2021-12-21 / Blog, IT biztonság /

Az IBM QRadar Vulnerability Manager egy újgenerációs sérülékenységkezelő megoldás, amely költséghatékonyabb, minőségibb és alacsonyabb kockázatú megoldást kínál a QRadarral történő egyedülálló és zökkenőmentes integrációja révén, mint azt külön, standalone megoldásokkal bármikor is meg lehetne valósítani.

Egy vállalati sérülékenységvizsgáló és kezelő szoftver kulcsfontosságú részei:

  • Zökkenőmentesen integrálódik a meglévő biztonsági és hírszerzési megoldással;
  • Képes a sebezhetőség-értékelés importálására és az eredményforrások beolvasására a központosított jelentéskészítéshez, a dashboardon való megjelenítéséhez és az elemzéshez;
  • Képes az összes meglévő eszközt átláthatóan használni szkennelési célokra, hogy a működési költségek a lehető legalacsonyabbak legyenek;
  • Egy egységes, naprakész eszközadatbázist tart fenn, amely teljes áttekintést nyújt egy eszközről: a naplókból, a passzív- és aktív beolvasásokból;
  • Integrálódik a meglévő biztonsági folyamatokkal, pl. meglévő eszköz tulajdonosok, hálózati hierarchia meghatározások, felhasználók és szerepkörök;
  • Képes aktiválni az eszközellenőrzéseket, amikor új eszközöket észlel a hálózaton, illetve reagál a gyanús viselkedésre annak biztosítása érdekében, hogy a sérülékenységi és eszközprofil-információk a lehető legfrissebbek legyenek;
  •  Pontosan azonosítja és profilozza az eszközöket:
    • Eszköz típusa
    • Telepített operációs rendszer
    • Patch szintek
    • Szolgáltatások
    • Telepített alkalmazások
    • Alkalmazási tevékenység (pl. Facebook, Skype, e-mail, webböngészés, letöltések)
    • Internethasználat és hálózati viselkedés
    • Az eszközre bejelentkezett felhasználók
  • Pontosan érzékeli a sebezhetőségeket;
  • Naponta frissül az új sebezhetőségi információkkal;
  • Megfelel a CVE-nek, és az elfogadott ipari szabványok (CVE, CVSS) alapján sebezhetőségi kockázati pontszámot biztosít;
  • Nagy mennyiségű egyidejű értékelést képes összehangolni a szokásos hálózati műveletek megzavarása nélkül (testreszabható sávszélesség-használat);
  • Képes szkennelni:
    • mind a külső, mind a belső IP tartományokat
    • nulla privilegizált vagy hitelesített módban
    • privilegizáltan a hálózati eszközöket
    • a virtuális gépeket
  • Rugalmas és automatizált helyreállítási hozzárendelési lehetőséget biztosít;
  • Könnyű hozzáférést biztosít a megoldáshoz egy webes felületen keresztül;
  • Szerepkörön alapuló jelentéskészítési és működési funkcionalitást nyújt egy lépcsőzetes engedélystruktúrán keresztül, így minden felhasználó személyre szabott információkat kap a szerepe és az általuk kezelt eszközök alapján;
  • Lehetővé teszi több felhasználó számára, hogy szkenneljen, majd újra szkenneljen (az elvégzett helyreállítás igazolásához);
  • Rugalmas értékelési ütemezési lehetőségeket biztosít;
  • Kikényszeríti a jóváhagyott időablakokat a szkennelésekhez, és automatikusan kezeli az eredményeket az ablakok között (szünet és újraindítás);
  • Lehetővé teszi az elfogadható kockázatok és hamis pozitív eredmények kivételét a jelentés és a munkafolyamat alól az ügyfél által meghatározott üzleti szabályok alapján;
  • Rögzíti az összes tevékenység (pl. felfedezés, feladatok, jegyzetek, kivételek, javítás stb.) és a sebezhetőségéhez kapcsolódó ellenőrzési nyomvonalat;
  • Riasztásokat és jelentéseket generál az újonnan megjelenő sérülékenységekről a vizsgálatok között passzív korreláció segítségével;
  • Megkülönbözteti az aktív és inaktív IP címeket;
  • Engedélyezi a raw beolvasási és jelentésadatokhoz való hozzáférést (egyéni jelentésépítés).

