„A legelső feladat, amellyel vevőink szembesülnek, az összetett védelmi infrastruktúra és a védelmi rendszerek által létrehozott adatáradat kézben tartása” – jelentette ki Gail Hamilton, a Symantec ügyvezető alelnöke. „A Symantec megoldása nyílt szabály- és incidenskezelési képességekkel bír, melyek révén az ismert veszélyek ellen megelőző jelleggel tehető biztonságossá a hálózat, és az új támadásokra valós időben lehet reagálni.”
Nehéz dolog manapság kézben tartani a különböző szállítóktól származó, össze nem férő, integrációt és együttműködő képességet nélkülöző termékekkel a vállalat védelmét. Ennek következtében a kritikus helyzetekben egy nagy mértékben bonyolult és magas működési költséggel járó okozó rendszer által biztosított, elszigetelt védelmi adatok alapján kell meghozni a döntéseket. A vállalatok többsége esetében ez az üzlet követelményeinek meg nem felelő, gyenge védelmi profilt, nem biztonságos üzleti infrastruktúrát, hiányos szabálymegfelelést, védelmi ellenőrzési hibákat és magasba szökő védekezési költségeket eredményez.
A Symantec Security Management System
A Symantec Security Management System több, a felhasználó által kiválasztható, és az egyedi üzleti céloknak megfelelő összeállításban telepíthető védelemkezelő alkalmazásból áll.
A Symantec Security Management System fő alkotórészei a Symantec Event Managerek (eseménykezelők), a Symantec Incident Manager (incidenskezelő) és a szabálymegfeleltetést szolgáló Symantec ESM.
A Symantec Event Managerek
A Symantec az olyan vállalati ügyfeleinek, akik csak egyetlen konkrét védelmi terület teljes áttekintését igénylik, bevezeti a Symantec Event Manager for Anti-Virus és a Symantec Event Manager for Firewall nevű termékeit. Ezek az eseménykezelők a Symantec és más gyártók védelmi megoldásai által szolgáltatott adatok összevonásából biztosítják a vírus- és tűzfalesemények teljes áttekintését. Rendezni lehet velük a más gyártók védelmi termékei által szolgáltatott adatokat, így a Network Associates vírus-elhárítási adatait, vagy a Check Point tűzfalakét. A decemberben kezdődő pénzügyi negyedévben további eseménygyűjtők megjelenése várható.
A Symantec a hivatalosan 2003 első negyedévében bejelentésre kerülő partnerprogramja keretében más gyártókkal is együttműködik az eseménygyűjtők létrehozása érdekében. Ennek a programnak már most is részese a TippingPoint, az aktív hálózatvédelmi rendszerek fejlesztője és az Entercept, mely behatolást megakadályozó szoftvert fejleszt.
A Symantec Incident Manager
A Symantec Incident Manager nyitott, valós idejű, a vállalatok védelmi eljárásainak teljes mértékű kihasználását, a védelem megsértésének észlelését és a rá adott gyors választ elősegítő incidenskezelést biztosít. A Symantec Incident Manager észleli, összevonja és egymással összefüggésbe hozza a több gyártótól származó különféle egyedi termékek és védelmi eljárások által jelzett védelmi eseményeket.
A Symantec Incident Manager az incidensek felismerése érdekében elemzi és összevonja az eseményeket, majd azok megoldását nyomon követi a lezárásig. Az incidensek elsőbbségi rendje az üzletmenetre gyakorolt befolyásuk mértéke szerint állítható be. Ez az elsőbbségi rend az egyes incidensek lefolyása által dinamikusan változik. Az észlelést követően a Symantec Incident Manager az incidens jellemzőinek megfelelő szakértői útmutatással szolgál. Az útmutatás az SANS-CERT elismert incidens megválaszolási keretrendszerén alapul. Az útmutatás a felhasználói szabályrendszer irányításával vállvetve segíti a védelemmel foglalkozó személyzetet az incidens gyors és hatékony megoldásában. A rendszer által nyújtott útmutatás a tágabb értelemben vett informatikai személyzetnek kiadandó, az egyes incidensek megoldását célzó egyértelmű és hiánytalan utasítások kiadásában is segíti a védelmi személyzetet.
A Symantec Incident Manager hatékony kockázatelemző egységet is tartalmaz, amely a rendszer értékeinek viszonylagos titkossága, sértetlensége és hozzáférhetősége alapján meghatározza az egyes incidensek kihatását. A kockázatelemző figyelembe veszi az incidens megoldása érdekében tett lépéseket és dinamikusan rangsorolja minden egyes incidensnek az összes többi, folyamatban levő incidenshez viszonyított elsőbbségét. Ezáltal a személyzet a legkritikusabb incidens mielőbbi megoldására összpontosíthat.
A Symantec Incident Manager figyelmeztetéseket és értesítéseket küld az incidens fennállása alatt. A védelmi személyzetet az incidens felbukkanásakor értesíti és folyamatosan figyeli minden incidens elhárításának folyamatát. Előre figyelmeztet a számos szervezetnél használatos Security-Level Agreement (SLA – biztonsági szint szerződés) határidőire, amelyek előírják, hogy valamennyi fázisra meghatározott időn belül reagálni kell.
A Symantec Incident Manager emellett az incidens felismerése és megoldása érdekében tett összes tevékenységet naplózza, és nemcsak a veszélyek jellegét és súlyosságát, hanem a szervezet reagálásnak hatékonyságát is megmutató jelentést is készít.
A Symantec külső közvetítőket is készít ahhoz, hogy a Symantec Security Management Systemből könnyen juthasson el az információ más hálózati és rendszer-felügyeleti termékekhez. Az IBM Tivoli Risk Managerhez készülő, a Tivoli Enterprise Console-t tartalmazó közvetítő a decemberben kezdődő pénzügyi negyedévben lesz hozzáférhető.
A Symantec ESM
A szélesebb körű védelem-felügyeletet igénylő vállalati ügyfelek számára a Symantec ESM a felismert, a szabályok be nem tartásából eredő incidensek megoldásának nyomon követésére integrálható a Symantec Incident Managerrel. A Symantec ESM, mint önálló védelmi alkalmazás lehetővé teszi, hogy a vállalatok igényüknek megfelelő védelmi szabályokat hozzanak létre, és egyetlen helyről tarthassák kézben a vállalat létfontosságú üzleti alkalmazásainál és szervereinél a szabályok betartását. A Symantec Incident Manager és a Symantec ESM közösen átfogó, összhangban működő megoldást biztosít a vállalat egészében a védelem kezelésére.
A Symantec Incident Managert a vele integrált Symantec ESM a szabályok be nem tartásából eredő problémák felismerésére és megoldására, valamint a sérülékenységek kiküszöbölésére szolgáló fontos képességekkel bővíti ki.