Global Threat Network objęła zapory ogniowe

Symantec rozszerzył system DeepSight Threat Management System - agregujący i analizujący dane dotyczące zagrożeń bezpieczeństwa pojawiających się w Internecie, pochodzące z 19 tys. organizacji - o możliwość analizowania logów z zapór ogniowych.

Rozszerzenie to ma zapewnić subskrybentom możliwość wcześniejszego otrzymywania ostrzeżeń o rozprzestrzenianiu się zagrożeń w Internecie.

System DeepSigcht, który Symantec przejął wraz z firmą SecurityFocus, został wydany w połowie lutego w wersji 4.0. Usługa ta umożliwia korzystanie z doświadczeń tysięcy różnych organizacji, które udostępniają firmie Symantec swoje logi związane z ochroną.

Zobacz również:

  • HP naprawia błąd dotyczący kilku serii swoich komputerów

Wcześniejsza wersja "wyciągała" dane z siedmiu najbardziej popularnych systemów wykrywania włamań (IDS), co ograniczało rozpoznawanie bardzo szybko rozprzestrzeniających się zagrożeń. IDS, poszukujący sygnatur znanych ataków, nie mógł dostarczać do DeepSight pełnych danych w przypadku nowych zagrożeń.

Symantec dołączył do DeepSight możliwość analizy logów zapór ogniowych już we wrześniu ubiegłego roku i przez ostatnich kilka miesięcy ustalał kryteria dopuszczalnych odchyleń w ruchu. Każde znaczące odchylenie od ustalonego wzorca traktowane jest jako atak. Ustalone kryteria pozwalają na rozpoznawanie normalnych szumów i ograniczanie fałszywych alarmów.

Dołączenie do analizy danych pochodzących z zapór ogniowych pozwoli zmniejszyć czas reakcji na niektóre typy zagrożeń. W przypadku niedawno odkrytego robaka Slammer, DeepSight zaobserwował nienormalny ruch na portach 1434 i wydał automatyczne ostrzeżenie. Dwie godziny później specjaliści Symanteca wysłali bardziej szczegółowy alarm.

Takie pierwsze ostrzeżenie jest niezwykle ważne, ponieważ pozwala na prewencyjne zablokowanie ruchu na określonym porcie na zaporze ogniowej.

Groźnych robaków, takich jak Slammer, który nie potrzebuje poczty, dysku czy też interwencji człowieka do tego, aby się rozprzestrzeniać, może być coraz więcej.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200