A QVM képességei

A QVM használatával a szervezet képes lesz:

  • Sérülékenységi vizsgálatokat létrehozni, kezelni és ütemezni;
  • Megtekinteni és reportolni a sérülékenységi vizsgálat eredményeit;
  • Az észlelt sérülékenységek hatékony kezelése hatékony sérülékenységi nézetek sorozatával és nagyon rugalmas sérülékenység szűrés alkalmazásával; lehetővé téve a felhasználók számára, hogy a legfontosabb feladatra összpontosítsanak;
  • Kivételszabályok készítésére, hogy hozzárendelje a helyreállítási feladatokat és nyomon kövesse az állapotot;
  • Irányítópult és figyelmeztetések megtekintésére;
  • Hozzáférés a sérülékenységi tudásbázishoz, amely olyan információkat tartalmaz, mint például a helyreállítási módszer, vagy az IPS-enyhítés, valamint a kutatási információkat, például legfrissebb hírek és tanácsok.

QVM integrálása a QRadar alkalmazással

A QRadarral való integrációja révén a QVM a következő erőteljes és egyedülálló képességeket képes nyújtani:

  • A QRadar „Vulnerability” lapja, amely hozzáférést biztosít a szkennelési profil konfigurálásához és végrehajtásához, a szkennelési eredményekhez, a sebezhetőség kutatásához és a sebezhetőségkezelési funkciókhoz (beleértve a hozzárendelést, kivételeket stb.). Mindezt egyetlen megszokott, következetes és könnyen használható felhasználói felületen keresztül;
  • Az adminisztrátor képes jobb egérgombbal kattintani egy IP-re bárhol a QRadar termékben, és beolvasni egy szkennelési profil kiválasztásával;
  • Egyetlen QRadar-szintű eszközprofil-modell köré épül, amely 360 fokos képet nyújt egy eszközről naplóforrásokból gyűjtött adatok, passzív szkennelés, aktív szkennelés (pl. sebezhetőségek, telepített termékek, javítások, szolgáltatások stb.) és harmadik fél termékei és eszköz-adatbázisaival való integráció alapján;
  • Képes használni a meglévő QRadart szkennelési célokra;
  • Automatikusan korrelálja a felfedezett biztonsági réseket az IPS / IDS eszközök eseményeivel, hogy figyelmeztesse a biztonsági csapatot arra, hogy egy adott biztonsági rést kihasználnak egy eszközön vagy eszközökön;
  • A sérülékenységi és eszközalapú jelentések és dashboardok zökkenőmentes integrálása QRadar alapú jelentésekkel és dashboardokkal, átfogó képet nyújtva a hálózati biztonsági információkról;
  • A hálózati topológia konfigurációjának automatikus átemelése a szkennelés meghatározásához (azaz a felhasználók nem láthatják, de beolvashatják azokat az eszközöket, amelyekhez nincs hozzáférésük a jelenlegi QRadar biztonsági konfiguráción belül);
  • Kiterjeszti a QRadar biztonsági képességeit, hogy magában foglalja a szkennelések konfigurálását és kezelését, igény szerinti vizsgálatok kezdeményezését stb.;
  • Képes azonosítani, hogy a tűzfalakban és az IPS-eszközökben meglévő biztonsági szabályok milyen sérülékenységeket enyhítenek az internet-hozzáférés és / vagy más megbízott hálózatok miatt. (QRadar Risk Manager szükséges)
  • Képes meghatározni, mely veszélyeztetett eszközöket fenyegeti nagyobb kihasználás a kapcsolódó alkalmazáshasználat miatt;
  • Képes igény szerinti vizsgálatokat kezdeményezni, ha passzívan vagy naplókon keresztül új, vagy magas kockázatú eszközöket fedeznek fel a hálózaton;
  • Képes automatikusan vizsgálatot kezdeményezni olyan eszközök ellen, amelyek rendellenes viselkedést mutatnak.

