SIEM供应商试图扩展SIEM产品功能

日期: 2012-06-03 作者:Robert Westervelt翻译:邹铮 来源:TechTarget中国 英文

最新调查数据显示,美国几家大型银行正努力与呼叫中心电汇欺诈作斗争,而安全信息和事件管理(SIEM)供应商则正试图证明其产品能够帮助阻止此类事故。

  供应商表示,呼叫中心电汇欺诈是一个日益增长的趋势,在这种欺诈攻击中,网络罪犯窃取账户信息,获取受害者的个人信息,然后呼叫银行的呼叫中心取出账户的钱。

  呼叫中心通常会询问一些个人问题来验证受害者的身份,但这对于经验丰富的网络罪犯而言,并不是问题,他们通常通过查看受害者网上银行账户来获取大量个人信息,包括社会安全号码等。

  最近被惠普收购的SIEM供应商ArcSight LLC一直在追踪呼叫中心电汇欺诈这一趋势,ArcSight表示SIEM产品可以阻止这种精明的欺诈行为。现在,大多数SIEM部署侧重于少数系统和有限的政策,但ArcSight的营销主管Ryan Kalember表示,很多SIEM系统还可以进行更复杂的关联分析来发现异常行为并发出警报。

  “你可以从更广泛的角度来看问题,引入其他系统(例如Active Directory或者身份管理系统)的事件来丰富SIM事件,”Kalember表示,“从系统和基础设施层面来找问题并不全面,如果你不在用户和应用程序层进行监测,那么你很难找出问题。”

  然而,专家表示,以这种方式来扩展SIEM系统有时候会增加复杂性,并最终可能导致不必要的警报浪潮。Gartner公司安全、隐私和风险研究主管Mark Nicolett表示,一些金融机构采取了“先走路再跑步”的方法,而其他公司则因为合规原因而部署SIEM系统。

  Nicolett表示:“从安全角度来看,受合规驱动的SIEM部署非常有用,当用户想扩展SIEM的功能时,将会回到其SIEM供应商‘怀抱’。”

  PCI DSS是美国SIEM部署的最大驱动力,但是很多公司已经部署了技术和流程来满足PCI DSS。三年来这个标准都没有变化,Nicolett表示他开始看到了企业的侧重点向安全和合规转移。

  Nicolett表示,SIEM产品市场仍然拥挤,很多供应商通过添加适合特定市场的某些功能来区分自己。ArcSight公司的产品增加了大型银行和金融机构需要的功能,而较小型SIEM供应商(例如Trigeo Network Security)成功地将其现成的SIEM功能推向了小型银行和信用社。

  “平均每个Trigeo客户用友超过200个关联性,这些关联性可以为客户提供一定的可视性,”Trigeo公司总裁兼首席执行官Michelle Dickman表示,“我们看到很多企业的SIEM部署只利用了SIEM产品10%,没有完全发挥产品的价值。”

  Dickman认为其他规则和法规将会推动SIEM系统的进一步部署:例如North Electric Reliability Corp(NERC)正在吸引能源公司,而HIPAA和HITECH法案正在推动医疗保健公司的部署。此外,较小规模的企业更愿意共享信息。Trigeo最近发起了一项倡议,让其信贷联盟客户分享关联性规则,扩大规则集同时对潜在的欺诈活动进行讨论。

  Pasadena Federal Credit Union的IT主管兼信息安全官Mike McDanell表示,日志聚合能够帮助他在威胁构成问题前减小威胁,他与其他Trigeo用户共享了规则,并在最近采用了一个规则来减少针对某个微软漏洞的攻击。

  McDanell表示SIEM提供的可视性可以到工作站水平。他设置了规则来限制40名员工可以打开的文件类型,这帮助阻止了常见的PDF和微软Office文件攻击。“你可以很快找出谁正在访问他们不应该访问的内容,”McDanell表示,“在问题变严重之前解决问题。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • Azure Sentinel增加AI驱动SIEM以加强云安全

    微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]

  • 云时代:“SIEM即服务”,你怎么看?

    向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。

  • SIEM功能如何用于实时分析?

    很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……

  • QRadar SIEM:以安全智能保护企业资产和信息远离高级威胁

    IBM Security QRadar SIEM 可整合在网络各处分散的数千个设备、终端和应用中的日志源事件数据。它对原始数据执行直接的标准化和关联化活动,以区分实际威胁和错误判断。