Sérülékenység vizsgáló megoldás a Noregtől

forrás: Prím Online, 2013. szeptember 18. 09:55

A Noreg új megoldással bővítette termékpalettáját. A QRadar Vulnerability Manager képes megkeresni a vállalati informatikai rendszerek sérülékenységét valós időben, mellyel növeli az emberi erőforrások kihasználásának hatékonyságát.

A publikált sérülékenységek és a biztonsági incidensek száma folyamatosan nő, éppen ezért egyre nagyobb fenyegetettséget jelent valamennyi vállalati felhasználó esetében: az elektronikus kereskedelemmel foglalkozó vagy szociális hálózatot biztosító óriáscégeknél éppúgy, mint a bankoknál, kormányzati szereplőknél, egyetemeken vagy éppen online fogadási irodáknál. Az IBM X-Force legfrissebb kutatásai szerint a személyi adatokat érintő adatvesztések illetve adatlopások száma évente több mint 40 százalékkal nő. Válaszként a problémára a Noreg új megoldással bővítette termékpalettáját.

 

Kirakós játék

 

Valamennyi szervezet aggódik informatikai rendszerei biztonsága miatt, ugyanakkor a vállalatok számára továbbra is frusztráló feladat a biztonsági sérülékenységek felderítése és kezelése. A sérülékenység vizsgálók használatát különböző előírások is indokolhatják, de ha pusztán saját jól felfogott érdekből használják őket, akkor is számtalan problémával kell szembenézni.

 

A felderítések eredménye általában egy több ezer darabos kirakós játékra hasonlít, amelynek az elemei félrekonfigurált eszközök, nem telepített javítócsomagok, rég elfelejtett szerverek és tévesen diagnosztizált hibák rendezetlen halmaza. A biztonsági adminisztrátorok feladata, hogy – miközben a darabkákból egy további elemzésekre is alkalmas összefüggő képet építenek – minél hamarabb azonosítsák és kezeljék a legkritikusabb kockázatokat, sokszor még a virtuális puzzle kirakását megelőzően.

 

A probléma megoldásának alapja gyártótól és terméktől függetlenül valamennyi vállalat esetében megegyezik: egy jó sérülékenység vizsgáló szoftver a már ismert fenyegetések nagy részét felderíti, majd a keresést rendszeres időközönként megismétli. A sérülékenység vizsgálat után a szakemberek nekilátnak a feltárt hibák javításának.

 

A folyamat során ilyenkor célszerűen a magasabb prioritásúak felől haladnak az alacsonyabbak felé, esetenként még az érintett rendszerek szervezeten belüli fontosságát is figyelembe veszik. A felderített problémák más megközelítést igényelnek szerverek, adatbázisok vagy éppen webes alkalmazások esetében, emellett a jellemzően külön kézben lévő adminisztráció szintén tovább nehezíti a hatékony megoldást. Szerencsés esetben még azelőtt sikerül végigérni a listán, mielőtt elérkezik az újabb rendszeres felderítés ideje.

 

Összeáll a kép

 

A Noreg által ajánlott termék az IBM QRadar Security Intelligence Platform biztonsági rendszerek integrált kombinációjaként, a véget nem érő kirakós játéknál jóval előremutatóbb megoldást képvisel.

 

A SiteProtector System IDS/IPS detektálja a támadásokat, szükség esetén blokkolja is azokat. A QRadar SIEM (Security Information and Event Management) a fenyegetettségek közül szűri ki az igazán lényegeseket: a hálózati eszközök által már blokkolt támadásokat összeveti a sérülékenységi információkkal, ezzel segít fontossági sorba rendezni a problémákat, azaz kiválogatni a virtuális puzzle jellegzetes darabjait. Mindehhez felhasználja az IBM X-Force labor által már feltárt fenyegetettségi információkat.

 

A QRadar – a QFlow segítségével – a hagyományos napló állományok feldolgozása mellett a teljes hálózati forgalom csomag szintű elemzését is elvégzi. Az összegyűjtött adatokból feltérképezi azokat az eszközöket is, amelyekről közvetlenül ugyan nem kap információt, de a naplók tartalmából következtet a létezésükre. A QRadar Risk Managerrel kiegészítve pedig az elemzések során felhasználja a teljes hálózati topológiáról alkotott képet, vagyis azt, hogy a beállított tűzfal és IPS szabályok miként befolyásolják értékeink sebezhetőségét a különböző támadásokkal szemben.

 

A QRadar Vulnerability Manager önálló termékként is elérhető, a funkcióit és lehetőségeit ugyanakkor integrált megoldásként lehet igazán kihasználni, ráadásul egyetlen konzolból vezérelve képes segíteni a biztonsági csapatot valamennyi kapcsolódó feladatban:

 

  Dashboard felületen keresztül folyamatosan követhetőek a sérülékenységekkel kapcsolatos információk.

  Ütemezhető és időzíthető a rendszeres sérülékenység felderítés és ellenőrzés.

  Ellenőrizhető és koordinálható a valós és virtuális javítócsomag telepítettsége.

  A passzív eszközfelderítés alapján azonnal vizsgálat futtatható az újonnan megjelent vagy gyanúsan viselkedő eszközökre.

  A sérülékenységi információk a teljes időskálán követhetők (mikor detektálták először, melyik felderítés találta meg, kinek a feladata kivizsgálni és mikor szűnt meg).

  A sérülékenységek az előírásoknak megfelelően osztályozódnak és kategorizálódnak, az értékek fontosságának figyelembevételével.

  Előállíthatóak megfelelőségi (pl. PCI DSS) és egyéb (pl. heti és havi trend) riportok.

  Az IBM által hosztolt gépekről az Internet felől is kezdeményezhető sérülékenység vizsgálat.