赛门铁克安全运营中心内部

赛门铁克安全运营中心的内部看起来就像电影《战争游戏》中的一幕,在很多方面,这种联系都是合适的。SOC是Symantec员工所熟知的,它的业务是检测和分析网络威胁。而且,随着网上恶意活动变得越来越复杂,打击网络犯罪的战争无疑正在展开。

这个位于弗吉尼亚州亚历山大市的站点是赛门铁克管理安全服务(MSS)系统中的四个SOC之一。其他的则在英国的雷丁、澳大利亚的悉尼和印度的金奈。据赛门铁克MSS副总裁Grant Geyer介绍,所有这些服务都为客户执行相同的任务,这些客户向赛门铁克支付全天候监控、分析和应对系统潜在威胁的费用。

“我们的客户通常是需要防弹安全的大企业客户,”Geyer说这些客户中的许多人负责庞大的能源系统,或者他们是拥有大量风险资产的大型金融机构。他们需要实时访问事件,以及与他们合作处理威胁的分析师。”

由于他们付出的代价,这些客户立即得到关注。Geyer称,客户呼叫SOC分析师的平均等待时间为8.5秒。客户也很熟悉。分析员被分成小组,并被分配给客户,这样客户就知道,无论何时打电话,他们都会和同一组人交谈。

进入房间是一个过程。SOC由三个不同的区域保护。在赛门铁克全球17000名员工中,只有200人拥有进入SOC的访问权限。

人们必须经过的第一个区域是一个外观一般的安检点,门上有一个徽章阅读器和一个生物识别扫描仪。但穿过那扇门的是一个被称为“人类陷阱”的区域,这是一个巨大的圆形等候区,高墙让人联想起多萝西和她的船员等待被绿野仙踪看到的画面。

“我是伟大而强大的奥兹!你是谁?!”我希望巫师能从一个看不见的地方飞起来。但很快我就被带过安全区二,进入了一个玻璃区域,那里有一个令人印象深刻的SOC视图,被称为“鱼缸”,我们在那里了解了更多关于SOC及其工作原理的信息。

Geyer解释说:“我们有专家查看客户事件,并对其作出实时响应,以通知他们当时需要处理的事件。”我们每天收到20多亿起安全事件。”

盖尔指着一层楼的员工。

“分析师们站在左边。他们正在进行监测和分析右边是安全工程师。他们负责我们服务的故障配置性能管理。也就是说,任何防火墙策略更改、任何系统修补以及客户端可能需要的任何系统中断。”

他指出,该体系提供了制衡机制。分析师决定是否有值得回应的问题,但无法改变任何事情。必要时,工程师们会采取行动。

SOC只是托管安全系统的一部分。赛门铁克还部署了一个名为“Deep Site”的传感器网络,用户可以下载该代理,查看当前攻击和威胁趋势的快速快照。还有反应实验室。在实验室里,员工们仔细分析恶意软件以了解其使用方法、严重程度,然后将其以产品的形式推出给客户。

根据Geyer的说法,这个解剖过程包括200万个诱饵电子邮件账户,或“蜜罐网络”。它们是用来检测新垃圾邮件种类的诱饵电子邮件帐户。此外,还有一些地区的考虑也在发挥作用,因为影响世界某些地区的恶意软件威胁在其他国家往往闻所未闻。

“漏洞数据与恶意软件非常不同,恶意软件与攻击趋势非常不同。垃圾邮件和网络钓鱼数据是不同的。因此,除非您有目的地设置获取数据片段的方法,否则您将错过安全威胁的多维方面。”