IT安全分析师有一个艰苦的工作,每天越来越激烈。不仅是干草的干草堆的碎片数量越来越大,针在干草的数量也越来越多。NetCitadel旨在解决这一挑战的新的威胁合并来自多传感器的事件信息管理平台,补充数据和上下文信息的事件,在安全设备和自动响应。
战略信息安全主管Andreas罗尔是一个大型的全球能源集团的一个部门。像大多数CISOs,罗尔未遂袭击事件的数量的增加。和其他企业组织一样,他的公司已经实现了一个数量的传感器,或检测设备,帮助他的IT安全团队监控活动,收到警报,对可疑事件发生时做出适当的回应。
除了已经部署的IDS传感器更古典的自然,他的公司也适用于下一代防火墙的用户和内容,以及威胁检测设备检测更复杂的攻击向量。
这些设备产生的事件从不同的网络和网络周边,根据罗尔。他的安全分析师看精细地事件和警报,然后手动处理的每个事件。分析师首先决定如果事件是假阳性或真实的东西和设置优先级响应行动。
根据事件时,分析师可能需要更多的上下文来决定如何回应。例如,如果一个设备警报,一个最终用户刚刚恶意软件下载到他的电脑安全专家可能需要收集更多关于这一事件的信息。用户是谁?他的工作角色是什么?PC坐落在哪里?如何配置?
收集上下文信息需要时间,但它是必要的,以决定适当的响应。更重要的是,调查用户的电脑太亲密可能为这个欧洲公司创建隐私问题。然而,罗尔的公司并不是唯一的威胁检测和响应的方法。许多企业严重依赖于知识和技能以及手册安全分析师的调查。
有没有更好的方法去做这可能消除一些手工工作,加快响应过程?罗尔搜索去了。他遇到的是NetCitadel威胁管理平台(目前在测试)。这种解决方案与威胁检测传感器如防火墙、网络代理,IDS / IPS, siem和其他设备上添加一个自动化背景层以及一个自动执行层安全事件。
NetCitadel威胁管理平台收集事件来自其他传感器设备的信息。它不同于SIEM(安全事件和事件管理)解决方案,NetCitadel专注于自动化的过程构建一个安全事件,周围的环境和自动化的一套标准化的、可重复的反应可以部署在多个执行设备。这个想法是为了减少手工任务所需的安全分析师和加快反应。
威胁管理平台利用现有的安全基础设施,包括网络上的设备不在线。尽管这些设备擅长识别潜在威胁,他们往往缺乏足够的上下文允许安全分析师立即采取行动。NetCitadel插头这种差距通过自动收集各种有用的数据和事件来方便安全分析师来开展他的工作。
考虑上面的例子中,用户怀疑是恶意软件下载。NetCitadel自动滴按需取证代理电脑为了使机器上的数据和寻找指标的妥协(国际石油公司)。同时,NetCitadel是Active Directory收集最终用户信息查询;日志可以看出用户在做的时候疑似感染;检查域名或IP地址的声誉的指挥和控制服务器的电脑正在指向;咨询与了解AV VirusTotal引擎能够发现疑似恶意软件;等等。
平台构建上下文从许多来源除了最初的检测设备。这些任务安全分析师通常会做手工,但NetCitadel自动,预取和等待分析师评估的信息。
这个平台有一个事件处理程序,这是传感器设备和其他数据源发送他们的信息。NetCitadel把信息在一个共同的格式。一个关联分析引擎,分析和重视信息提取下来,这样安全分析人员可以采取快速行动。
威胁管理平台执行跨现有安全设备和系统响应。例如,事件警报可能促使NetCitadel提升日志,用户和他的电脑;限制访问金融应用程序而不是其他企业应用程序;与帮助台和开放票重新塑造用户的个人电脑。反应可以自动或由分析师之前执行。威胁管理平台学习随着时间的推移,什么反应通常为一个特定类型的事件,然后显示这些反应下次类似的事件发生。
结果是更少的时间浪费在手工活动和反应能力更快。自从分析师的时间是很宝贵的,他松了一口气的负担手动拉的信息他需要做出更好的决策。
NetCitadel威胁管理平台在beta测试中,我写这篇文章时,定于2013年12月与一般的可用性。安德烈亚斯•罗尔一直在测试平台为大约一个月,他说他看到有三点好处。首先,平台的集成功能不同的传感器信息安全分析人士采取行动节约时间。其次,平台的审计跟踪改善的能力证明遵守隐私要求在调查案件。第三,该平台提供了一个一致的、更自动化的方式来响应事件。
随着企业部署更多类型和数量的威胁检测设备监控个人设备,企业端点设备,数据中心服务器,和介于两者之间的,需要一个整合的解决方案如NetCitadel威胁管理平台将会增长。雷竞技电脑网站
琳达Musthaler (LMusthaler@essential-iws.com)是一个基本的解决方案的首席分析师corp . http://www.essential-iws.com),研究信息技术的实用价值,以及它如何能让员工个人和整个组织更有效率。基本解决方案提供咨询服务,计算机行业和企业客户,帮助定义和实现的潜力。