Symantec分拆了Veritas之後,宣佈積極擴充企業保安市場,投入超過五千萬美元,加強全球安全服務業務,發展托管保安服務,亞洲區內安全運營中心(Security Operations Center ,SOC)增至四個,包括澳洲悉尼、日本東京、印度金奈,以及剛啟用的新加坡SOC,全球SOC已達六個。
Symantec亦正建立歐洲地區SOC,最終全球SOC會多達八個。這些SOC每天分析全球300億個日誌。隨著零日攻擊成為主流,若缺乏即時資訊,根本上難以防止進階持續性滲透攻擊(Advanced Persistent Threat, APT)。全球連線的SOC全年無休,變成企業強化安全防禦能力,應對每天出現新型威脅的防禦網Symantec亞太區高級總監Peter Sparkes說:SOC不單分析全球而來的保安資訊,也是全球情報網絡(Global Intelligence Network)站點,每日追蹤全球全球七十萬個發動攻擊IP,接收從客戶傳送各項資訊即時分析,配合Symantec的DeepSight Intelligence平台,Symantec向企業提供最新攻擊情報,即時獲得網上最新攻擊趨勢和新出現威脅,一俟不同地區的惡意程式爆發,還未傳到另一地區之前,客戶已經可從DeepSight事先獲知,並整合資訊至內部環境,先行部署防禦。
Symantec全球SOC皆有標準化配備和保安程序,可以無縫交接,任何時區不斷偵察。企業可外判方式,向SOC傳送日誌作為即時分析。Sparkes說:當SOC偵察到客戶內部有異動,會主動致電客戶,啟動檢查機制。雖然SOC並非取代SIEM(Security Information & Event Management,),但Symantec具備全球保安情報,加上DeepSight即時情報,誤報率比SIEM還要較低。即使客戶採用不同品牌防火牆或IDP,SOC亦可即時分析日誌內容,馬上判斷是否有需要企業外判SOC,除了聘請專業IT保安人材愈來愈難,每日系統產生的日誌愈來愈多,除非採用先進大數據平台,否則難以應付以千萬條日誌。而威脅的多樣化,也須加入不同工具偵察,又提高了整合難度。一般SOC加入分析模組要大量整合工夫,所以外判SOC幾乎大勢所趨。
Symantec也面對同樣難題,結果Symantec採用了多種不同開源工具和平台,以分析每月數十億計客戶的日誌;實時分析利用了分散運算的Kafka和Storm平台,而批次分析則用Hadoop大數據,數據經不同模組過濾,以多角度檢測是否存在漏洞或入侵。偵察威脅分秒必爭,SOC必須爭取短時間內從浩瀚數據之中,找到蛛絲蟻跡,符合客戶服務承諾水平。
SOC處理的數據量極大,Symantec甚至利用機器學習,以及其他語意分析,並以從網上獲得數以TB數據,與不斷湧入的客戶數據印證。Sparkes說:Symantec已經成為採用大數據實時分析最先進IT企業,以公開源碼技術也令Symantec釋放更多運算資源,以加入多維分析,確保不會分析有遺漏。
隨著新加坡SOC啟用,企業可獲更多IT保安資料,準確預測威脅攻擊,主動獲知新型威脅即將來犯,確保敏感資訊獲全面保護。全新SOC旨在縮短從檢測到回應的周期,回應湧現的網絡威脅。
Symantec資深副總裁兼網路安全服務總經理 Samir Kapuria說:「僅僅依靠技術,已經無法防禦網絡威脅。企業必須飽經實戰的安全專家,解析安全事故以定出優先,採取相應的行動。Symantec新加坡及亞太地區的投資,幫助企業提高洞悉能力,保護數碼資產。鑑於亞太及日本地區多元文化,Symantec也希望擴大地區投資,吸引不同行業、高學歷、多語言、精通安全趨勢的安全專家加入。」
Symantec亦擬擴充位於印度金奈以及日本東京SOC人手一倍。完成擴充之後,Symantec全球有超過500位獲認證IT安全專家,數量之多,可算全球之冠。隨著客戶對托管式「安全即服務」需求增加,Symantec也提供整合的安全服務,除了SOC的托管式服務、也具備供訂閱的DeepSight Intelligence情報服務、Incident response以及安全模擬訓練等產品組合。
沒有留言:
發佈留言