案例分享:IBM QRadar SIEM 安全資訊管理平台保護Wayne州立大學校園網路安全

為了在不妨礙教育機構自由交換資訊的前提下保證開放網路的安全,Wayne州立大學開始使用IBM 的一款網路安全資訊管理(SIEM)平台QRadar

作為一所高校,為了科研和合作我們保證了開放的網路,為此我們感到自豪。” Wayne州立大學資訊安全管理部主任Morris Reynolds說道。但我們同時需要儘量保證網路的安全性,這樣才不會影響工作效率。

研究機構Security Incite總裁兼首席分析師Mike Rothman說得更加坦率:你不能去告訴你的學生在網路上只能做什麼,因為他們是你的客戶。

多年以來,Reynolds和他的團隊一直依靠手動操作來監控網路活動,保證不會發生什麼網路安全隱患。但很遺憾的是Reynolds的安全團隊只有兩名全職員工。採用手動操作的方法對大學網路中五萬多使用者產生的防火牆日誌和其他資料流程進行監控顯然不是很現實。

我們沒有充足的資源來進行有效的管理。” Reynolds說道,我們沒有有效的工具對我們進行提醒,讓我們知道網路的運行狀況或將問題消滅在萌芽之中。

Wayne州立大學高級系統安全專家Graydon Huffman說他正嘗試使用TCP dump來監控網路中的流量。他通過對網路的整體性的掃描來縮小網路中漏洞的範圍,可以看到哪一個埠正開著,他也可以看到這些網端是否反復撞到主機上,如FTP伺服器。從那裡也可以看出這台主機屬於誰。

即使是那樣,在很長時間之後,你可能會發現這是個善意的流量。” Huffman說,網路對我們來說就是個黑洞,我們只能看到表面的東西,永遠也不知道裡面發生了什麼。

最近,Wayne州立大學採用了QRadar這樣一個安全資訊管理(SIEM)平台,它可以多角度監控網路安全,並將網路運行資訊顯示到同一控制台上。

我們需要將不同裝置上產生的情況聯繫起來的設備,” Huffman說,從網路中產生的流量看,它能提醒我們需要著重看些什麼而不是讓我們像大海撈針一樣不知道看些什麼。

Security InciteRothman安全資訊管理(SIEM)平台技術正在促進資訊安全內部的組織演化,使安全成為網路團隊內部的組織機能。他說,應用安全資訊管理(SIEM)平台技術使得組織能夠收集大量的資訊。然後,個人安全和網路團隊能夠使用專門的應用程式或軟體建立平台實現各種功能,如依從報告、網路行為分析和取證分析等。

安全管理平台隨著時間的推移將會更加有用,能幫助安全專家和其他的網路安全工作人員提高工作效率。” Rothman說。

Wayne州立大學,安全在操作上與網路組織上仍然是分開的。然而,IT組織中許多成員都在使用QRadar

我們的網路工作人員使用這個工具來監控網路狀態,” Huffman說,用它來驗證網路中所發生的情況。

Huffman QRadar可以用來監控防火牆的運行、各種驗證體系、學生門戶網站和無線LAN流量,幾乎網路中發生的所有狀況都可以監控。更重要的是,QRadar 將資訊與第七層流量聯繫起來,這樣網路專家就可以看到是什麼類型的應用正在產生QRadar所監測到的流量。

“QRadar發現了網路中我們從來不知道存在的東西,” Huffman說,它使我們能夠進入網路中的第七層看到那裡發生的事情。當你驅逐埠80上的一些惡意流量時,其他的看起來也像網路流量。QRadar能夠清楚地告訴你在網路封包裡究竟存在著什麼。

這個產品能很快的檢測出被僵屍網路控制的主機,並且也會很快檢測到哪些人正在流覽校園蜜網(Honeynet),也就是故意設置漏洞的網站來吸引那些惡意的流量以便於很快抓到這些流量。Huffman QRadar能夠檢測出類似的攻擊網路的漏洞掃描,這些可能是過去沒有被發現的。

他們也會掃描我們的Production網路,事實上是全面理解。他說,有時,一定的網路會被允許連接到特定的主機上,這些主機應用交換伺服器或者檔案伺服器。但是一旦它撞到蜜網(Honeynet)上同時也撞到Production網路上,我們就會進行記錄,並視此流量為惡意流量。否則的話,如果我們僅僅看防火牆的話,我們就看不到它,它就會被看成是一個正常的連接。

這使我們能夠做出更多的反應,並採取果斷的行動整治一些我們所看到的問題。” Reynolds說,事實上,我們希望發現百分之百的問題和網路中的漏洞,但這在一般的條件下不會有這樣的結果。但這使得我們隨時保持警惕,發現網路中的惡意行為的端倪。

(作者:Shamus McGillicuddy來源:TechTarget)