Proiect - Securitatea sistemelor informatice

Symantec Security Analytics – rolul si modul de functionare

Symantec oferă o soție cuprinzătoare și inovatoare pentru a permite

companiilor să detecteze și să răspundă la evenimente de securitate rapid. Atacurile
țintite avansate, programele malware personalizate și atacurile zero-day se
infiltrează în rețele cu viteze record. Soluțiile tradiționale de securitate pur și
simplu nu țin pasul. De fapt, rapoarte recente indică faptul că marea majoritate a
atacurilor și-au compromis ținta în câteva ore, minute, chiar secunde, în timp ce
75% dintre atacuri durează zile, luni, chiar ani înainte de a fi descoperite și
rezolvate. Symantec Security Analytics, oferă vizibilitate deplină, analize de
securitate, informații despre amenințări în timp real și „sistem de înregistrare” de
care este nevoie pentru a descoperii amenințările avansate și a proteja în continuare
infrastructura și forța de muncă.

Arhitectura patentată a Symantec Security Analytics permite

interoperabilitate deschisă, stocare extensibilă și portabilitate către orice reţea,
oferind centrelor de operare de securitate implementare flexibilă opțiuni,
valorificând în același timp investițiile existente. Componentele cheie sunt:

- Security Analytics Appliance: captare completa a rețelei, clasificarea,

îmbogățirea și indexarea datelor la viteze de până la 10 Gbps cu stocare
la bord de până la 42 TB și capacitate pentru a extinde captura prin
stocarea atașat pentru a suporta până la 1,5 PB per aparat.
- Security Analytics Virtual Appliance: Opțiunea perfectă pentru locații
la distanță sau sucursale pentru a oferi capabilitățile complete ale
aparatelor dedicate (appliance) și oferă vizibilitate completă asupra
traficului de rețea
- Security Analytics in the Cloud: Security Analytics acceptă
implementare în medii de tip Cloud, aceeași vizibilitate din mediul local
este disponibilă pentru solutia de Cloud aleasă.

1
 - Security Analytics Central Manager: O platformă centralizată care
oferă vizualizări agregate din peste 200 de analize de securitate diferite
senzori de analiză într-un singur panou de comandă
- Security Analytics Storage Modules: Capacitate de stocare modulară,
module disponibile ca stocare atașată direct sau matrice de înaltă
densitate, pentru a obține o retenție foarte scalabilă a datelor – până la
petabytes pentru zile, săptămâni sau luni de date istorice din rețea pentru
a facilita investigațiile complete și un răspuns rapid la incidente.
- Context-aware Integration: Un API puternic permite integrarea
Security Analytics cu soluții de securitate de top pentru a facilita un
răspuns rapid la incidente.

Security Analytics oferă o varietate de analize în rețea, de la

pachete,porturi/protocoale și aplicații până la utilizator, sesiuni și fișiere pentru a
consolida răspunsul la incident de securitate cu o analiză cuprinzătoare și
concludentă:

