《SYMANTEC安全管理解决方案》由会员分享,可在线阅读,更多相关《SYMANTEC安全管理解决方案(31页珍藏版)》请在金锄头文库上搜索。
1、赛门铁克安全管理解决方案Speaker Name Mail Address2Symantec Confidential用户面临的的问题 赛门铁克安全管理平台SSIM简介赛门铁克安全管理平台SSIM架构总结 1234议程3Symantec Confidential用户在安全管理方面遇到的挑战:复杂(CIO)不断变换的信息安全威胁,需要采用新的防护技 术进行拦截,但是如何实现跨平台,跨产品的统一集中 管理如何证明企业在安全方面的投入产生了应有的 回报工作效率(IT/安全维护人员)防火墙/IDS等安全产品的报警过多,没有时间查看 无法区分安全产品的误报缺少安全专业知识,无法进行 跨产品的事故分析 不
2、同的产品,不同的界面,不同的报表格式,需要一段时 间来熟悉和管理如何有效管理 企业现有的多种安全产 品,提升产品的使用价 值如何证明安全部门尽责 执行公司信息系统 的安全规定如何能直观的获得 企业信息系统 当前运行安全情况如何能快速,有效的提 交安全产品的周报,月 报或季度报告?合规/执行企业安全策略(Security Manager)缺少全面的报表统计工具 缺少集中日志保存,存贮方案,在突发安全事件时,很 难进行事后取证 需要花费大量的人力,物力,完成外部审计4Symantec Confidential安全信息管理安全情况关联区分优先级工作流网络网络, , 主机主机, , 和和 安全产品日志
3、数据安全产品日志数据事事 件件事故事故事件管理入侵检测/入侵防御, 认证管理, 防火墙, 防病毒策略依从漏洞评估日志合并入侵检测/入侵防御, 认证管理, 防火墙, 防病毒策略依从漏洞评估10,000,000s100,000s100s我该采取怎么样的行为去应对威胁?哪些业务资产在被威胁?安全管理面临的挑战:安全信息事件的过载 IT 支持法规/审计合 规5Symantec Confidential某国内电信用户应用/数据大集中 所有应用集中在 EDC集中管理,专门的安全管理小组SOX 合规要求 不能有效监控用户行 为,评估安全风险同时部署多家安全产品 - Symantec, CheckPoint,
4、 Cisco, Microsoft, 安氏安全信息的事件量23台防火墙: 11.7 GB/天 513 GB/ 月 IDS: 1,600,000 事件/天 48,000,000 事件/月通常每天安全事故的统计 防火墙和IDS及其它 安全产品日志量为6,600,000 条 记录真正与安全相关的有 620 条报警急需用户解决的严重 威胁有个事件报警与安全威胁的比例: 3,300,000:16Symantec ConfidentialDeepsightDeepsight 早期预警和分析收集和关联收集和关联 Security Security InformationInformationManager
5、Manager赛门铁克安全管理解决方案托管服务 监控与管理构建和维护 咨询服务InfrastructureInformation解决安全知识和分析能力 的缺乏解决专业人员和资源 的缺乏解决技术和人员 的局限性解决经验和实施经验 的缺乏7Symantec ConfidentialSymantec Security Information Manager8Symantec ConfidentialIntroducing Symantec Security Information ManagerSymantec Security Information Manager (SSIM) 是安全信息和 事
6、件管理的的统一平台,他能帮助用户:收集并分类安全日志识别并解决重大安全事件满足在安全监控和日志存贮方面的审计和合规需求衡量安全控制的有效性9Symantec ConfidentialHundreds of MSS customersMillions of security alerts per monthMillions of threat reports per month200,000 malware submissions per monthTwyford, EnglandMunich, GermanyAlexandria, VASydney, AustraliaRedwood City
7、, CASanta Monica, CACalgary, CanadaSan Francisco, CADublin, IrelandPune, India Taipei, TaiwanTokyo, Japan6,200 Managed Security Devices+ 120 Million Systems Worldwide+ 30% of Worlds email Traffic +Advanced Honeypot Network74 被监监控国家+4 Symantec 安全运营营中心40,000+ Registered Sensors in 180+ Countries+8 个安全
8、响应应中心SSIM 后台安全知识库 赛门铁克全球智能监控网络10Symantec Confidential事件收集-集中保存事件信息 集中保存原始日志 数据 用于事后取证 达到合规要求 支持长期日志保存 需求 归档文件同时被压缩 保存,压缩比率为50% -80% 灵活的存贮选择 (内 置存贮或 SAN/NAS/DAS) 不再需要DBA数据归档和备份更为 方便,备份时间和复 杂程序较数据库备份 都有所减少 归档文件可以用于在 线恢复,规则测试和 搜索 不再需要数据库的日 常维护Event Summary DatabaseSQL 查询 和 报表基于文件压缩的事件归档输入事件提升ROI并降低成本11
