共享SIEM助力3家英國地方政府外包安全
責編:gltian |2019-05-22 10:49:26一套SIEM三家用,解決方案整合助力成本節約與效率及監管合規提升。
地方政府做網絡安全的難度相對較大。因為缺乏中央政府的規模和資源,地方政府面對攻擊者時往往束手無策。最近幾年,美國和歐洲市鎮常常遭遇網絡襲擊,勒索軟件之類攻擊,導致受害城市市政服務陷入癱瘓。
外包安全盡管能提供單憑自身所不能達到的規模和技術復雜度,但通常開銷昂貴,且有可能引入新的風險。這一點從最近Wipro和其他提供商所遭遇的攻擊就可看出——部分客戶因此而遭到了禮品卡欺詐攻擊。
通過合作伙伴關系,三家英國地方政府標準化共享了同一個安全信息及事件管理(SIEM)工具,以節省開支、提高效率、加強合規,以及促進三家政府之間的協作。
聯合資源免外包
位于英國東南部的薩里郡、東蘇塞克斯郡和布賴頓霍夫市建立了名為Orbis的合作伙伴關系。Orbis原本只是薩里郡和東蘇塞克斯郡在2012年簽下的采購共享約定,如今其后端服務包含進了為當地學校、醫療提供商、市議會、緊急救助和非營利性服務提供的IT、金融、采購及人力資源服務,成為了英國最為龐大的地方政府共享服務合作關系。Orbis的目標是圍繞人員及技術大范圍共享資源和交付效率,避免依賴外包,由而降低公共資金的開銷。
除了保護自身散布550多個地理位置的2,000名員工和2萬多名服務用戶,Orbis安全團隊還擔負著3個地方政府轄下總共200萬人口的數據安全防護任務。Orbis技術交付經理Morgan Rees表示:Orbis看管著三家地方政府的數據。作為地方機構,Orbis處理多項業務并持有大量居民的敏感個人數據,這樣才能夠交付這些服務。
根據Orbis合作伙伴關系,網絡團隊和安全團隊都是共享資源。所以,擁有統一的工具可以賦予我們整個IT基礎設施的可見性,一有問題冒頭,我們就可以及時處理。
盡管Orbis沒有專職CISO,其CIO Matthew Scott卻是IDG英國2017和2018年百強CIO連續上榜人物。Orbis的IT團隊擁有約375名員工,12個人在這3家地方政府負責網絡安全工作,對抗網絡釣魚攻擊、商業電郵欺詐和勒索軟件攻擊。盡管Rees稱Orbis經常考慮民族國家攻擊的威脅,但這些攻擊者還真不怎么針對地方政府。該團隊還擔負著確保公共服務網絡(PSN)、國民醫療服務體系(NHS)及GDPR合規的任務。
與其他組織機構類似,我們也想最小化安全事件,確保我們持有的數據不受惡意攻擊或用戶誤操作的影響。這些都是我們更經常遇到的問題。
Orbis的有用性在WannaCry勒索軟件肆虐的時候得到了體現。因為與NHS緊密合作,有人擔心WannaCry爆發會擴散至當地政府的基礎設施。但Orbis安全團隊用Splunk嚴密監控感染跡象,有效控制了該感染。
精確整合而非推倒重來
作為三個政府之間的合作伙伴關系而官方法人實體,Orbis也面臨自己的難題,比如每個政府都有自己必須隔離的數據——即便后端操作是統一的。Orbis不能切實擁有任何東西,全都是各地方政府所有。
這種離散的基礎設施意味著安全和網絡團隊難以獲取總體可見性。為此,Orbis最近正在進行一項標準化項目,將 Splunk Enterprise 作為其SIEM工具的一部分跨三個政府加以部署。
將所有東西都推倒重來從來不在考慮范圍之內。這既不高效,也不劃算,對公共財政沒有任何好處。當項目走到續期階段時,可以考慮那種技術最適合該合作伙伴關系,然后標準化該項目。Splunk顯然是非常好的工具,符合需求,運作良好。
薩里郡最先用的是Novell技術,但在遷移到微軟環境后,議會決定改用Splunk以適應該環境。與其他兩個地方政府的SIEM合約到期時,決議就是標準化Splunk了。
有些供應商領會了這一點,有些沒有,但他們都將僅與具體法人實體對接。Splunk可以在三個機構間共享許可,理解合作關系和各自行事方法的能力也使三家政府獲益良多。
共享的SIEM使Orbis得以維持獨立的數據主權,但又能在整個環境中呈現出統一的操作視圖。比如說,跨三地政府的查詢只需要一個統一的搜索頭,每個政府都有自己的數據,但有通用的視圖。
標準化還有助于加深Orbis合作伙伴關系內部的協作,在多個部門間共享機器數據和相關洞見以加速升級,加快處理問題根源。
不止是統一SIEM
除了作為統一的SIEM工具,共享解決方案還用作跨IT服務故障診斷的運營及服務元素,眾人之眼可以起到效果倍增的作用。除非具備此前沒人發掘的好處,否則很多SIEM工具可能也就放在角落積灰了。
而當做為運營工具使用的時候,總有人盯著,然后及時發現警報,而不是坐等警報送到郵箱。這些人可以快速響應警報,而且因為這是人們慣用的工具,他們很熟悉也能快速以之工作。
標準化還有助于Orbis的合規工作,隨著收集、搜索、報警和日志及機器數據報告操作的全面自動化,建立完整審計跟蹤也就更加容易了。
盡管難以提供可量化的結果,Orbis對共享解決方案甚為滿意,該方案運作良好,達到了既定目的。
下一篇:暗網比我們想象的要小!