在面对网络攻击时,即便最强大的 IT 安全系统也存在数据泄露风险,因此快速检测功能对于侵入管理和恢复至关重要。Mohawk 与 IBM 业务合作伙伴 GlassHouse Systems 合作推出了 IBM Security® QRadar® 安全信息和事件管理 (SIEM) 解决方案,以快速检测泄露事件并根据事件响应划分优先级。
学院与 GlassHouse 合作建立了 QRadar SIEM 平台,以深入了解 IT 环境,进而检测、调查并响应网络安全泄露事件。
高等教育机构是网络犯罪分子最丰富、最成熟的攻击目标之一。这些机构为学生和教师提供知识产权、研究和个人信息的成果。总体而言,这种成果唾手可取,很容易被不正确的参与者截获,因为网络安全措施和技术通常未能深入实施,并未考虑到多个大学或院系的系统预防和响应。
安大略省汉密尔顿市 Mohawk College 的 IT 安全服务经理 Andrew Frank 表示:“您的机构包含众多不同的部门,各自从事着不同的工作,从而形成了一个需要保护的复杂环境。”“通常,如果您没有制定周密的安全计划,技术人员就会尽一切努力保护环境。他们很快就会用完资源而去购买一些反恶意软件,或者可能安装花哨的下一代新防火墙。虽然这些补丁非常重要,但它们也只是 Mohawk 之类的学院为了应对网络攻击所采取的一部分举措。”
Mohawk 会采取全面的网络安全措施不足为奇。Mohawk College 侧重于应用研究,涵盖多个研究领域,旨在帮助学生获得汉密尔顿和大多伦多地区企业的实际经验。Mohawk 因自身业务的创新而闻名,拥有获得 LEED 认证的绿色建筑以及供暖和制冷系统。
此外,Mohawk 还教授网络安全课程,并设有规模庞大的 Central IT 部门,负责监督机构的网络安全。毫无疑问,数年前该学院就需要引入最先进的网络安全工具来保护和防卫恶意攻击者。
Frank 回忆起学院网络安全环境的演变过程。他说:“针对这件事,我们的董事会开始询问,探讨如何制定计划以保护我们的关键资产。”Central IT 首先研究了不同行业安全框架,包括用于管理信息安全的 ISO 27001 和 ISO 27002 标准。然后,该部门采用美国国家标准与技术协会 (NIST) 的网络安全框架 (CSF) 进行差距分析,并根据学院的五大支柱进行了评分:标识、保护、检测、响应和恢复。
学院发现,自身在标识需要保护的资产并对这些资产进行整体保护方面表现出色。但是,检测方面的得分不高。因此,如果控件出现故障,学院就无法快速标识泄露事件,也无法继续响应并从泄露事件中恢复。Frank 表示,“尽管您可以将所有资源都投入保护机制,但并不存在一劳永逸的解决方案。”“最终结果是,泄露的风险很高,环境也很复杂。”
Mohawk 决定专注并投资于检测。Frank 表示:“我们希望确保如果有人跨过我们的保护,我们能迅速检测并将其从网络中根除。”在高等教育中,有时可能需要几个月的时间才会意识到攻击者已渗透系统。他表示:“即使系统真的泄露,我们也不希望这种情况发生。”
“快速检测对我们很重要,但事后也同样重要。”Frank 指出,“希望能够回放以准确标识发生的事件,以及哪些系统受到影响,在事件发生后重建系统,并在泄露事件发生后重新保护网络。”
Mohawk 开始寻找行业领先的检测平台。当时,该机构已在与 IBM 合作开发其网络安全课程,将 QRadar 解决方案等 SIEM 工具包括在内。正是考虑到这种协同作用,Frank 及其同事开始为该学院探索 SIEM 解决方案。
Frank 概述了学院的标准:“我们想要一款易于使用、用户无需大量培训即可通过数据策应和搜索的工具,既能查看事件日志,又能进行网络流量分析。”该学院需要一种工具,该工具不仅可以存储搜索信息,还可标识事件并划分其优先级,并提供应用 AI 以更快调查泄露事件的选项。
QRadar 很快在 Mohawk 调查的解决方案中名列前茅。该工具从所有工具中脱颖而出,因为 Gartner 在其 SIEM 魔力象限报告中将该工具评为 SIEM 领导者。该工具在公共云提供商中享有良好的声誉,并获得其他高等教育机构的强烈推荐。
Mohawk 决定实施 QRadar SIEM 平台,以帮助更快地检测其多样化和分布式 IT 网络上的威胁并划分优先级。“因此,确定工具类型后,QRadar 确实为我们提供了很多功能。”Frank 表示,“我们只需要寻找一个不仅售卖,还能在安装方面提供专业服务的提供商。”
Mohawk 选择了当地的 IBM 业务合作伙伴 GlassHouse 来实施 QRadar 解决方案并为学院提供个性化的持续支持。