Vulnerability Assessment

A QVM a QRadar által biztosított hálózati és használati környezettel kombinálva lehetővé teszi a szervezet számára a sebezhetőségek hatékonyabb kezelését és a biztonsági eseményekre való reagálást:

  • Vizsgálja a vállalati hálózatokat mind külső, mind belső nézőpontokból;
  • Kiértékeli az ismert sebezhetőségeket az operációs rendszertől az adatbázisokig, az eszközöktől az alkalmazásokig;
  • Opcionális hitelesített vizsgálat révén felfedezi és azonosítja a hiányzó javításokat a Windows, a Unix és a Linux számára;
  • A sávszélesség kihasználását a sávszélesség beállításával kezeli a beolvasási feladat szintjén;
  • Lehetővé teszi az ismétlődő riportok rugalmasságának ütemezését az operatív és üzleti célok szerint;
  • Lehetővé teszi a felhasználók számára, hogy elfogadható időablakokat állítsanak be a riportok futtatásához az Operatív Windows segítségével;
  • Használja a CVE osztályozásokat.

„Korai figyelmeztetés” intelligencia

QVM erőteljes passzív sebezhetőség-ellenőrzést biztosít annak érdekében, hogy csökkentse a még fel nem fedezett új sebezhetőségek kockázatát a vizsgálatok között:

  • Az újonnan megjelenő sérülékenységekről szóló folyamatos figyelmeztetések a folyamatban lévő szkenneléssel együtt működnek a proaktív kockázatkezelés érdekében;
  • A riasztásokat a szervezet legfrissebb eszközprofil-információihoz (pl. milyen termékeket telepítettek) viszonyítja, és elküldi a felelős rendszergazdának;
  • A riasztásokat e-mailben küldi, vagy elérhetők a QVM dashboardjain, riportokon vagy a sebezhetőségkezelési nézeteken keresztül;
  • Értesítés érkezik érintett gépekről, súlyosságról, a kihasználás valószínűségéről, a kihasználáshoz szükséges készségszintről. Linkek generálódnak a hasznos referenciákhoz és a rendelkezésre álló javítási utasításokhoz vagy a rendelkezésre álló megoldásokhoz.

Sérülékenységek priorizálása

A QVM hatékony nézetekkel segíti a szervezeteket a sebezhetőségek rangsorolásában:

  • Lehetőség van megtekinteni a felfedezett biztonsági réseket eszköz, hálózat, nyílt szolgáltatás és sebezhetőség alapján, erőteljes szűréssel;
    Lehetőség van hatékony és nagyon rugalmas sebezhetőségi szűrőket alkalmazni az összes sérülékenységi nézetre, jelentésre és dashboardra;
  • A kockázati algoritmus kiszámítja az egyes sebezhetőségek kockázatát annak hatása, kihasználhatósága stb. alapján, melyet egy egyszerű magas, közepes, alacsony kockázatú osztályozásba sorolja;
  • Minden felfedezett sebezhetőség kategorizálása megfelelő PCI-vel;
  • Súlyossági besorolás, amely lehetővé teszi a szervezetek számára a PCI-megfelelés hatékony kezelését;
  • Nézetek mélyreható képességgel, hogy gyorsan hozzáférhessenek a kármentesítés részleteihez;
  • A sérülékenység-elhárítási feladatok automatikusan létrehozhatók a kritikus eszközök alapján;
  • Kivételkezelési funkció az elfogadható, hamis pozitív vagy más módon nem enyhített biztonsági rések elnyomására a folyamatban lévő jelentésekből, amely csökkenti az újbóli elemzés erőfeszítéseit, így lehetővé teszi a csapatok számára, hogy az üzletkritikus kérdések enyhítésére összpontosítsanak;
  • Kivételek beállíthatók egy lejárati dátummal, azaz a rendszer automatikusan beállítja, hogy a lejárati idő letelte után ismét jelentést tegyen a sérülékenységről;
  • Kivételek hozhatók létre az IP-cím, a hálózat és a CIDR tartomány szintjén;
  • Teljes auditnaplót vezet minden tevékenységről minden egyes felfedezett sebezhetőség esetén, például a felfedezett dátum, aki kivételezte, a kivétel oka, kivétel napja, kivétel dátuma és a kivétel minden módosításának teljes előzménye.

