解决方案简介:政府
为您提供安全服务
美国最大的政府机构中的大部分都依赖于 ArcSight 来阻止外部和内 部威胁,以及维护网络的机密性和完整性。 |
优势亮点
• 消除误报,提高效率
• 与专有和机密系统快速集成
• 在物理和逻辑安全系统间共享信息 |
政府所面临的安全挑战
内部和外部威胁是政府机构所关注的主要问题,特别 是在传输着如此之多的机密数据的网络中。像大部分 政府机构一样,您的员工经常处理敏感信息,这表示 必须格外小心以防止数据泄漏给组织以外的人。您必 须格外注意违反安全规范的情况,无论是从办公楼中 带走笔记本电脑,还是将机密信息打印出来然后带出房屋。
同时,一系列特定于政府的法规(如《联邦信息安全 管理法案》(FISMA))也加大了保护机密数据的力度。 政府机构通常必须报告数据库泄露和信息丢失等问 题。如果不能保护敏感数据,则可能会损害他人对您 的信任,以及将机密信息泄露给企图进行破坏的人。 如果没有遵守这些方面的规范,还可能会导致经营预算的损失。
不仅必须监视逻辑系统(如网络),还必须监视物理 系统。政府部门比其他组织更了解将物理和逻辑系统 的安全管理相结合的必要性。您必须能够从一个中央 位置无缝地控制对物理设施和设备以及信息系统的访 问。例如,如果一个工人走入美国的一栋大楼,几分 钟后从其他国家以远程帐户访问敏感服务器,则必须 通过警报来指示异常并发出声音警报。
此外,您的安全系统每天生成数百万个警报和事件,需要一个更好的方式来管理和分析这些海量的数据。 我们需要一种自动化的工具将数以万计的误报筛选出 来,并使您将注意力集中到真正重要的事件上。
“ 这不是我们是否会受到计算机网络恐怖主义的 袭击的问题,而是时间的问题。我们很欣慰,有 一个像 ArcSight 这样的公司一直支持我们。我 们与 ArcSight 的关系不仅仅是财务上的往来, 而是真正的合作伙伴关系。”
—— 美国某大型政府机构项目总监 |
 |
ArcSight Compliance Insight Package for Sarbanes-Oxley 提供 了适合能源企业的预置 规则和报告,其功能是检 测规范系统中的破坏活 动并向您发送警报。
ArcSight 的对策
ArcSight 的安全和网络管理解决方案可以实时地合 并、关联和按优先级排列数以亿计的事件,使您及时 发现并解决问题。美国最大的政府机构中的大部分 (包括联邦航空管理局、美国能源部、美国证券交易 委员会、美国国税局和美国卫生和福利部)都使用 ArcSight 的解决方案来应对挑战,以维护强大却面 临风险的网络的机密性、可用性和完整性。ArcSight 提供了您需要的灵活性和智能性,以准确识别真正的 内部/外部威胁并满足法律法规的要求。
一家大型政府机构使用 ArcSight 的解决方案更有 效地检测、调查和解决安全事件。ArcSight 解决方 案向该机构提供了完全集成的通知和调查工作流,显 著地缩短了从检测攻击到解决攻击所花费的时间。现在,可以在几秒钟内找到感染的节点并将其与网络隔离,使之没有机会传播。
重要作用:极少出现负面结果。
另外一家联邦政府客户利用 ArcSight 的解决方案 自动发现并消除误报,提高了效率。该机构使用 ArcSight 企业安全管理 (ESM) 中的关联引擎来识 别真正的威胁和违规问题并将其按优先级排列,并消 除了数以万计的误报。因此,该机构的安全分析人员 明显地减少了在处理误报上花费的时间,从而将精力集中 在更高级、更具战略性的工作上。
ArcSight 解决方案
ArcSight 提供多种解决方案,其任务涉及日志归并、 安全信息和事件的管理、网络修复和网络配置管理等, 其目的是在安全保护、网络和 IT 运营中将生涩的数据 转换为实际措施。
降低内部威胁的风险
使用 ArcSight ESM,您可以隔离可疑的内部人员,确 定他们的活动并提升威胁级别,以便在对组织构成一定 风险时立即做出响应。使用 ArcSight ESM,您可以创 建实时规则、仪表板、报告、数据监视器、过滤器和活 动列表,将它们作为内部威胁的早期警告系统,并帮助 防止信息泄漏和 IT 破坏。例如,可以将可疑的员工添 加到一个列表中,并通过一组特殊的规则对其进行严密 监视。该系统还可以根据行为模式来检测用户异常。如 果某个员工通常朝九晚五上班,但是突然在某天凌晨三 点时登录,则将触发警报。 |
 |
ArcSight ESM 可以与 ArcSight 内部威胁程序包 配合使用,后者提供了 500 多个出厂时已专为防止 内部威胁量身定做的规则、报表和仪表板。
减轻合规审查工作的负荷
