除了病毒防护和补丁管理。
安全自动化:那不是野兽的本质吗?毕竟,任何安全过程可以自动化。防火墙、入侵检测系统和杀毒软件扫描和嗅探网络流量和电脑被签名的攻击,病毒和蠕虫。漏洞管理系统发现和修补漏洞,恶意软件不能利用他们。远程访问经理沙箱,扫描和清理前端点允许网络访问。和安全管理人员可以查看所有的从中央监测站。
好吧,也许这不是一个综合监测站而是一群监测站凑合成一个由安全管理员控制台。这是野兽的本性。不同的安全产品无法共享网络和安全信息限制安全自动化。限制出现在其他地方。例如,入侵预防系统(“诱导多能性”)缺乏直觉知道圣诞节的区别,拒绝服务攻击,这就是为什么公司使用入侵预防少,要么一无所有。没有办法永远安全工具可以设置政策一致,你的生意独特的特点。
我只想说,安全将继续成为自动化,但永远不会完全取代人类感知,直觉和干预。“你可以构建自动化安全模型的方式来发现问题,建立对策和警惕人类,谁可以建立一个过滤器或对策来防止这个问题,”总结了约翰•Pironti Unisys公司企业架构师和安全顾问。“这样,总是会有人类和计算机之间的共生关系。”
了解你的业务
入侵检测、防病毒、防火墙和反垃圾邮件是相当成熟的自动化时,这意味着人类干预最小化。虽然这些工具需要手动更新和过度的过滤,他们现在基本上运行,通过自动更新他们的签名文件,阻止蠕虫和病毒扫描和解析中,并深入检测数据包的不良行为,副总裁维克Wheatman说Gartner的安全实践。达到这一水平的成熟需要5到10年,分析家说。
他们指出,安全信息聚合和身份管理两种技术在光谱的另一端的成熟。这意味着我们不会看到成熟的自动化这些学科,直到2010年或更远的地方。
但不要只看产品的趋势来衡量自动化、罗伯特·常绿矮灌丛说,副总裁兼首席信息安全官在蒙特利尔银行金融集团。相反,组织应该关注如何安全符合最佳实践,它可以自动的从安全的正常操作业务,他说。
“站在上面的产品,建筑,看看进化过程的自动化发生,”常绿矮灌丛说,经常在安全成熟的框架。“例如,防火墙程序,因此已成为嵌入在我们的网络基础设施。补丁更新和数据质量已经从异常管理正常运行。”
当自动安全成为常规,安全团队获得的自由应对新的风险和新兴政策问题。“现在我们可以关注面向服务的体系架构,数字版权管理,身份管理和其他新兴的安全问题,需要可以自动化最佳实践之前,”他说。
在高度监管的行业,最佳实践和安全自动化齐头并进。时尤其如此证明谁访问敏感数据和事件发生在网段敏感数据驻留的地方,伯尼·唐纳利说,副总统在费城证券交易所的质量保证。
”我看着安全自动化在70年代,当我必须证明同样的东西三次内部审计,外部审计和证券交易委员会监管机构,”他说。
多年来,作为其交易系统平台交流多元化,主机访问控制不再提供所需的审计跟踪监管机构。新系统提供大量的报告数据交换人员需要筛选只是为了得到监管机构的信息感兴趣,唐纳利说。
“我们都这个日志信息,但是从安全的角度来看,我们只感兴趣谁试图让,谁想去的地方他们不应该,”他说。
为了防止重复的安全性和系统的专业知识,审计委员会和安全部门委员会创建在系统和高级管理人员的水平。然后委员会研究对数据排序的方法找到例外公司的审计和风险管理政策,唐纳利说。最终,安全团队构建过滤器来过滤数据来自网络和安全日志。他们安装了领事的了解安全管理器管理活动和提供一个审计跟踪整个主机的内部活动,Unix和消息传递服务器组成的贸易基础设施。
“我们想要一个系统将这些信息联系在一起。所以我们领事工作,因为这是IBM的一个分支(远程访问控制设备),我们仍然在我们的环境中使用。领事收集数据从所有三个平台的中央服务器,我们可以使用一个查询语言,”唐纳利说。
注意,在交换,和其他地方一样,缩小信息管理水平的过程要求手动创建过滤器。人类仍然参与查询数据的重要信息。
“有成百上千的潜在信息资源安全的信息。问题是缩小了99%的你不关心你的1%,“副总裁克里斯·伯恩斯说安全实践在元。
安全事件管理自动化的关键是找出你的来源和管理他们的信息是有用的,然后应用一些自动化的相关分析,他继续说。甚至相关性分析不能完全自动化,因为只有企业所有者知道问题的分析引擎。
“如果你知道什么问题要问这些工具,他们可以为你提供答案。但你必须知道你正在寻找,你必须指定相关规则。现在,供应商没做的方式在多个安装可用的,”伯恩斯说。
此外,安全信息管理(SIM卡)工具已经无法利用信息网络,除非该信息来自一个产品或系统开发或SIM供应商的支持。所以收集该信息更深层次的相关性和分析通常意味着增加节点通过网络和在线设备所有。
“这是发生在有线和无线空间。安全管理控制台的战斗,”戴安娜凯利说,计算机协会执行安全顾问。“如果我们要自动化,它必须是集成和开放。我们必须把信息IDS,防火墙和其他报告机制在企业中,无论供应商。为此,我们需要标准。”
外观标准
在过去的两年里,一直在与IETF的开放的证券交易所开发一个共同的方法来识别和共享安全事件信息跨多个品牌和类型的设备。开源漏洞数据库,开始在2002年8月,在防御漏洞管理系统之间共享共同的脆弱性的定义也是可用的。和IETF的可敬的SNMP网络管理,供应商已经使用了几十年,仍然是一个企业中的必备。
海岸资本储蓄银行对SNMP的安全管理的未来。公元前萨里,credit union, with 2,000 users in 50 retail operations, is rapidly expanding across Canada through mergers, acquisitions and new construction. To support the company's aggressive growth, Andrew Banman, senior system engineer, is developing a "branch in a box" template to get branches up and running with standardized security manageable at a single console.
