Vedius ICT

Anasayfa > Ürünler > > Symantec Deepsight Threat Management System: global bir erken uyarı sistemi

Symantec Deepsight Threat Management System: global bir erken uyarı sistemi

Symantec DeepSight Threat Management System, saldırıların kuruluşu etkilemeden önce önlenmesi için saldırılarla ilgili erken uyarılar ve en uygun karşı önlemleri sağlayan kapsamlı ve özelleştirilebilir bir tehdit yönetimi çözümüdür. Symantec DeepSight Threat Management System, eğilimleri, anormallikleri ve saldırı düzenlerini tanımlamak için tüm dünyadaki kuruluşlardan gelen
IDS ve Firewall olaylarını değerlendirerek, kuruluşun saldırılara maruz kalma riskini daha anlaşılır bir duruma getirir. Bu, yöneticilerin aşağıdaki gibi önemli soruları yanıtlamasını sağlar:

Saldırılarda belli özellikleri olan kuruluşlar mı (örneğin endüstri, şirket boyutu veya konumu) hedefleniyor?
Hangi BT ürünleri ve platformları hedefleniyor veya hangilerinde güvenlik açıkları var?
Hangi güvenlik açıkları en fazla riski içeriyor?
Hangi sistemlere yama uygulanmalı ve bu hangi sırada yapılmalı?
Saldırılar belli IP adreslerinden veya ülkelerden mi geliyor?
Hangi türde saldırıların sıklığı artıyor?
Saldırı riski haftanın belli günlerinde mi veya günün belli saatlerinde mi artıyor?
Belli tehditleri durdurmak için hangi doğrulanmış çözümler, yamalar veya ek referanslar var?

Uzun dönemli bir hava tahmin sistemi gibi, Symantec DeepSight Threat Management System, kuruluşların sorun ortaya çıkmadan önleyici eylemlerde bulunmalarını sağlar. Bu hizmetin en önemli öğesini, 180 ülkede 19.000’den fazla kayıtlı veri ortağını içeren bir veri toplama ağı oluşturur. Symantec’teki uzman tehdit analistleri bu verileri sürekli izleyerek global aktiviteyi gözlem altında tutar, şüpheli trafiği inceler ve saldırıları daha başında tanımlar. Symantec DeepSight Threat Management System saldırıları türe, kaynağa, zamana, yere ve saldırı hedefinin profiline göre izler ve BT profesyonellerinin bu verileri, riskleri ve güvenlik güvenlik açıklarını devrim yaratan bir korelasyon motoru ve güçlü analiz araçlarıyla değerlendirmek için kullanırlar. Sistem, sürmekte olan Internet aktivitesinin bir kesitini, her müşteri için uygun zamanlı, özelleştirilmiş bir tehdit analiziyle birlikte verir. Kişiselleştirilmiş tehdit alarmları, zararlı kod uyarıları ve olay aktivitesi eşik uyarıları güvenli bir Web tabanlı konsol veya e-posta, faks, telefon ya da SMS metin mesajlarıyla gönderilir. Buna ek olarak, müşteriler günlük, haftalık ve aylık özet raporlar alırlar. Symantec DeepSight Threat Management System ayrıca müşterilerin özel bir raporlama aracıyla Symantec Event Database’de kullanmasını sağlar. Tablo 1, Symantec DeepSight Threat Management System tarafından sağlanan ve işlenmemiş global IDS ve Firewall günlük verilerini gelişmiş bir proaktif tehdit önleme için eyleme dönüştüren özel raporları listeler.