ArcSight Compliance Insight Package 与 ArcSight ESM 结合使用,政府组织可以自动分析和 评估内部控制措施的有效性,这些内部控制包括访问 控制更改、用户管理、管理活动、登录监视以及更改 和风险管理。合规的关键是确保有效地对信息系统实 施控制,并及时维护和检查。ArcSight 提供一整套 分析方法、仪表板和报告,能够根据 ISO-17799:2005 和 NIST 800-53 安全标准轻松地 对日志进行定制审查。ArcSight Compliance Insight Package 综合考虑这两种安全标准,是当今 合规内容最相关最全面的产品。
简化日志的收集、存储和分析
负责安全性和 IT 运营的团队逐渐意识到深入研究 企业日志数据所蕴含的巨大价值。规范要求收集并存 储与审计有关的日志数据,但日志数据的来源不计其 数,既有网络设备和安全设备,又有数据库和自己开 发的应用程序,而 ArcSight Logger™ 正是满足这 一数据保留要求而又成本合算的解决方案。IT 操作、调 查取证和网络团队也可以利用此功能来快速查询您机构 生成的日志数据。ArcSight Logger 可以高效地收集各 种来源的日志,并存储到高度压缩但易于搜索和自管理的 日志存储库中。
在几秒钟之内迅速响应网络事件,而不是几天
借助 ArcSight Threat Response Manager™ (TRM), 您可精确查找网络中遭到破坏的位置,并立即按照特定的 基于策略的措施进行响应。ArcSight TRM™ 通过直接 与您的网络基础结构设备进行通信,如路由器、交换机、 防火墙、无线访问点和 VPN,建立和形成对您的网络拓 扑结构的深入理解。系统的高级算法(专利申请中)可迅 速确定网络中节点的精确位置(无线、有线或 VPN), 并执行特定的基于策略的操作。这些操作包括禁用节点的 交换端口,对节点的流量进行滤,将节点移动到虚拟隔离 网络。
合并物理和逻辑安全系统
过去,要达到真正的合并几乎是不可能的。现在,您可以 使用 ArcSight ESM 从几乎所有可生成日志和警报的 设备中收集事件, 无论是网络防火墙还是安装在天花板 上的视频监视摄像机。此外,ArcSight ESM 还可以根据大量的事件日志来关联信息、检测异常以及识别模 式,然后提供实时和侦测分析。例如,ArcSight 可 以跟踪刚刚经身份验证后离开某栋大楼的员工。如果 有人企图使用该员工的身份验证信息访问网络中的 服务器,则将自动触发警报。现在 ArcSight ESM 使 合并成为现实,帮助您的组织降低风险,提高运营效 率以及增强安全防范。
集中监视和控制网络配置
您的 IT 组织忙于满足大量的网络更改请求以及达 到服务水平协议的要求。大部分日常网络配置更改都 是重复且单调乏味的任务,但这些任务却由具有相当 资历和专业技能的少数几位高级网络工程师来执行。 这些工程师被更改请求搞得焦头烂额,几乎没有时间 构建更加高效的网络,启用新服务以及评估新技术。 ArcSight Network Confguration Manager™(NCM) 可以自动执行网络配置任务,从而快速响应网络事 件,确保自动记录所有的网络配置更改,并符合运营 策略和所有法范要求。ArcSight NCM 可自动完成 这些任务,使您的网络工程师能够将精力集中在更具 战略意义的工程工作上。
与专有技术轻松集成
ArcSight ESM 中灵活的连接器提供目前市场上最 先进的数据收集能力,以及对各种设备最广泛的支持 能力,从而确保所有数据都能被有效收集。这对于使 用专有和机密系统的政府机构来说尤其重要。使用 ArcSight,您可以快速构建适用于这些技术的连接器,以捕获全部数据。
快速发现以前未知的威胁和攻击模式
由于有无数的攻击技巧并且每天出现新的漏洞,要从您 的基础结构每天生成的数以百万的安全事件中识别真 正的威胁几乎是不可能的。ArcSight Pattern Discovery™ 利用高级统计引擎自动发现重复的事件 模式和未知的威胁,然后自动创建新的规则以便能够在 未来识别这些威胁。ArcSight 模式发现的速度非常快, 每秒可以处理多至 20,000 条事件。了解行为之后, ArcSight 模式发现可以与 ArcSight ESM 中强大的 关联引擎无缝集成,提供一键式规则构建来识别重复出 现的威胁并采取行动。因此,安全团队对漏洞有更加全 面的了解,漏洞的存在时间缩短而且网络更加安全。
关于 ArcSight
ArcSight 作为企业安全管理领域的领导者,为您提供 诸多解决方案,这些方案可作为任务控制中心,以实现 实时威胁管理、生成合规性报告和自动化网络响应。通 过全面收集、分析以及管理安全数据,ArcSight 解决 方案可对有关安全、内部威胁和合规性的信息进行集中 式管理,并降低信息风险。ArcSight 客户群包括全球 领先的企业以及政府机构和 MSSP 等。 |
| |
