|
|
|
|
案例研究: 联邦政府部门
“自从部署了ArcSight TRM 以来,我们能够在 发生任何重大损失之前隔离所有的计算机网络安全攻击。”
- 系统工程师,联邦政府客户
|
主要作用
• 通过清晰定义的、可审核的响 应流程显著降低响应时间
• 在发生任何重大损失之前隔离 所有的计算机网络安全攻击
• 更好地管理和控制计算机网络 安全响应流程
|
客户面临的挑战
像所有具有复杂的、以网络为中心的环境的组织一样, 此联邦政府客户要与充满挑战性和无处不在的计算机 网络安全问题打交道。当计算机网络安全团队发现网络 中的问题和潜在的威胁后,做出响应是一个耗时的、单 调乏味的过程。
通常情况下,高级工程师在做出响应时会首先查看已发 现的感染的节点,但是等到他发现并隔离这些节点后, 又产生了其他新感染的节点。
“阻止攻击时跟踪网络配置的更改确实是一项挑战,” 负责网络管理工具的系统工程师说。该客户转而使用 ArcSight 威胁响应管理 (TRM) 来减少响应时间,并 制定了清晰定义的、可重复且可审核的响应流程。
ArcSight 解决方案
从本质而言,ArcSight TRM™ 所使用的独特技术利用 了现有网络基础结构设备(如路由器、交换机、防火墙、 VPN 和 WAP),并能够与这些设备进行通信。因此, 该解决方案不需要在客户的网络中部署任何客户端或代 理。该联邦政府客户无需对现有网络基础结构和桌面环 境做任何更改,就可轻松运行 ArcSight TRM。
此外,由于 ArcSight TRM 灵活的体系结构,该组织 可以将此解决方案置于网络中任何位置,部署快速便捷。 “制定出实施的文档实际上比实施过程本身更具有挑战 性,”负责部署 ArcSight TRM 的政府雇员说。
自从实施后,客户的响应流程得到显著改善。现在,在 几秒钟内就可以找出受感染的节点并将其与网络隔离, 使之没有机会传播。使用 ArcSight TRM 有效地提高 了组织的响应能力,使所有计算机网络安全事件在产生 严重影响之前就消失在萌芽状态。“自从一年前部署了 ArcSight TRM,我们能够在发生任何重大损失 之前隔离所有的计算机网络安全攻击。”该系统 工程师说。
该客户还受益于 ArcSight TRM 附带的“调查” 功能。客户可以使用此功能迅速了解网络中所有 节点的精确位置和系统详细信息。这样,该客户 可以定期调查可疑的恶意流量的来源,使网络营 运中心 (NOC) 在实际隔离节点之前先清除误报。
ArcSight 的影响
该联邦政府客户使用 ArcSight TRM 后可以更 好地管理和控制其计算机网络安全网络响应流 程。通过降低响应过程的复杂性,IT 安全团队的 成员可以更好地完成他们的工作。例如,高级工 程师现在可以自由进行体系架构和工程工作,而 不用把所有时间都花在查找网络中病毒和蠕虫上了。
对于以新技术取代手工的、劳动密集型流程,该 联邦政府客户的组织就是一个很好的例子。该客 户甚至还向其他联邦部门进行了多次演示,以宣 传计算机网络安全事件响应的新方法。
关于 ArcSight
ArcSight 作为企业安全管理领域的领导者,为您 提供诸多解决方案,这些方案可作为任务控制中 心,以实现实时威胁管理、生成合规性报告和自 动化网络响应。通过全面收集、分析以及管理安 全数据,ArcSight 解决方案可对有关安全、内部 威胁和合规性的信息进行集中式管理,并降低信 息风险。ArcSight 客户群包括全球领先的企业以 及政府机构和 MSSP 等。 |
| |
| |
| | |
|
|
|