“我们需要拿出标准和样板的方法,工具和设备来支持可管理性,不会过时的几年中,“Banman说。“这样做很复杂的工具。实现复杂。所以你需要退后一步,仔细策划课程。”
Banman两年的团队工作是一个雄心勃勃的计划统一所有安全并使用SNMP管理信息。团队已经使用FirePass SSL VPN盒由F5网络检查远程机器上的安全完整性与之前公司的安全策略允许用户访问数据中心。雷竞技电脑网站
为其定制的银行应用程序,该小组正在写SNMP陷阱来跟踪错误。从基础结构的角度来说,它与思科和3 com的工作,以确保语音、视频和数据在同一个流。
“监控所有这些数据可以成为一个巨大的噩梦。我们会买我们可以,我们可以写,和使用SNMP管理帮助统一,”Banman说。
利用您的基础设施
直到所有标准SNMP一样成熟,收集和相关安全信息从不同的设备仍然是一个昂贵和困难的任务。
进入试图将安全管理集成到开关管理平台:3 com计划集成IPS技术从TippingPoint技术获得今年年初,思科去年推出了封闭防御的姿势网络安全访问的概念,IPS和安全监控,Enterasys网络提供了综合防病毒和政策管理。
北卡罗莱纳大学教堂山分校拥抱Enterasys安全管理产品阻止病毒或攻击的交换机端口——大学得到一个函数,而无需安装一个节点在每个3500开关和65000的端点。
当检测到黑客或病毒活动是在一个特定的端口,Enterasys NetsightAtlas控制台把电脑修复状态,直到电脑修理,副主任迈克·霍金斯说,在UNC数据网络。UNC使用Netsight政策经理推动traffic-blocking政策边缘交换机在回应一个持续的威胁。
结合,产品显著降低恶意软件可能蔓延整个网络的机会,霍金斯说。“不到一分钟停止一个妖孽。和Netsight政策经理,我们可以在几分钟内响应一个持续的威胁,”他说。
决定在网络上的——说交换机或路由器利用供应商安全管理能力意味着设定目标,元伯恩斯的建议。“你需要问自己你最需要保护的数据,信息的来源你需要做什么,然后开始看保护支持这些来源,”他说。
有了这些问题的答案,您可以调整您的安全自动化业务,这是一个自动化的一切相去甚远,Unisys Pironti说。
理解用户角色
另外一个例子,身份管理。访问管理自动化的能力对每个应用程序尽可能细粒度级别想象存在,只要你不不良编写自定义钩子为所有您的自定义应用程序和其他应用程序供应商的产品可能不整合。但从商业的角度来看,自动化不可行,原因是用户角色和配置资源在太细粒度级别,与普华永道合伙人布拉德胃痛,说“安全和隐私实践。
然而,这些部分身份管理很容易自动化已经搬出去的安全和日常操作——每常绿矮灌丛security-maturation模型。
胃痛点自助密码重置,这显然表明ROI通过减少70%的服务台电话在一些组织。和解除配置已经在他的客户的网站是完全自动的,在大多数情况下,已成为一个人力资源功能。此外,用户可以启动新帐户请求。
在Nextel,例如,员工和承包商可以要求自己通过一个用户id托尔技术”身份管理系统,坐在公司的仁科人力资源应用程序的前面。一个用户ID请求集工作流配置资源的电子邮件。
但是Nextel说它不提供细粒度属性对用户角色和资源独特的那些属性,因为时间参与开发这样一个系统在数以百计的自定义应用程序,主任汤姆Deffet说它在Nextel策略和体系结构。