9、Symantec Confidential优先级调整和资产管理紧急安全事件优先级的自动提升 或调低,基于:业务依赖 (CIA values)相关的策略和法规要求开放的端口/服务漏洞状态通过定制规则,适应用户要求:灵活的规则编辑工具可以调整事件触发的阈 值减少误报不必再为IDS发出目标 地址为Unix主机的Windows RPC攻击报警而烦恼. 只关心发生在关键资产上的重要事件12Symantec Confidential威胁识别-通过事件关联和事件的规式化简单易用 图形化的规则编辑器 ,使得用户能灵活的定制和修修 改规则 攻击方式统一 事件类型自动分 类,根据事件的效果,攻击方法,访 问的资源
10、自动匹配关联规则,不 必针对新的攻击事件编写特定规 则 内容监控 监控IP地址和可疑 URL访问,数据来源于赛门铁克 安全预警服务和赛门铁克安全托 管服务 提供四十余种默认关联规则 监 控蠕虫扩散,病毒,DoS和其它可 疑攻击,不用定制,测试或部署任 何自定义规则. Find the needle in the haystack13Symantec Confidential用户行为的监控用户行为的搜索和查询 :从不同安全产品 (VPN, OS, Firewall, IDS) 收集的安全事件中追踪 用户行为事件审计,从历史事 件中,发行导常用户行 为针对用户行为的关联和提示:定制用户表跟踪特 定
11、用户的行为创建特定规则针对 特定的用户行为自动触 发发现并报告异常用户行为14Symantec Confidential工作流管理通过报警和工作流实现安全 事件的响应SSIM支持email, pager,和 SNMP报警内建的工单管理也 可与第三方的工单管理 集成工单自动指定给特 定的用户或工作组为IT运维人员提供安全事件 的解决方案SSIM内建赛门铁克 全球智能监控网络的知 识库并在后台自动更新实现制度化的知识普及针对特定安全事件 的解决方案共享消除安全与运维之间的间隙15Symantec Confidential可定制的报表完成事后审计搜索 简单快速的日志复查 生成针对审计人员的报告 自定
12、义查询条件和内容关键报告的自动生成 定制用户登录的仪表板 提供按照时间统计的趋势报表 自动定时生成并分发报告通过查询过查询向导导定制报报表 导导入用户户Logo, 定制页页眉/页页脚 legends, etc. 生成多页页或集成多种报报表的报报告 支持多种文件格的导导出 (CSV, pdf, html, xml)Measure and Report on Effectiveness16Symantec ConfidentialThe SIM WaveSSIM 4.5 is a Leader in the Forrester WaveReport QuotesSSIM is much impro
13、ved this year with 4.5 SSIM is easier to deploy and configure Improved data management capabilities make it easier to perform historical analysis17Symantec ConfidentialDriver: Compliance Compliance teams require proof of a incident response process with a focus on user & access control incident mana
14、gement Needed a mechanism to tie together a broad solution of several Symantec productsSolution: Global SSIM Deployment 9 Appliance in 6 Locations across US, EMEA and JPAC SSIM turns millions of events into a handful of incidents daily, processing 7000+ EPS Professional Services delivered a tuned so
15、lutionResult Limited Security Analyst team addresses top concerns Incident Response Process is fully documented and reports to auditors demonstrate due careCase Study | Fortune 50 Global ManufacturerLarge deployment driven by Compliance18Symantec ConfidentialMonitors & correlates Symantec Network Se
16、curity and Mail Security & dozen third party security devices Cost savings:SSIM savings: $53,000 per year DeepSight savings: $41,000/year“We used to spend seven hours a week doing a close analysis of bulletins about Internet attacks and vulnerabilities. Now we spend maybe an hour a week. DeepSight is saving us $41,000 a year
