Ace是一家拥有4900家零售商店的公司,该公司的IT部门经理BobWrobel有两个目标:他希望确保Ace的企业网络安全,同时将员工的工时降至最低。

该公司启动了一项计划,目的是提高其网络的安全性,并防止入侵者利用后门对其内部系统造成毁灭性的破坏。但Wrobel的任务并不是将安全或管理工具部署在整个基础设施上,而是让合法用户能够自由访问企业站点并防止那些破坏者在网络上的活动。

Wrobel说:“我们的任务是为网络提供安全保护,因为Ace的网络存在一些后门。我们的主要目标是锁定整个系统,然后将多个厂商产品的日志快速关联在一起,从而查找出可疑的活动。”该IT部门同时负责Internet接入。Wrobel指出,尽管经销商所拥有的商店是相互独立的,但Ace却可以利用Web来实现企业品牌的增强。因此,如果企业站点的性能低劣或在安全问题上漏洞百出,肯定会使消费者对整个Ace企业的品牌认知产生恶劣影响。

Wrobel说:“我们经常会收到防火墙的信息(Ace拥有三个企业防火墙和四个远程防火墙),要求我们进行检查并确定问题到底出在哪。简而言之,就是我们在安全问题上有些反应过度。”

简化安全设备

Wrobel面临的另一个问题就是他的异构安全网络。Ace的防火墙来自CheckPoint、入侵检测系统来自ISS、入侵防护系统则来自另外一个厂商,并且还使用了一些Nokia的设备。他说,这种不同设备和软件组成的杂牌军使四个安全管理员很难查找出真正的弱点,并找出潜在的入侵者。他说:“查看日志所花费的时间非常多。我们希望能够得到针对单个错误的信息或独立的信息,使我们能够立即了解应当知道的事情,并阻止问题的发展。这些信息应当向管理员强调指出重点问题所在,并且不影响设备的性能。”

Wrobel已经开始与他的软硬件厂商,如Nokia、CheckPoint和ISS进行交涉,希望知道应如何收集和关联多种日志。虽然每一家厂商都为其自己的的平台提供了工具,但Wrobel很快就意识到,必须在安全厂商之外寻找Ace企业网络真正需要的管理能力。

Wrobel说:“我们的第一个计划是改善安全系统的性能并管理这些系统的日志。”

寻找安全管理良方

Wrobel开始寻求安全事件和/或信息管理厂商的帮助,如安全事件管理(SEM)或安全信息管理(SIM)。

这种类型的工具通常包含软件、服务器和或探测设备,专门用于从安全设备自动收集事件日志数据,并且可以帮助用户通过统一的管理控制台来了解整体情况。

这些产品使用类似网络管理软件的数据整合和事件关联特性,并可将这些特性应用于从安全设备,如防火墙、服务器、入侵检测系统和杀毒软件中产生的事件日志中。SEM或SIM产品可以使数据统一化,例如将Cisco和CheckPointSoftware的警报翻译为通用格式,从而使数据之间的相互关联成为可能。

这一领域中的公司还包括ArcSight、e-Security、GuardedNet、netForensics和OpenService。Wrobel选择了OpenService的SecurityThreatManager(STM)作为起点,让他的员工能够开始与数千种系统日志进行战斗。OpenService提供了一位工程师,负责安装软件。而Wrobel也承认他和他的员工目前只用到了该产品的一部分很少功能。

Wrobel说:“我们目前仍处在观望状态中。我们有许多工作要做,而且一定能做,但目前最关键的是管理这些日志,并让员工们过得更轻松一些。”