1. Ábra: Rendszerezett sérülékenységek

2. Ábra: Rugalmas sérülékenység szűrés

Kármentesítés kezelése

A QVM munkafolyamat-platformot biztosít a helyreállítási feladatok hozzárendeléséhez, nyomon követéséhez és érvényesítéséhez:

  • Jegyek készítése (meghatározott súlyosság, határidők, megjegyzések) és azok kiosztása;
  • A hozzárendeléseket az eszköz tulajdonosainak meghatározása révén automatizálni lehet;
  • Megtekinthető az összes aktuális hozzárendelés az állapot, a súlyosság és a lejárt határidőkkel együtt;
  • Megtekinthető a megoldott jegyek összesített listája a felhasználók szerint, és dátum szerint kereshetők;
  • „Saját feladatok” nézet a kijelölt jegyekhez való hozzáféréshez;
  • Határidők az elfogadható kármentesítési időablakok érvényesítéséhez;
  • Megtekinthető egy adott sebezhetőség teljes előzménye eszközönként;
  • Könnyű hozzáférés webes linkeken keresztül a rendelkezésre álló gyártói javításokhoz vagy a rendelkezésre álló javasolt megoldásokhoz;
  • Részletes megoldási lépések egyszerűen leírva, hogy lehetővé tegyék az informatikai személyzet mihamarabbi cselekvését.

3. Ábra: A biztonsági rés részletei és kutatási eredményei

Összegzés

A QRadar az információbiztonság nélkülözhetetlen eszköze. Biztonsági intelligenciát nyújt, amely az üzleti intelligencia kritikus kiegészítője az alábbiakkal:

  • Rugalmas és felhasználóbarát naplókezelés;
  • Erőteljes korreláció, szükségtelen bonyolultság nélkül;
  • A hálózati tevékenység integrálása és a flow-k külön intelligencia forrásként kezelése;
  • Hálózati eszközök, például tűzfalak, routerek és IPS-ek konfigurációkezelése;
  • VA adatok integrálása log és flow adatokkal.

A QVM és a QRadar zökkenőmentes integrációja sérülékenység menedzsmentet biztosít átfogva a végpontok, szerverek és munkaállomások konfigurációját és sebezhetőségét. Ez lehetőséget nyújt az IBM ügyfeleinek arra, hogy számos problémát önálló sérülékenységkezelési megoldással kezeljenek többek között:

  • Kritikus kontextusok biztosítása, amelyekben a sebezhetőségek találhatók;
  • A meglévő QRadar infrastruktúra használata szkennelési célokra, ezáltal csökkentve a működési költségeket;
  • A meglévő biztonsági folyamatok újrafelhasználása, beleértve a felhasználókat, szerepeket, dashboardokat, hálózati konfigurációs adatokat stb.;
  • Gazdag eszközinformációk, egyetlen, teljesen integrált megoldásban;
  • Naprakész biztonsági résekkel és eszközkonfigurációs adatokkal rendelkezni, saját szkennelési eredményekből.

Az eredmény egy rendkívül könnyen használható, hatékony és költséghatékony biztonsági intelligencia platform, amely lehetővé teszi az IBM ügyfelek számára, hogy egyetlen konzolon keresztül észleljék és kezeljék a sebezhetőségeket a QRadar hozzáadott információival.

Összegzésként egyértelmű, hogy a QRadar és a QVM kombinációja olyan megoldást nyújt a szervezeteknek, melynek értéke nagyobb, mint a piacon fellelhető más gyártók termékeinek bármely kombinációja.

A Kontron Hungary Kft. az IBM Platinum Partnereként az Ön vállalatának is segít megismerni a QVM megoldás adta lehetőségeket.

© 2020 Kontron Hungary Kft.

Segítünk bevezetni a napjaink legmodernebb IT biztonsági megoldásait, forduljon hozzánk bizalommal!

Kapcsolat

Leave a Comment

Az e-mail-címet nem tesszük közzé.

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Scroll to Top