，某 IT 承包商的账户在 PeopleSoft 系统中可能已禁用，但也许还有多个本地账户。这些本地账户在不同的 Linux 文件服务器上仍处于活动状态，并不受 PeopleSoft 流程的管理。这使得这些终止合作的用户可通过此类后门进入企业内部系统，使企业面临风险和失窃威胁。ArcSight SIEM 平台能够将本地系统活动与HR系统和身份管理系统中的用户状态进行关联，从而可确保访问控制在整个企业范围内得到应用。

　　? 共享用户账户：通过将身份数据、IP 地址与应用使用关联起来，ArcSight 可监测到遗留应用

▲

程序中管理账户的共享使用情况。客户之后可对这种使用进行纠正并进行有效控制，而不用重新编写遗留应用程序。因此，ArcSight 客户可以更好地遵从法规，同时减少当前的资本支出 (CapEx) 需求。一家金融机构预测，纠正包含嵌入式共享账户的关键应用需要耗费 800 万美元的成本和一年的开发时间。而借助 ArcSight，企业可以用 1/10 的成本在短短几个月内实施补救控制。

　　? 敏感数据监控：通过集成数据库活动监控和数据泄漏预防产品，并将其活动与网络和电子邮件系统相关联，ArcSight 能够监控机密数据面临的风险，确保其私密性。因此，企业可以遵从隐私法规并保持客户忠诚度。

　　? 账户侵权监测：通过将欺诈监测产品的输出内容与网络服务器和数据库内的活动相结合，ArcSight 可监测到账户侵权中的欺诈性活动。美国的一名客户在安装了 ArcSight 的第一周内，就发现了数额接近 100 万美元的电汇欺诈。

　　? 持续的合规性监控：ArcSight 数据监控和自动应用规则功能可支持客户持续、自动地对合规性进行监控。客户将可以根据多种规定的要求对活动进行控制，以节省时间、金钱和精力。信息通过一系列便于审计的仪表盘进行展示，能够显示出实时控制状态和结果，并向所有利益相关方实时提供违规通知。因此，企业可以毫不费力地提高法规遵从能力，从而提高通过审计的几率。

　　在以上所有示例中，关键之处在于 ArcSight 可充分利用企业在不同技术上已有的投资。通过结合这些产品点，ArcSight 可带来巨大的价值，并提高每种产品的投资回报 (ROI)。

　　ArcSight 可综合利用不同技术的优点来监控网络威胁和风险

　　尽管有多种有效技术可用于监控特定信息风险领域，但最终目的则是将这些技术整合在一起，针对当前风险级别、安全威胁和运营活动提供一个统一的全面视角。ArcSight SIEM 平台通过对整个企业范围内的活动数据进行汇集、分析和显示，提供了这种统一的“视图”。

　　这一全面的实时视图可通知管理员危险活动何时超出了特定级别(如，某数据库管理员在试图登录到客户支付卡数据库时，五分钟内失败了五次)。此外，ArcSight 的关联功能还能够重点突出多个单独看似安全、但综合起来则会构成风险的活动。例如，数据库管理员可能在正常时间之外查询客户支付卡数据库，也可能访问包含客户 PIN 码的表格。以上这些行为单独执行都没问题，但一起进行则表明该数据库管理员的证书被盗，有人正在用他的账户窃取客户数据。

▲

　　ArcSight 提供了多项重要功能，能够帮助深入洞察整个企业范围内的活动。

　　? 广泛采集数据：ArcSight 架构经过专门设计，能够通过企业中的所有信息来源收集数据，包括防火墙、员工卡读卡器、笔记本电脑、VOIP 电话、数据库和目录等。因此，ArcSight 可“洞察一切”。

　　? 标准化和分类：这一广泛的数据集分为多种数据格式，在保持各自格式的情况下将毫无用处。ArcSight 可将所有数据标准化为单一的通用格式，然后将其进行分类，以便于进行人工和机器分析。

　　? 使用特定业务规则进行分析：ArcSight 可利用内置的规则及针对每个不同企业定制的规则将各种业务活动关联起来。例如，银行可能希望应用风险衡量标准(如 MCC 码、付款地点、账户地点、付款趋势)来确定交易是否存在欺诈。而医院可能希望分析患者情况、护理科室及之前的病历来发现可能的患者健康信息泄露情况。因此，ArcSight 能够根据每个企业定义的规则，大海捞针地找到可能带来业务风险的活动。

　　? 调查：通过存储海量数据，ArcSight 可在发现风险时进行取证分析。ArcSight 能够支持轻松查出某危险活动进行了多久，以及还有哪些人员涉入。反过来，当问题被纠正时，ArcSight 可轻松地将这些信息上报给内部和外部审计人员。

　　? 警告、报告和显示：最后，实时仪表板和按需或定期报告可确保正确的相关方在合适的时间收到其需要的信息。ArcSight 可根据每个利益相关方的需求来显示信息，让安全管理员可对问题作出迅速的响应，同时审计人员可对结果进行签字确认，管理人员可借助有用指标对业务进行指导。

　　ArcSight SIEM 平台可帮助企业了解谁在访问网络、他们在查看什么信息以及他们对该信息进行了何种操作。借助这种级别的可见性，ArcSight 客户可在保护业务的同时降低运营成本。如今，ArcSight 产品在全球范围内得到广泛应用，用于预防威胁和保护信息安全。

　　为何选择 ArcSight

　　ArcSight 在解决网络风险和威胁监控方面独树一帜。ArcSight SIEM 平台具有三大优势：

　　? ArcSight 可帮助企业轻松通过审计：ArcSight 通过对合规性进行持续监控，并将监控信息展示在便于审计的仪表板上，可提高企业通过审计的几率。此外，ArcSight 还具有自动收集信息和报告的功能，可减轻员工的负担和减少预算。

　　? ArcSight 可帮助企业保护流程和数据：ArcSight 的实时分析和警告功能可尽早将威胁通知给部门，以便其能及时阻止威胁和最大限度地减少损失。

　　? ArcSight 能够在企业网络向合作伙伴和客户开放时，加强对其的控制：ArcSight 能够帮助随时了解谁在访问系统，哪些数据正在被查看，哪些操作正在被执行，以及用户是雇员、承包商、客户，还是其他人。

　　最后，通过对本文中以上描述的概念进行总结，我们可以得出 ArcSight 在为企业提供威胁和风险监控方面具有独特优势的三大原因：

　　? 市场领导地位：凭借在 SIEM 市场占据的领先份额，ArcSight 可帮助全球要求最为严苛的企业(包括全球性银行、民政和军事政府机构及全球众多大型零售商)保护其 IT 基础设施。

　　? 面向未来：首席信息官的职责是确保企业的信息策略随企业业务策略的演变而改进。ArcSight 独特的架构可确保在技术发生变更的情况下，您仍能持续监控业务，以防发生风险。

　　? 不受平台限制：与大型安全产品供应商不同，ArcSight 能够监控来自不同供应商的技术。ArcSight 着重于跨任意第三方平台进行风险和威胁监控。