Security Operation Centers 24 uur per dag paraat

9 oktober 2009
Organisaties moeten steeds meer moeite doen zich teweer te stellen tegen de inmiddels zeer professioneel georganiseerde computercriminaliteit. Een deel van hen kiest ervoor die bestrijding grotendeels in handen van dienstverleners te leggen middels managed security services (MSS). Dergelijke diensten leunen sterk op zogeheten Security Operation Centers (SOC’s) die 24 uur per dag bemand zijn die het netwerkverkeer en mogelijke criminaliteit daarop monitoren.

Symantec heeft vier SOC’s, verspreid over de wereld: een in het Britse Reading, een in Washington, een in Sidney en een in Chennai in India. De geografische verspreiding moet waarborgen dat de ‘bewakers’ 24 uur per dag in touw zijn. Deze Security Operation Centers verwerken elke dag twee miljard logs van ruim achthonderd klanten. Security-experts moeten er vervolgens voor zorgen dat de netwerken van de klanten gevrijwaard blijven van aanvallen van computercriminelen.

Elke drie minuten worden de logs van de klanten doorgestuurd naar het SOC. Ze worden grotendeels automatisch gescreend en gefilterd. Dat levert uiteindelijk rond de honderd serieuze bedreigingen op die door beveiligingsanalisten in de SOC’s persoonlijk worden beoordeeld op de ernst van de dreiging. Is er werkelijk sprake van een aanval, dan krijgt de klant binnen tien minuten een telefoontje waarin hij gealarmeerd wordt. Desgewenst krijgt hij een advies over hoe te handelen.

Martin Dipper, directeur van het Europese SOC van Symantec in Reading: “Alle events worden geclassificeerd in vier gradaties. Alleen de laatste twee zijn gevaarlijk: critical en emergency. De kern van het werk is dat we ervoor moeten zorgen dat het niet tot dat hoogste niveau komt, een echte aanval dus.”

De vier SOC’s werken geheel identiek en worden gevoed met dezelfde informatie. Alle logs worden gemonitord en gecorreleerd met de informatie die in een centrale database is opgeslagen, het Global Intelligence Network.

Dit GIN is voorzien van 240.000 sensoren, die in feite werken als honeypots. Zij bestuderen onder meer hoe virussen en trojans werken. Die informatie wordt weer opgeslagen in een vulnerability-database, die deel uitmaakt van het GIN en informatie bevat over ruim 32.000 kwetsbaarheden.
Alleen al in 2008 werden bijna 5500 nieuwe zwakke plekken in software ontdekt en aan de database toegevoegd. Dat is van groot belang omdat criminelen hun aanvallen voornamelijk richten op bekende lekken.

Dipper: “Met alleen de netwerk-Intrusion Detection Systems zie je maar een derde van de aanvallen op de zakelijke infrastructuur. Doe je daar de firewall logs bij, dan zie je 50 procent. Maar de botnets vormen de sleutel. Twee derde van alle aanvallen is botnet-gerelateerd. Wij krijgen elk uur een lijst van alle botnets. Zo zie je bijna live wanneer een botnet command controlcenter aansluiting krijgt.” Daarnaast krijgt het GIN endpoint alert en de blogs van de gebruikte applicaties en besturingssystemen. “Dan pas heb je 100 procent van de aanvallen te pakken.”

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.