Tablo 1. Symantec DeepSight Threat Management System tarafından sağlanan raporlar

Başlık	Açıklama
Olay Özeti	DeepSight sensörleri tarafından gözlenen olay aktivitesinin özeti.Hangi olayların en önemli olduğunu ve bu olayların geçmişini belirleme de yardımcıdır.
Port Özeti	DeepSight sensörleri tarafından gözlenen port aktivitesinin özeti. Hangi portların hedeflendiğini ve bu aktivitenin eğilimini belirleme de yardımcıdır.
Kategori Özeti	DeepSight sensörleri tarafından gözlenen olay kategorisini veya sınıfını temel alan olay özeti.
Hedef Ürün Özeti	Global olarak hedeflenen ürünlerin ve uygulamaların özeti.
Kaynak Özeti	DeepSight Threat Management System uygulamasına raporlanan olaylardan etkilenen demografik öğelerin özeti.
Hedef Özeti	DeepSight Threat Management System'e raporlanan olaylardan etkilenen demografik ögelerin özeti.
IP Analizi	DeepSight sensörleri tarafından gözlemlenen tek bir IP adresinin aktivitesiyle ilgili ayrıntıları sağlar. Bu rapor, IP adresinin hedeflediği aktiviteyi,alışkanlıkları ve uygulamaları yansıtan birkaç bileşenden oluşur. Bu veri noktalarıyla ilgili korelasyonu yaparken, bu rapor saldırganın kaynağını ve hedeflediği güvenlik güvenlik açıklarını ve hizmetleri verir.
Olay Analizi	Belli bir olayı çevreleyen aktivitenin ayrıntılı analizini verir. Bu rapor olay aktivitesinin geçmişini sunar. Aktivitenin nereden kaynaklandığını ve kimi hedeflediğini ana hatlarıyla verir.
Port Analizi	Belli bir portu çevreleyen aktivitenin ayrıntılı analizini verir. Bu rapor seçili portu hedefleyen aktivitenin geçmişini sunar. Aktivitenin nereden kaynaklandığını ve kimi hedeflediğini ana hatlarıyla verir.
Kaynak ISS	Her ISS’ye ait saldırı sıklık değerlerinin yanı sıra, saldırıların büyük çoğunluğunun kaynaklandığı ilk on ISS’yi gösterir.
Kaynak Ip Enfeksiyon Oranı	Belirli bir ölçüt için kaynak IP adreslerinin sayısını verir. Bu, belli bir saldırının yayılma oranına ait bir gösterge fonksiyonunu yerine getirir. Bir solucanla ilgili belirli bir olayda, ayrıca etkilenen sistemlerini sayısına ait bir gösterge olarak görev yapar.
Kaynak IP’ler	Belirli bir ağ aktivitesiyle ilgili başta gelen IP adreslerinin bir özetini verir. Bu adreslerle ilgili aktiviteyi gösteren geçmişe ait bir eğilim grafiği içerir.
İlgili Portlar	Kullanıcı tarafında sağlanmış bir hedef porta yapılan saldırıda en çok kullanılan ilgili kaynak portları gösterir.Çubuk grafik, her kaynak porta ait saldırı sıklığının yanı sıra, kullanıcı tarafından sağlanan bir hedef portla bağlantılı olarak kullanılan en yaygın on kaynak portu da gösterir. Bu rapor eylem halindeki tüm Truva veya zararlı düzenleri belirtir.
Kaynak Ülkeler	Saldırıların büyük çoğunluğunun kaynaklandığı ilk on ülkeyi gösterir. Olay Zamanı Ağınızdaki ağ güvenlik olaylarının en sık meydana geldiği zaman dilimiyle ilgili ayrıntıları verir. Bu olayların ne zaman ortaya çıktığını bilmek geçmişe yönelik aktivitenin izlenmesini ve geleceğe yönelik planlama için kaynak ayrılmasını sağlar.
Hedef Ülkeler	Saldırıların büyük çoğunluğunun yöneltildiği ilk on ülkeyi gösterir.
Hedef Endüstriler	Belli endüstri türlerini hedefleyen saldırıların sıklığını gösterir.
Şirket Boyutu TemelindeSaldırılar	Belli bir sayı aralığında eleman çalıştıran şirketleri hedefleyen saldırıların sıklığını gösterir.
Şirket Geliri	Belli bir aralıkta yıllık gelire sahip şirketleri hedefleyen Temelinde Saldırılar saldırıların sıklığını gösterir.
Saldırı Yaşı	Olaylara bunlarla ilişkili güvenlik açıkların ve olayların kendisinin yaşını temel alan bir genel görünüm sağlar.

