Rozszerzenie to ma zapewnić subskrybentom możliwość wcześniejszego otrzymywania ostrzeżeń o rozprzestrzenianiu się zagrożeń w Internecie.

System DeepSigcht, który Symantec przejął wraz z firmą SecurityFocus, został wydany w połowie lutego w wersji 4.0. Usługa ta umożliwia korzystanie z doświadczeń tysięcy różnych organizacji, które udostępniają firmie Symantec swoje logi związane z ochroną.

Zobacz również:

• Hakerzy włamali się do znanego polskiego sklepu internetowego

Wcześniejsza wersja "wyciągała" dane z siedmiu najbardziej popularnych systemów wykrywania włamań (IDS), co ograniczało rozpoznawanie bardzo szybko rozprzestrzeniających się zagrożeń. IDS, poszukujący sygnatur znanych ataków, nie mógł dostarczać do DeepSight pełnych danych w przypadku nowych zagrożeń.

Symantec dołączył do DeepSight możliwość analizy logów zapór ogniowych już we wrześniu ubiegłego roku i przez ostatnich kilka miesięcy ustalał kryteria dopuszczalnych odchyleń w ruchu. Każde znaczące odchylenie od ustalonego wzorca traktowane jest jako atak. Ustalone kryteria pozwalają na rozpoznawanie normalnych szumów i ograniczanie fałszywych alarmów.

Dołączenie do analizy danych pochodzących z zapór ogniowych pozwoli zmniejszyć czas reakcji na niektóre typy zagrożeń. W przypadku niedawno odkrytego robaka Slammer, DeepSight zaobserwował nienormalny ruch na portach 1434 i wydał automatyczne ostrzeżenie. Dwie godziny później specjaliści Symanteca wysłali bardziej szczegółowy alarm.

Takie pierwsze ostrzeżenie jest niezwykle ważne, ponieważ pozwala na prewencyjne zablokowanie ruchu na określonym porcie na zaporze ogniowej.

Groźnych robaków, takich jak Slammer, który nie potrzebuje poczty, dysku czy też interwencji człowieka do tego, aby się rozprzestrzeniać, może być coraz więcej.