- Always-on Classification and Extraction : Cu peste 2.800 protocoale și

aplicații, Security Analytics oferă vizibilitate completă și contextul
activității în rețea, detalii la nivel de sesiune de la straturile 2 până la 7
- Session Reconstruction: Security Analytics reconstruiește integral
sesiunea din pachete de date, inclusiv sesiuni web, e-mail și chat,
împreună cu fișierele asociate, astfel încât analiștii să poată investiga cu
ușurință incidente de securitate fără a fi nevoie de expertiză în pachete.
- Media Panel: Pe lângă reconstruirea tuturor pachetelor de date și afișarea
tuturor imaginilor, videoclipurilor și sesiunilor de voce care parcurg
rețeaua într-un anumit timp, Media Panel-ul include și detalii precum
adresele IP ale inițiatorului și al răspunsului, împreună cu metadate
suplimentare legate de media.
- Geolocation: Cu Security Analytics Geolocalizare, se paote vedea
originea și destinația întregului trafic de rețea, Identifica modele de trafic
care circulă către și dinspre locații neobisnuite. Se pot observa punctele
fierbinți de activitate, semnala adrese IP, locații sau chiar țări suspecte.
Tiparele anormale de trafic pot fi punctul de plecare al unei investigații.
Se poate exporta orice fisier de trafic de rețea ca fișier .klm și importa în
Google Earth.
2
- Artifacts and Timeline: Reconstituie numeroase artefacte precum
Transferuri de fișiere, PDF, .EXE, Word, Excel și multe altele, făcând
ușor de urmărit distribuția exploatării fișierelor și activitatea tip fișier in
timp pentru un singur utilizator sau pentru toți utilizatorii
- Root Cause Explorer: Exploratorul identifică rapid sursa unui exploit
sau compromis și reduce timpul până la rezoluție prin corelarea
informațiilor relevante de e-mail, IM și HTTP și crearea lanțului tuturor
referințelor HTTP.
- Built-In Packet Analyzer: Security Analytics include un analizor de
pachete complet integrat în interfață, eliminând necesitatea de a transfera
fișiere PCAP uriașe prin rețea și accelerarea investigatii.
- Extended Metadata Retention: Optimizearea spațiul de stocare
disponibil pe dispozitivul Symantec Security Analytics și extinderea
datelor. Se pot crea alocări independente de stocare pentru metadate și
pachete complete, permițând reținerea și analiza mai mult timp perioade
de metadate și pachete - săptămâni, luni sau mai multe. Retenția extinsă
permite o fereastră pe termen lung pentru analiza tendințelor și
optimizează volumul de stocare.
- PCAP Import: Security Analytics permite analiștilor să importe date,
facilitând analiza datelor istorice și compararea datelor capturate cu o
linie de bază „cunoscută-bună”. De asemenea, permite redarea capturilor
pentru a verifica eficacitatea măsurilor de remediere și a aplicării
securității instrumente și puteți utiliza un PCAP luat de oriunde din rețea
pentru analiza.
- Complex Rules Alerting: Analiștii pot construi alertari granulare, bazate
pe secvențe de activitate expuse de DPI și apoi livrat prin e-mail, CEF
Syslog și SNMP.
- Alerts Management: Pentru a oferi o imagine cuprinzătoare asupra
activitatii în rețea și a alertelor cu cea mai mare prioritate, Interfața web
Security Analytics se foloseste de Alerts Management Dashboard.
Această nouă vizualizare prezintă o histogramă a alertelor cu liste filtrate
de alerte și scorurile de amenintare (threat score) ale acestora. Din
această pagină, se pot filtra alertele după IP, după indicator sau după
nivelul de amenințare.

3
 - Role Based Access Control (RBAC): Informațiilr sensibile colectate în
platforma Security Analytics pot fi mascate, limitând accesul.
- Strong Authentication: Security Analytics acceptă LDAP/AD și
autentificare RADIUS pentru controlul accesului, certificate PKI x509, și
autentificare cu doi factori folosind o parolă unică bazată pe timp
(TOTP).
- SCADA analysis: Sistemele de control industrial (ICS) sunt ținte
atractive pentru atacuri cibernetice și ca și restul rețelei, necesită
vizibilitate deplină. Security Analytics acceptă protocolul SCADA.
- Risk and Visibility Report: Se pot face capturi de trafic de rețea pentru
câteva zile sau mai multe și apoi se poate obține un raport complet
generat cu un rezumat executiv de alerte, fișiere rău intenționate, trafic
SSL riscant, aplicații, anomalii și multe altele.
- Flexible Deployment Options: Senzorii Security Analytics sunt
implementați în întreaga rețe cu capacitatea de a monitoriza mii de
segmente de rețea, de la centre de date și rețele virtuale la birouri la
distanță și sarcinil de lucru în cloud. Un sistem de management central
oferă o vedere completă dintr-un singur panou de comadă folsind mai
mulți senzori. În plus față de capacitatea de a se extinde în rețea, senzori
Security Analytics oferă mai multe opțiuni optimizate de stocare. Stocare
la bord, stocarea atașată direct sau matricele de stocare de înaltă densitate
permit organizații pentru a găzdui birouri de la distanță sau sucursale la
cel mai mare dintre centrele de date.

Symantec Security Analytics oferă vizibilitatea rețelei și capacitatea de

analizare necesare pentru a efectua analize cuprinzătoare în timp real și
retrospective, permițând reactia rapidă la problemele de securitate pentru a proteja
forța de muncă, a consolida rețeaua și a îmbunătăți procesele de securitate. Soluția
poate captura, inspecta, indexa, clasifica și îmbogăți întregul trafic de rețea
(inclusiv pachetele complete), care este stocat într-un sistem de fișiere optimizat
pentru analiză rapidă, regăsire instantanee și reconstrucție completă pentru a
sprijini toate activitățile de răspuns la incident și de remediere. Bazată pe
dispozitive, soluția poate fi implementată oriunde în rețea: la perimetru, în nucleu,
într-un backbone de 10 GbE sau la o conexiune de la distanță pentru a oferi
informații clare și acționabile pentru răspuns și rezolvare rapidă a incidente.