Symantec консолидирует свои программные инструменты защиты корпоративных систем
Компания Symantec разработала комплексную систему корпоративной информационной защиты, которая называется Symantec Enterprise Security Architecture (SESA). Эта архитектура включает в себя программный комплекс, который компания распространяет бесплатно. SESA представляет собой единую систему мониторинга и управления событиями и призвана объединить все инструменты управления защитными механизмами как самой Symantec, так и сторонних разработчиков. SESA интегрируется в другие консоли управления, такие как HP OpenView и IBM Tivoli. Без поддержки SESA не будет поставляться ни один корпоративный программный продукт Symantec.
В состав SESA входит база данных на основе IBM DB2 для хранения системных записей, Web-сервер для представления информации и управления, агенты сбора информации для различных продуктов и сервер каталогов, поддерживающий стандарт LDAP. Основу SESA составляют «менеджеры событий» SESA Event Manager (SEM), которые собирают информацию о событиях из различных защитных механизмов, как напрямую, так и через специальных посредников-агентов. Для разных классов продуктов предназначены свои менеджеры событий. Сейчас они есть для межсетевых экранов, антивирусов и детекторов вторжений. Информация, собираемая в SEM, сохраняется в базе данных событий, из которых она поставляется в системы корреляции событий, генераторы отчетов, на Web-сервер для представления администраторам, а также во внешние приложения. Первым продуктом, который реализован в соответствии с требованиями SESA, является Symantec Vulnerability Assessment. Он занимается тем, что анализирует информационную систему, выискивая в ней уже известные дефекты.
Для защиты рабочих мест в корпоративной системе Symantec предлагает комплексный инструментарий под названием Client Security. Он совмещает в себе антивирус, межсетевой экран и простой вариант системы обнаружения вторжений (Intrusion Detection System, IDS). При этом все компоненты продукта взаимодействуют друг с другом. Например, если система IDS заметила подозрительную активность на каком-нибудь порту со стороны определенного приложения, то она отдает команду антивирусу на проверку его на заражения вирусом. Если вирус в приложении обнаружен, то система выдает пользователю предупреждение о потенциальной опасности с предложением блокировать подозрительную сетевую активность. Если пользователь соглашается, то в действие вступает межсетевой экран, который блокирует дальнейшее распространение заразы. Компания выпустила вторую версию инструментария Client Security, который умеет подробно анализировать не только Web-сеансы, но и передачу данных по протоколам SMTP и POP3.
Важным элементом защиты являются службы DeepSight Alert Service и Threat Management System. Первая занимается сбором информации о найденных дефектах программного обеспечения, подготовкой рекомендаций по их исправлению и рассылкой предупреждений и обновлений, например, для базы Symantec Vulnerability Assessment. Вторая анализирует текущую ситуацию в Internet с помощью датчиков, разбросанных по самым удаленным закоулкам Сети, и в случае, когда активность по эксплуатации какого-нибудь дефекта становится аномально высокой, рассылает предупреждения о вирусной эпидемии. Их работа позволяет клиентам Symantec максимально быстро узнавать о появлении новых дефектов и массовых атак с их использованием.