Symantec DeepSight Threat Management System nasıl çalışır

Symantec DeepSight Threat Management System ile şirketler, bir saldırıya yanıt vermek için bilgi toplamak üzere düzinelerce Web sitesini veya yüzlerce e-postayı araştırmak yerine, güvenlik kaynaklarını saldırının etkilerini proaktif olarak en aza indirmek için kritik karşı önlemleri almak üzerinde yoğunlaştırabilirler. Symantec ortaklarından bilgi toplayarak, potansiyel saldırıları tanımlamak için verileri sürekli olarak ilişkiler açısından inceler ve analiz eder ve korumayı kolaylaştırmak için müşterilere uygun zamanlı ve belirli tehdit ve yama bilgileri verir. Buna ek olarak
Symantec’in uzman tehdit analizi ekibi global verileri inceleyerek, potansiyel saldırıları tanımlar ve ayrıntılı alarmlar ve analizler sağlar. Güvenlik profesyonellerine belirli, kapsamlı ve işlem yapılabilir bilgi vermek, güvenlik harcamalarında ve kaynaklarında daha etkili bir öncelik belirlemeyi beraberinde sağlayarak yatırımın getirisini artırır. Şekil 2 Symantec DeepSight Threat Management System mimarisinin anahtar bileşenlerini göstermektedir.

• SYMANTEC DEEPSIGHT EXTRACTOR, IDS ve Firewall günlüklerinden Symantec Event Database’e gelen olayları normalize eden ve aktaran bir programdır. Bir şirket olay verilerini, yorumlanması ve analiz edilmesi için Symantec Event Database’e yükleyebilir. Symantec DeepSight Extractor, endüstri standardında güvenli ağ protokolleri ve isteğe bağlı IP adresi gizlemeyle müşteri gizliliğini sağlar.

• SYMANTEC DEEPSIGHT ANALYZER, BT profesyonellerine kendi ağlarındaki olayları ve saldırıları izleme ve yönetme olanağını verir. Birbiriyle ilgisiz IDS ve Firewall ürünlerinden gelen saldırılar arasında otomatik olarak ilişkiler kurarak, BT profesyonellerine ortamlarının kapsamlı bir görünümünü sağlar. Symantec DeepSight Analyzer olayları dünyanın en geniş veritabanıyla karşılaştırır (Symantec tarafından yürütülmektedir), saldırıları izler ve bunlara karşı nasıl savunma yapılacağı hakkında ayrıntılar sağlar, istatistiksel olay raporları oluşturur ve tehditleri yönetir. Symantec DeepSight Analyzer kullanıcıları, şüpheli ağ trafiğini ve izinsiz giriş çabalarını
Symantec DeepSight Extractor yoluyla anonim olarak Symantec Event Database’e bildirir. Symantec bu bilgileri saldırılardaki düzenleri tanımlamak için kullanır; bu tanımlar Symantec DeepSight Threat Management System için bir tehdit kapsamı ölçme sistemi oluşturmada yardımcı olur. Karşılığında katılımcılar güvenli, kişiselleştirilmiş, Web tabanlı bir olay konsoluna erişim kazanmış olur. Sistem; yerel olay izleme, kişiselleştirilmiş olay raporları ve saldırgan bildirim mesajları oluşturma yeteneği sağlayan, zaman kazandırıcı birkaç yardımcı programdan oluşur. NOT: Global Symantec Event Database’e veri göndermek, Symantec DeepSight Threat Management System kullanıcıları için isteğe bağlıdır.