“我们从一开始就发现,GlassHouse 的每个人都非常专业。”Frank 表示,“他们并非迅速向我们兜售产品然后转身离开。他们与我们建立起来关系。”
GlassHouse 实施了 QRadar 解决方案,横跨三个园区及其主数据中心构建了基础架构,以帮助学院提取和分析来自多个系统和部门的数据。IBM 业务合作伙伴还对 Mohawk 团队进行了培训,并提供了所有必要的文档和图表。
QRadar 平台为 Mohawk 提供了一个整合的仪表板,可帮助其 IT 安全人员直观地了解其网络安全性。当泄露或罪行发生时,安全分析人员可使用罪行仪表板,深入了解其发生的方式、时间和地点。QRadar 解决方案还根据罪行的相关性、可信性和严重性划分优先级,因此 Mohawk 可集中精力,首先响应最高优先级的罪行。
该解决方案还可根据用户的特定需求进行高度配置。例如,该学院经历了大量针对教职员工和学生电子邮箱的网络钓鱼攻击。“我们能够为自己创建仪表板,”Frank 表示。“当网络钓鱼攻击入侵并穿过我们的保护屏障时,无论是邮件的主题、发件人、收件人还是内容,我们都能够快速浏览数据,快速挑选出消息,了解入侵组织的深度、传播范围以及受影响的用户数量。”
然后,安全团队可以跟进用户,提醒他们收到的是网络钓鱼消息,并要求他们告知团队是否已经与该消息进行互动。Mohawk 团队还可在其他用户与电子邮件服务器互动之前,将消息从中移除。
Mohawk 在选择 QRadar 解决方案时也展望未来。尽管目前尚未在云端运行 QRadar,但 Mohawk 可以利用 QRadar Cloud Visibility 应用程序。“我们希望确保我们选择的是一种面向未来的解决方案,以便在我们最终有需要时能够从公共云中汲取信息,”Frank 表示。“如果我们决定将实例放在云端,而不是本地运行,QRadar 确实可以满足我们的这些需求,并且提供真正与众不同的服务。”
Mohawk 还可借助 QRadar Data Store,轻松地在 QRadar 中为日志管理和 SIEM 用例建立安全数据湖。借助 QRadar Data Store,Mohawk 可以经济高效地收集、解析和存储大量安全和 IT 运营数据。通过将所有安全数据集中在一处,Mohawk 可实现更轻松的合规报告,获得更具洞察力的结果,并为团队提供更强大的数据集以供查询。这既简化了实施,又降低了 Mohawk 的成本,是帮助学院选择 QRadar 解决方案的另一个差异化因素。
GlassHouse 与安全团队合作以调整系统,筛选出不需要立即补救的警报。GlassHouse 云端和托管服务销售总监 Jeff Wilson 表示:“我们希望获得可操作的数据,也就是要关注的那 10% 数据,找出根本原因并迅速进行补救。”
Frank 对 GlassHouse 亲力亲为的协助感到满意。“我们确实需要专业服务才能做到这一点,”他表示。“我们与 GlassHouse 合作,以确保我们为适应环境执行适当的调整。现在我们知道,当我们未来存在潜在的泄露时,我们无需筛选那么多数据,而且界面相当整洁。”
即使拥有最好的网络安全保护系统,一些威胁也能穿过防护。而且,如果安全团队无法发现威胁,就无法做出响应。现在,实施 QRadar 后,Mohawk 可以快速发现并响应网络安全泄露事件。
“一切都归功于能见度,”Frank 表示。“能够发现网络上正在发生的事情,能够发现不同的机器是如何相互连接和通信的。这需要创建警报,以便能够查看网络中是否存在需要调查的潜在泄露事件。QRadar 可提供过往未拥有的一层能见度。”
Frank 将监督 Mohawk 安全系统的过往复杂性与当前借助 QRadar 仪表板查看该系统的简单性进行对比。“想象一下,在大型组织中,您可以拥有许多不同的安全工具和设备,”他表示。“从端点上的反恶意软件到数据中心,再到防火墙(组织外部,以及内部不同位置),以及入侵防御传感器等。”以前,这些元素都拥有独属界面,他的安全团队必须单独登录才能查看可能的威胁。而且每个元素都盘根错节,分布在不同的部门、园区和位置。
“现在,QRadar 将所有这些数据汲取到透明窗格中供我们查看,”Frank 表示。“然后,这些解决方案中出现的所有警报、警告和潜在威胁实际上都通过基于风险的方法划分优先级,供我们开展调查。因此,这确实有助于快速筛选信息,并确保我们专注于那些最重要的风险或威胁。”
