Wednesday, October 04, 2006

Visit to Symantec Security Ops Center

Last week I was invited to visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec Security Operations Center (SOC) in Alexandria, VA. I had been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re twice before, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y acquired Riptech and after. Jonah Paransky, Director of Product Management for MSS, answered many of my technical and business questions.

On this trip I learned that Symantec operates two 24x7x365 SOCs (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK), along with one in Europe, one in Japan, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r support centers. They do not collect and store security data at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC; instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y data pouring into colocation facilities elsewhere.

Jonah said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see 3000-4000 "potential" incidents per day, of which about 100 are considered "hard kills." I couldn't tell if that meant actual compromise or not, but those 100 events per day prompt calls to customers.

We discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customer base. Symantec provides managed security services to many global 500 companies, some "with security staffs larger than Symantec's." I asked why such a company would bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with MSSP? Jonah responded with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se points:

  1. It's expensive to hire a team of analysts to inspect and react to security events on a 24x7x265 basis. My own experience says that requires hiring 12 people if you want 2 people on shift.

  2. Analysts watching a single company -- even a very large one -- get bored fast. This is true. If your company cares enough to staff a security operation like this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are probably not bleeding like a .edu. (Ever notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best papers come from .edu's and not finance.com's?)

  3. Symantec's global perspective, combined with local data, gives customers a sense of what is happening on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, customers hire Symantec to provide a data feed that those large security staffs can interpret and work. Customers see "everything" that Symantec's analysts see. This is a change from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment five years ago.


Jonah noted that Symantec undergoes a Statement on Auditing Standards (SAS) No. 70 Type II audit every year. The process takes 2 months out of 12 (ouch). The end result, however, is a document that shows all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processes Symantec follows, along with a measurement of Symantec's adherence to those processes. This is very valuable for customers, who previously would require Symantec to undergo on-demand audits prior to signing up for MSS. Now, Symantec hands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS 70 Type II audit report and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer is SOX-satisfied. Symantec also follows ISO 27001 standards.

Overall, I was impressed by what I saw. I was a little concerned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emphasis on process over outcomes, however. While it's good to be audited for adherence to processes, it would be better to determine if those processes result in improved incident detection and response. I doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditors attack Symantec clients to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst staff.

This thought came to mind during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visit, and also later when one of my customers called. They're planning to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir monitoring services back in-house, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vendor is too malware-focused. This customer wants me to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m build an in-house network security monitoring, incident response, and forensics operation, to be completed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of next year. That should be a great project.

I'm considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of something like Symantec Early Warning Services for my customers who run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own MSS SOCs. An early warning service can provide indicators that might be absent in an operation focused on a single company.

Thank you to Jonah and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folks from Symantec and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir partners who answered my questions and let us tour cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir facility.

5 comments:

Anonymous said...

Rich:

You think it would be better for auditors (who, in most cases, are accountants) to tell you how to do security, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than to tell you whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you are doing what you tell customers you do? If so, I respectfully disagree.

The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec expert should be in devising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control objectives, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means by which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are attained, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are/are not obtained is measured. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor, in this case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accountant who prepares cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAS 70 level II letter, should be to state whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls used were operating effectively enough to achive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control objectives.

Possibly you are saying not that *cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor* should focus on having sound control objectives, and measuring performance racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than process-adherence, but that *somebody* should. I wholeheartedly agree -- I just don't want auditors doing it. They generally lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills, and this opens conflict of interest areas that auditors are rightfully concerned about.

Customers need to be prepared not to just say "Yup. They got a SAS-70 level II letter, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must be good". They need to be able to evaluate whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control objectives are appropriate, and to ask hard questions about internal processes -- including measurement -- at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3rd party service organization. This can occur, for example, in an RFP or RFI.

Richard Bejtlich said...

Chris,

I didn't say anything like that. In fact, I was "concerned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emphasis on process over outcomes." The rest of that paragraph shows I don't believe auditors know anything about security.

Anonymous said...

Hey Richard
is that nagios on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right hand side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe ?, bsd or linux ?

Aidy

Richard Bejtlich said...

Since it's a stock photo, it can be whatever you think it is. :)

Anonymous said...

don't forget msn messenger in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle :)