|
|
|
|
解决方案简介: ArcSight 在移动通信中的作用
利用 ArcSight ESM 管理移动通信威胁
移动设备现在已成为个人和组织机构不可或缺的工具。因此也日益成为恶意软件、DDoS 和欺诈活动的攻击对象。 |
优势亮点
• 依据连接模式,检测用户中的恶意软件行为
• 通过监控 CDR 平均水平的增长来阻止 DDoS 攻击
• 借助 ArcSight ESM 抵御移动通信威胁 |
ArcSight ESM 助力移动通信服务提供商
像 ArcSight ESM™ 这样的企业安全管理解决方案可为移动通信服务提供商提供有效的防御,它能够有效地检测并管理运营商现今所面对的所 有威胁。
ArcSight ESM 拥有可扩展的产品集成框架,不但 可接收来自商用、私用和早期移动通信服务提供商 设备的事件,还可接收来自传统 IT 资产的事件, 例如路由器、防火墙、入侵检测系统和应用程序 等资产。ArcSight ESM 收集来自手机和网络两 个方面的事件,因此可实现深度防御。
虽然深度防御可最大限度地为移动通信服务提供商 提供全面保护,但 ArcSight 认识到,最有效的对 策仍然需要在网络中实施。Gartner Research 副 总裁兼研究员 John Pescatore 表示,“手机设备 端的防病毒工具将会完全失效,阻止移动通信恶意 软件最有效的方法是在网络中截住它。”
怎么实现?事件收集完毕后,ArcSight ESM 会将这些 数据统一为标准格式,以进行关联、异常检测和模式发 现。这意味着它可以识别重复发生的活动,例如集中涌 现的行为。然后,移动服务提供商就可借助 ArcSight ESM 可视化分析工具研究呼叫详细记录 (CDR)、彩信 服务 (MMS) 和短信服务 (SMS) 之间的关系。这种实 时的数据侦测分析功能可以划定警报的优先次序、集成 自动响应和事件管理。
移动通信威胁的发展
移动通信恶意软件发展迅速,而且越来越复杂,传播速 度也越来越快。事实上,专家预言,移动通信恶意软件 的发展速度将会超过传统 Internet 恶意软件的增长速 度。恶意包括破坏和欺骗,由于机构和个人越来越依赖 移动通信,因此风险很大。大范围攻击将会影响数以百 万计的用户。
智能手机的功能越来越强大,并可支持编程。它们运行 在 Symbian、PalmOS 和 Windows Mobile 等操作 系统上。许多手机拥有开放 API,可提供 多种连接机制,如连接移动网络、Internet、Symbian 安装文件 (SIS)、短信、彩信、蓝牙、无线、USB 和 红外线,恶意软件通过这些连接进行传播。
这些设备通常总是处于开机状态,且宣称具有更高的 移动网络速度。这意味着复杂的恶意软件可更快地传 播。仅去年一年,以蓄意破坏和金融欺诈为目的的移 动设备恶意软件攻击就增长了 600%。移动设备的威 胁已经愈演愈烈,呈蔓延之势,不仅有使用蓝牙和彩 信在移动设备和个人计算机之间进行交叉感染的多 媒介蠕虫,2006 年 3 月甚至首次出现了手机间谍 软件。这些攻击的最终结果将导致移动资源拒绝服 务、信息失窃或遭到破坏以及欺诈活动的发生。
ArcSight ESM 的对策
对抗移动设备恶意软件的传播。恶意软件可在 Internet 上传播并感染计算机,受感染的计算机又会 通过多种途径(包括红外线、蓝牙和数据同步)感染 智能手机。被感染的智能手机又会通过无线 LAN 将 恶意软件传播到其他智能手机。恶意软件通过彩信服 务可交叉感染不同的手机,这些手机又通过通用分组 无线业务 (GPRS) 感染其他手机。借助 ArcSight ESM,移动服务提供商可依据连接模式和内容转发情 况,检测用户中存在的已知和未知的恶意软件行为。 这是通过识别爆发事件和异常事件来实现的。
对抗 DDoS 攻击。被感染移动设备上的僵尸网络 (Botnet) 会处于待命状态,等待其主人发送指令。如 果它们受命发动 DDoS 攻击,则移动服务提供商的 核心基础结构可能会被数量庞大的貌似合法的请求淹 没,不堪重负。结果是:服务被拒绝、呼叫连接失败、 数据无法传输。用户无法享受到服务。ArcSight 可分别 检测用户、应用程序、内容类型和其他方面在 CDR 水 平上的异常增长,并以可视化的方式呈现出来,帮助移 动服务提供商深入研究 CDR 之间的相互关系。 ArcSight ESM 还可进一步分析根本原因,发现重复发 送请求的用户群,进而对被感染的用户采取相应的措施, 并自动跟踪事件的发展。
欺诈。欺诈攻击形式多样。有时候一个国际移动用户识 别码 (IMSI) 使用多个国际移动设备识别码 (IMEI)。这 表明用户识别码模块 (SIM) 被克隆了。或者,服务提供 商会发现 MMS 标头信息与其实际内容大小不符,例如 一个用户要传送 100K 的数据,但只标注 1K。 ArcSight ESM 能够让服务提供商根据内容大小来调整 CDR 参数,并跟踪特定用户、应用程序等的使用情况, 以此来抵御欺骗。ArcSight ESM 还可施行地理空间 CDR 对比,并将 IMEI 与 IMSI 配对,与 CDR 进行 比较。
关于 ArcSight
ArcSight 作为企业安全管理领域的领导者,为您提供诸 多解决方案,这些方案可作为任务控制中心,以实现实时 威胁管理、生成合规性报告和自动化网络响应。通过全面 收集、分析以及管理安全数据,ArcSight 解决方案可对 有关安全、内部威胁和合规性的信息进行集中式管理,并 降低信息风险。ArcSight 客户群包括全球领先的企业以 及政府机构和 MSSP 等。 |
| |
| |
| | |
|
|
|
