共享SIEM助力3家英国地方政府外包安全
作者: 日期:2019年05月21日 阅:3,544

一套SIEM三家用,解决方案整合助力成本节约与效率及监管合规提升。

地方政府做网络安全的难度相对较大。因为缺乏中央政府的规模和资源,地方政府面对攻击者时往往束手无策。最近几年,美国和欧洲市镇常常遭遇网络袭击,勒索软件之类攻击,导致受害城市市政服务陷入瘫痪。

外包安全尽管能提供单凭自身所不能达到的规模和技术复杂度,但通常开销昂贵,且有可能引入新的风险。这一点从最近Wipro和其他提供商所遭遇的攻击就可看出——部分客户因此而遭到了礼品卡欺诈攻击。

通过合作伙伴关系,三家英国地方政府标准化共享了同一个安全信息及事件管理(SIEM)工具,以节省开支、提高效率、加强合规,以及促进三家政府之间的协作。

联合资源免外包

位于英国东南部的萨里郡、东苏塞克斯郡和布赖顿霍夫市建立了名为Orbis的合作伙伴关系。Orbis原本只是萨里郡和东苏塞克斯郡在2012年签下的采购共享约定,如今其后端服务包含进了为当地学校、医疗提供商、市议会、紧急救助和非营利性服务提供的IT、金融、采购及人力资源服务,成为了英国最为庞大的地方政府共享服务合作关系。Orbis的目标是围绕人员及技术大范围共享资源和交付效率,避免依赖外包,由而降低公共资金的开销。

除了保护自身散布550多个地理位置的2,000名员工和2万多名服务用户,Orbis安全团队还担负着3个地方政府辖下总共200万人口的数据安全防护任务。Orbis技术交付经理Morgan Rees表示:Orbis看管着三家地方政府的数据。作为地方机构,Orbis处理多项业务并持有大量居民的敏感个人数据,这样才能够交付这些服务。

根据Orbis合作伙伴关系,网络团队和安全团队都是共享资源。所以,拥有统一的工具可以赋予我们整个IT基础设施的可见性,一有问题冒头,我们就可以及时处理。

尽管Orbis没有专职CISO,其CIO Matthew Scott却是IDG英国2017和2018年百强CIO连续上榜人物。Orbis的IT团队拥有约375名员工,12个人在这3家地方政府负责网络安全工作,对抗网络钓鱼攻击、商业电邮欺诈和勒索软件攻击。尽管Rees称Orbis经常考虑民族国家攻击的威胁,但这些攻击者还真不怎么针对地方政府。该团队还担负着确保公共服务网络(PSN)、国民医疗服务体系(NHS)及GDPR合规的任务。

与其他组织机构类似,我们也想最小化安全事件,确保我们持有的数据不受恶意攻击或用户误操作的影响。这些都是我们更经常遇到的问题。

Orbis的有用性在WannaCry勒索软件肆虐的时候得到了体现。因为与NHS紧密合作,有人担心WannaCry爆发会扩散至当地政府的基础设施。但Orbis安全团队用Splunk严密监控感染迹象,有效控制了该感染。

精确整合而非推倒重来

作为三个政府之间的合作伙伴关系而官方法人实体,Orbis也面临自己的难题,比如每个政府都有自己必须隔离的数据——即便后端操作是统一的。Orbis不能切实拥有任何东西,全都是各地方政府所有。

这种离散的基础设施意味着安全和网络团队难以获取总体可见性。为此,Orbis最近正在进行一项标准化项目,将 Splunk Enterprise 作为其SIEM工具的一部分跨三个政府加以部署。

将所有东西都推倒重来从来不在考虑范围之内。这既不高效,也不划算,对公共财政没有任何好处。当项目走到续期阶段时,可以考虑那种技术最适合该合作伙伴关系,然后标准化该项目。Splunk显然是非常好的工具,符合需求,运作良好。

萨里郡最先用的是Novell技术,但在迁移到微软环境后,议会决定改用Splunk以适应该环境。与其他两个地方政府的SIEM合约到期时,决议就是标准化Splunk了。

有些供应商领会了这一点,有些没有,但他们都将仅与具体法人实体对接。Splunk可以在三个机构间共享许可,理解合作关系和各自行事方法的能力也使三家政府获益良多。

共享的SIEM使Orbis得以维持独立的数据主权,但又能在整个环境中呈现出统一的操作视图。比如说,跨三地政府的查询只需要一个统一的搜索头,每个政府都有自己的数据,但有通用的视图。

标准化还有助于加深Orbis合作伙伴关系内部的协作,在多个部门间共享机器数据和相关洞见以加速升级,加快处理问题根源。

不止是统一SIEM

除了作为统一的SIEM工具,共享解决方案还用作跨IT服务故障诊断的运营及服务元素,众人之眼可以起到效果倍增的作用。除非具备此前没人发掘的好处,否则很多SIEM工具可能也就放在角落积灰了。

而当做为运营工具使用的时候,总有人盯着,然后及时发现警报,而不是坐等警报送到邮箱。这些人可以快速响应警报,而且因为这是人们惯用的工具,他们很熟悉也能快速以之工作。

标准化还有助于Orbis的合规工作,随着收集、搜索、报警和日志及机器数据报告操作的全面自动化,建立完整审计跟踪也就更加容易了。

尽管难以提供可量化的结果,Orbis对共享解决方案甚为满意,该方案运作良好,达到了既定目的。

相关阅读

12款顶级SIEM工具比较与评级

SIEM是什么?它是怎么运作的?又该如何选择正确的工具?

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章