Mohawk 还采用 QRadar Data Store 提供集中式日志管理,提高了该学院的支付卡行业数据安全标准 (PCI DSS) 合规性。Frank 认为,集中式日志还有助于运营团队。“当我们在数据中心排除与安全无关的问题时,运营团队现在能够深入发掘细节,”他表示。“他们可以搜索以快速查找所需信息,而不必手动进入每台计算机并尝试手动查看日志。我认为这加快了普通基础架构团队将要面临的许多挑战。”
Frank 很高兴学院选择与 GlassHouse 这样的 IBM 业务合作伙伴合作,并对 GlassHouse 团队表示赞赏:“他们不仅在 QRadar 周围拥有非常高素质、技术含量高、知识渊博的员工,而且总体上还具备网络安全性。给我们留下了深刻的印象。”
反过来,GlassHouse 的 Jeff Wilson 解释了为什么与 Mohawk 保持密切关系会带来成功。“就集成到 QRadar 而言,在 Mohawk 的环境中,不存在什么困难,”他表示。“在安全性方面,与客户进行紧密而有效的互动,例如了解其流程、基础架构和软件环境,以及最关键数据的存储位置,这些对于提供安全性和寻找修补现有漏洞的方法非常重要。因此,我认为 GlassHouse 这类中型公司与 Mohawk 这类中型客户非常契合,才能携手实现这种成功。”
此次合作之所以取得成功,还要归功于大学理事会的支持以及已从 QRadar 解决方案中受益的其他部门(例如运营和基础架构团队)的支持。“他们了解该工具是什么、其工作方式,并发现工具本身如何让特有部门受益,”Frank 表示。“我认为这是一个关键的成功因素,也让所有人都能参与进来,在学院内部寻找正确的解决方案。”
该学院通过提供包括 SIEM 在内的网络安全课程,在幕后安全部门与学术计划之间建立协同作用。最终,该学员对 QRadar 平台的使用可能会成为一种招聘工具,因为希望在网络安全等高需求领域培养技能的学生会发现,该学院正在通过实施最先进的 SIEM 解决方案来实践教学内容。
Mohawk(链接位于 ibm.com 外部)成立于 1966 年 ,位于加拿大安大略省汉密尔顿,其自身定位为以创新文化而闻名的高等教育目的地。Mohawk College 的使命是教育和培养高技能的毕业生,助力其取得成功并为社区做出贡献。Mohawk College 已为超过 32,500 名全日制学生、半工半读制学生、学徒制学生和国际学生提供教育,拥有约 1,000 名教师。旗下有三个主要园区:Fennell、Stoney Creek 以及 McMaster University 的 Mohawk-McMaster 应用健康科学研究所。
IBM 业务合作伙伴 GlassHouse(链接位于 ibm.com 外部)于 1993 年在加拿大多伦多成立,一直在帮助私营和公共部门的客户降低 IT 环境的复杂性和运营成本。该公司在云端、托管服务、企业安全、基础架构等方面拥有专业知识,并提供解决方案。该公司的加拿大总部位于多伦多,美国总部位于伊利诺伊州莱尔,拥有约 80 名员工。
法律
© Copyright IBM Corporation 2021。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
美国出品,2021 年 4 月。
IBM、IBM 徽标、ibm.com、IBM Security 和 Trusteer 是 International Business Machines Corp. 在全球许多司法管辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。以下网址的“Copyright and trademark information”部分中包含了最新的 IBM 商标列表:www.ibm.com/cn-zh/legal/copytrade.shtml。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 业务合作伙伴自行设定价格,价格可能会有所不同。 IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
文中引用的性能数据和客户实例仅作说明之用。实际性能结果可能因具体配置和操作条件而异。用户自行负责评估和验证任何其他产品或程序与 IBM 产品和程序搭配运行的情况。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
客户负责确保遵守适用的法律和法规。IBM 不提供任何法律咨询,也不声明或保证其服务或产品经确保客户遵循任何法律或法规。
良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。