Strażnicy spokojnego snu

Coraz pokaźniejszą część rynku bezpieczeństwa informatycznego stanowią usługi. Obecnie nie chodzi już tylko o doradztwo czy audyt wdrożonych rozwiązań. Wiele korporacji decyduje się na powierzenie stałego monitoringu infrastruktury firmom zewnętrznym. W ofercie Symanteca takie usługi są dostępne od 2002 r., po przejęciu firmy Riptech. Symantec rozpoczął budowę sieci jednostek świadczących usługi outsourcingu w zakresie bezpieczeństwa. Firma dysponuje obecnie sześcioma ośrodkami SOC (Security Operation Center) w USA, Japonii, Wlk. Brytanii, Niemczech i Holandii.

Coraz pokaźniejszą część rynku bezpieczeństwa informatycznego stanowią usługi. Obecnie nie chodzi już tylko o doradztwo czy audyt wdrożonych rozwiązań. Wiele korporacji decyduje się na powierzenie stałego monitoringu infrastruktury firmom zewnętrznym. W ofercie Symanteca takie usługi są dostępne od 2002 r., po przejęciu firmy Riptech. Symantec rozpoczął budowę sieci jednostek świadczących usługi outsourcingu w zakresie bezpieczeństwa. Firma dysponuje obecnie sześcioma ośrodkami SOC (Security Operation Center) w USA, Japonii, Wlk. Brytanii, Niemczech i Holandii.

Centrum monitoringu w ośrodku Security Operation Center Symantec w Wlk. BrytaniiNajsłynniejszy SOC obsługujący klientów z regionu EMEA jest zlokalizowany nieopodal Winchesteru. Centrum znajduje się w autentycznym przeciwatomowym schronie z czasów zimnej wojny, doposażonym w wielopoziomowy system kontroli dostępu i łącze o przepustowości 2,55 Gb/s. Liczba fizycznych i logicznych zabezpieczeń ma wzbudzać zaufanie klientów. Fakt, że centrum bezpieczeństwa mieści się w podziemnej fortecy, jest oczywiście chętnie wykorzystywany przez Symanteca w celach marketingowych. Analitycy pracujący w SOC na trzy zmiany monitorują zdarzenia w Internecie i czuwają nad bezpieczeństwem sieci klientów.

Zasada działania jest dość prosta. Do centrum spływają dane (logi) o zdarzeniach z systemów bezpieczeństwa zainstalowanych po stronie klienta (firewall, systemy antywirusowe, IDS). Specjaliści z SOC monitorują na bieżąco zdarzenia w sieci klientów, analizując stan bezpieczeństwa ich infrastruktury, reagując na próby włamania i czysto potencjalne zagrożenia. Mają też bezpośredni kontakt z pracownikami działów IT klientów, mogąc na bieżąco komentować zdarzenia, zalecając podjęcie odpowiednich działań (np. zainstalowanie konkretnego uaktualnienia). Każdy analityk Symanteca monitoruje dane z ok. 100 systemów i urządzeń. Ich praca jest w dużym stopniu zautomatyzowana. Logi generowane przez systemy zabezpieczeń klientów zasilają centralną bazę danych. Platforma systemowa zainstalowana w centrum bezpieczeństwa analizuje alarmy sieciowe pod kątem predefiniowanych wzorców ataków. Na te potrzeby Symantec wykorzystuje m.in. technologię korelacji zdarzeń przejętą wraz z firmą Mauntain Wave, oferowaną obecnie w linii produktów Incident Manager. Podobnie jest w przypadku szczepionek antywirusowych. Ich opracowaniem i dystrybucją nie zajmuje się sztab inżynierów wnikliwie analizujących kod każdego wirusa, lecz automat wyposażony w odpowiednie technologie heurystyczne (Digital Immune System) opracowane przez IBM i Symanteca.

W skali globalnej za pośrednictwem ośrodków Security Operation Center Symantec obsługuje ponad 500 klientów. Firma nie jest jedynym graczem na rynku MSP (Managed Security Provider). Tego typu usługi oferują także Cisco, ISS, Check Point i VeriSign. Symantec jest jedną z nielicznych firm, która na taką skalę świadczy usługi monitoringu bezpieczeństwa za pośrednictwem specjalizowanych ośrodków operacyjnych. Jako głównego konkurenta wymienia działającą na amerykańskim rynku spółkę Guardnet.

Z oferowanych przez Symanteca usług korzysta w Polsce kilku klientów. Są to głównie oddziały niemieckich firm (m.in. koncern MG Technologies). Ich obsługą zajmuje się berlińskie centrum SOC.