如果當初早早用了 ArcSight ESM，0 day 威脅早就被我拒之門外了

您知道「0 day 」漏洞嗎？在微軟爸爸給我們的 Windows 系統打補丁的時候，經常會看到在補丁列表中有一個專門針對「0 day 」攻擊的補丁，赫然在列。

「0 day 」是為何物？會讓微軟爸爸如此上心重視？原來，在計算機領域中，0 day 通常是指還沒有補丁的漏洞，而0day 攻擊則是指利用這種漏洞進行的攻擊。只要使用第三方的軟體，0 Day的出現就是遲早的事。

去年鬧得沸沸揚揚的勒索病毒（Wanna Cry），就是一個利用 0 day漏洞的典型：

最可怕的不是漏洞存在的先天性，而是 0Day 的不可預知性。那麼我們能從自身做一些怎樣的行動，來規避這個不可預知又很討厭的 0 Day 呢？

解決方案：構建分層安全體系結構

無論攻擊者使用何種方式來執行 0 day 威脅，這些方法的階段仍然與他們用於一直漏洞的方法相同。

分層安全性可以以不同的方式實現，構成分層安全體系結構的典型組件包括：

下一代的防火牆

IDS/IPS

Web代理

電子郵件安全

端點安全

數據丟失保護

行為分析

……

然而，在該體系結構的核心，您仍然需要一個成熟的SIEM（安全信息和事件管理）解決方案。它的重要性不言而喻，因為0 day漏洞帶來的威脅遠比0 day要深遠。

成熟的SIEM可以實現：

收集原始數據，並實時進行標準化轉換。

將數據進行分類，壯大資料庫，使分析師可以以最快的速度採取行動

集中安全警報，使分析師能夠快速分類和響應

訪問當前的規則集，使用過往案例解決方案以及經驗證的方法。

方案實現：Micro Focus ESM 的最佳實踐

Micro Focus ArcSight Enterprse Secutiry Manager （ESM）：

支持所有SIEM功能，包括態勢評估、監控、警報以及事件處理，此外還有違規分析與響應，和時間關聯。所以 ESM 可以為用戶提供最佳的 0day 實踐功能。

實時更新規則集，扼殺威脅於無形：

ArcSight ESM 採用強大的關聯能力，配合不斷更新的規則集，安全團隊得以快速識別違規事件以及其他可以的網路和端點活動。

接著，利用 ArcSight Activate Framework，您可以進行各種安全活動。由於ESM還將所有事件與外部網路威脅情報相關聯，您甚至可以更輕鬆地發現命令並控制流量，將惡意威脅扼殺在入口。

好評如潮

ArcSight ESM有助於檢測和響應內部及外部威脅，將響應時間從數小時或數天縮短至幾分鐘，並可讓您在不增加人手的前提下，通過簡捷的SOC工作流程應對多出10倍的威脅。久經市場驗證，一起來看看大家對於這款產品的熱烈反響：

「Micro Focus Security ArcSight ESM向我們展示了我們之前無法檢測的安全事件。我們對ESM非常滿意，我們也有信心在威脅侵入我們的網路或擾亂我們的業務之前，就鎖定這些威脅。」

——MARK BEERENDS，Rabobank 安全操作中心主管

「以前我們安全分析師工作起來異常艱難。而現在他們再也不需要將時間浪費在手動工作上。」

——ENKHSAIKHAN PAGVA，Unitel 信息安全部門經理

「以前使用其他產品時，得到原始日誌和搜索查詢結果可能要花費數分鐘到數小時。現在有了ArcSight，我只需幾秒鐘的時間便可運行相同的查詢。」

——LANCE AUMAN，Irvine Unified School District，三級系統管理員

▼▼▼

走過路過不要錯過！關注Micro Focus，隨時接收前沿信息：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！