SIEM供应商试图扩展SIEM产品功能

逍遥王

　　【TechTarget中国原创】最新调查数据显示，美国几家大型银行正努力与呼叫中心电汇欺诈作斗争，而安全信息和事件管理（SIEM）供应商则正试图证明其产品能够帮助阻止此类事故。

　　供应商表示，呼叫中心电汇欺诈是一个日益增长的趋势，在这种欺诈攻击中，网络罪犯窃取账户信息，获取受害者的个人信息，然后呼叫银行的呼叫中心取出账户的钱。

　　呼叫中心通常会询问一些个人问题来验证受害者的身份，但这对于经验丰富的网络罪犯而言，并不是问题，他们通常通过查看受害者网上银行账户来获取大量个人信息，包括社会安全号码等。

　　最近被惠普收购的SIEM供应商ArcSight LLC一直在追踪呼叫中心电汇欺诈这一趋势，ArcSight表示SIEM产品可以阻止这种精明的欺诈行为。现在，大多数SIEM部署侧重于少数系统和有限的政策，但ArcSight的营销主管Ryan Kalember表示，很多SIEM系统还可以进行更复杂的关联分析来发现异常行为并发出警报。

　　“你可以从更广泛的角度来看问题，引入其他系统（例如Active Directory或者身份管理系统）的事件来丰富SIM事件，”Kalember表示，“从系统和基础设施层面来找问题并不全面，如果你不在用户和应用程序层进行监测，那么你很难找出问题。”

　　然而，专家表示，以这种方式来扩展SIEM系统有时候会增加复杂性，并最终可能导致不必要的警报浪潮。Gartner公司安全、隐私和风险研究主管Mark Nicolett表示，一些金融机构采取了“先走路再跑步”的方法，而其他公司则因为合规原因而部署SIEM系统。

　　Nicolett表示：“从安全角度来看，受合规驱动的SIEM部署非常有用，当用户想扩展SIEM的功能时，将会回到其SIEM供应商‘怀抱’。”

　　PCI DSS是美国SIEM部署的最大驱动力，但是很多公司已经部署了技术和流程来满足PCI DSS。三年来这个标准都没有变化，Nicolett表示他开始看到了企业的侧重点向安全和合规转移。

　　Nicolett表示，SIEM产品市场仍然拥挤，很多供应商通过添加适合特定市场的某些功能来区分自己。ArcSight公司的产品增加了大型银行和金融机构需要的功能，而较小型SIEM供应商（例如Trigeo Network Security）成功地将其现成的SIEM功能推向了小型银行和信用社。

　　“平均每个Trigeo客户用友超过200个关联性，这些关联性可以为客户提供一定的可视性，”Trigeo公司总裁兼首席执行官Michelle Dickman表示，“我们看到很多企业的SIEM部署只利用了SIEM产品10%，没有完全发挥产品的价值。”

　　Dickman认为其他规则和法规将会推动SIEM系统的进一步部署：例如North Electric Reliability Corp（NERC）正在吸引能源公司，而HIPAA和HITECH法案正在推动医疗保健公司的部署。此外，较小规模的企业更愿意共享信息。Trigeo最近发起了一项倡议，让其信贷联盟客户分享关联性规则，扩大规则集同时对潜在的欺诈活动进行讨论。

　　Pasadena Federal Credit Union的IT主管兼信息安全官Mike McDanell表示，日志聚合能够帮助他在威胁构成问题前减小威胁，他与其他Trigeo用户共享了规则，并在最近采用了一个规则来减少针对某个微软漏洞的攻击。

　　McDanell表示SIEM提供的可视性可以到工作站水平。他设置了规则来限制40名员工可以打开的文件类型，这帮助阻止了常见的PDF和微软Office文件攻击。“你可以很快找出谁正在访问他们不应该访问的内容，”McDanell表示，“在问题变严重之前解决问题。”