• SYMANTEC DEEPSIGHT THREAT MANAGEMENT SYSTEM bu gelen IDS ve Firewall günlüklerinde saldırı göstergesi olabilecek düzenleri bulmak için günlükleri otomatik olarak analiz eder. Bulunduğunda, alarmlar kullanıcılara tanımladıkları ölccedil;ütlere göre otomatik olarak gönderilebilir. Dahası, Symantec Threat Analysts ekibi başka bir düzeyde inceleme ve analiz daha sağlar. Analistlerden oluşan bu ekip, tehdit ve kullanıcıların ortamlarını güven altına almak için alabilecekleri önlemler hakkında ayrıntılı bir analiz sunar.

Symantec DeepSight Threat Management System iş başında

SQLEXP SOLUCANI (SLAMMER SOLUCANI)

25 Ocak 2003’te, DeepSight Threat Management System port 1434'ü hedefleyen UDP trafiğinde ani ve çok fazla bir artış bildirmiştir; bu port genel olarak Microsoft SQL Server Monitor süreciyle ilişkilidir. Saldırı aktivitesindeki bu belirgin artışın daha sonra W32.SQLExp.Worm adlı belleğe yerleşen bir solucandan kaynaklandığı onaylanmıştır. W32.SQLExp.Worm, kendini yaymak için Microsoft SQL Server Monitor sürecindeki bir yığın taşma güvenlik boşluğunu kullanmaktadır. SQLExp’in yayılma sürecinin ve bol miktarda ağ trafiği oluşturmasının sonucu olarak, olayın ortaya çıktı sırada Internet yoluyla ağ performansının düştüğü gözlenmiştir.

Solucan zararlı bir içerik taşımıyordu, birincil amacı mümkün olduğunca hızlı yayılabilmekti. Bu solucan çok daha tehlikeli olabilirdi ve girdiği sistemlere zarar verecek kod içerebilirdi. Bu solucanın en önemli etkisi ağ genişliğini tüketmekti ve bazı durumlarda ağlarda % 100 paket kaybına yol açtı. Bu özelliğiyle, önce hizmetin reddi türünde bir saldırı olduğu şeklinde yanlış bir kanı uyandırdı.

Symantec DeepSight Threat Management System 25 Ocak, 06:00 GMT saatinde, analiz motoru tarafından 1434 portunu hedefleyen artmış bir aktivite gözlendiğinde otomatik olarak bir Port Alarmı gönderdi. Port Alarmı artan trafiğin nedenini belirleyemese de, bu alarmın kullanıcılara sağladığı bilgiler global bir olayın ortaya çıktığı hakkında kullanıcılar için bir erken uyarı oldu, böylece müşteriler Port 1434’teki trafiği hemen engelleyerek enfeksiyonu önlediler ve bu tehdidin etkisini azalttılar. İki saat sonra, Symantec DeepSight Threat Management System bu tehdidin bir solucan olduğunu bildiren bir Olay Alarmı gönderdi. Daha fazla bilgi edinildikçe, Olay Alarmı solucanın kendisiyle ilgili daha fazla ayrıntı, hedeflediği güvenlik açığı ve bu açığı gidermek için gerekli yamalara doğrudan erişen bağlantılarla güncelleştirildi. Symantec DeepSight Threat Management System müşterileri SQLExp hakkındaki erken uyarıyı, tehdidin ayrıntılı bir analiziyle birlikte aldı ve böylece yöneticilerin varlıklarını korumak için hızlı ve etkili şekilde yanıt vermeleri sağlandı.

Bizi Arayın;

Uzman kadromuz güvenlik taraması yapsın.

Güvenlik konusunda risklerinizi belirlesin.

Daha iyi bir güvenlik politikası için önerilerde bulunsun.

Bize; +90 (216) 550 80 20 - 21 nolu telefondan arayarak yada, guvenlik@vedius.com adresine mail atarak ulaşabilirsiniz.

yada; Formu doldurun biz sizi arayalım
Ad Soyad :
Firma/Görev :
Telefon :
E-posta :