Security Operation Centers 24 uur per dag paraat

9 oktober 2009

Symantec heeft vier SOC’s, verspreid over de wereld: een in het Britse Reading, een in Washington, een in Sidney en een in Chennai in India. De geografische verspreiding moet waarborgen dat de ‘bewakers’ 24 uur per dag in touw zijn. Deze Security Operation Centers verwerken elke dag twee miljard logs van ruim achthonderd klanten. Security-experts moeten er vervolgens voor zorgen dat de netwerken van de klanten gevrijwaard blijven van aanvallen van computercriminelen.

Elke drie minuten worden de logs van de klanten doorgestuurd naar het SOC. Ze worden grotendeels automatisch gescreend en gefilterd. Dat levert uiteindelijk rond de honderd serieuze bedreigingen op die door beveiligingsanalisten in de SOC’s persoonlijk worden beoordeeld op de ernst van de dreiging. Is er werkelijk sprake van een aanval, dan krijgt de klant binnen tien minuten een telefoontje waarin hij gealarmeerd wordt. Desgewenst krijgt hij een advies over hoe te handelen.

Martin Dipper, directeur van het Europese SOC van Symantec in Reading: “Alle events worden geclassificeerd in vier gradaties. Alleen de laatste twee zijn gevaarlijk: critical en emergency. De kern van het werk is dat we ervoor moeten zorgen dat het niet tot dat hoogste niveau komt, een echte aanval dus.”

De vier SOC’s werken geheel identiek en worden gevoed met dezelfde informatie. Alle logs worden gemonitord en gecorreleerd met de informatie die in een centrale database is opgeslagen, het Global Intelligence Network.

Dit GIN is voorzien van 240.000 sensoren, die in feite werken als honeypots. Zij bestuderen onder meer hoe virussen en trojans werken. Die informatie wordt weer opgeslagen in een vulnerability-database, die deel uitmaakt van het GIN en informatie bevat over ruim 32.000 kwetsbaarheden.
Alleen al in 2008 werden bijna 5500 nieuwe zwakke plekken in software ontdekt en aan de database toegevoegd. Dat is van groot belang omdat criminelen hun aanvallen voornamelijk richten op bekende lekken.

Dipper: “Met alleen de netwerk-Intrusion Detection Systems zie je maar een derde van de aanvallen op de zakelijke infrastructuur. Doe je daar de firewall logs bij, dan zie je 50 procent. Maar de botnets vormen de sleutel. Twee derde van alle aanvallen is botnet-gerelateerd. Wij krijgen elk uur een lijst van alle botnets. Zo zie je bijna live wanneer een botnet command controlcenter aansluiting krijgt.” Daarnaast krijgt het GIN endpoint alert en de blogs van de gebruikte applicaties en besturingssystemen. “Dan pas heb je 100 procent van de aanvallen te pakken.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!