Prim Hírek

A publikált sérülékenységek és a biztonsági incidensek száma folyamatosan nő, éppen ezért egyre nagyobb fenyegetettséget jelent valamennyi vállalati felhasználó esetében: az elektronikus kereskedelemmel foglalkozó vagy szociális hálózatot biztosító óriáscégeknél éppúgy, mint a bankoknál, kormányzati szereplőknél, egyetemeken vagy éppen online fogadási irodáknál. Az IBM X-Force legfrissebb kutatásai szerint a személyi adatokat érintő adatvesztések illetve adatlopások száma évente több mint 40 százalékkal nő. Válaszként a problémára a Noreg új megoldással bővítette termékpalettáját.

Kirakós játék

Valamennyi szervezet aggódik informatikai rendszerei biztonsága miatt, ugyanakkor a vállalatok számára továbbra is frusztráló feladat a biztonsági sérülékenységek felderítése és kezelése. A sérülékenység vizsgálók használatát különböző előírások is indokolhatják, de ha pusztán saját jól felfogott érdekből használják őket, akkor is számtalan problémával kell szembenézni.

A felderítések eredménye általában egy több ezer darabos kirakós játékra hasonlít, amelynek az elemei félrekonfigurált eszközök, nem telepített javítócsomagok, rég elfelejtett szerverek és tévesen diagnosztizált hibák rendezetlen halmaza. A biztonsági adminisztrátorok feladata, hogy – miközben a darabkákból egy további elemzésekre is alkalmas összefüggő képet építenek – minél hamarabb azonosítsák és kezeljék a legkritikusabb kockázatokat, sokszor még a virtuális puzzle kirakását megelőzően.

A probléma megoldásának alapja gyártótól és terméktől függetlenül valamennyi vállalat esetében megegyezik: egy jó sérülékenység vizsgáló szoftver a már ismert fenyegetések nagy részét felderíti, majd a keresést rendszeres időközönként megismétli. A sérülékenység vizsgálat után a szakemberek nekilátnak a feltárt hibák javításának.

A folyamat során ilyenkor célszerűen a magasabb prioritásúak felől haladnak az alacsonyabbak felé, esetenként még az érintett rendszerek szervezeten belüli fontosságát is figyelembe veszik. A felderített problémák más megközelítést igényelnek szerverek, adatbázisok vagy éppen webes alkalmazások esetében, emellett a jellemzően külön kézben lévő adminisztráció szintén tovább nehezíti a hatékony megoldást. Szerencsés esetben még azelőtt sikerül végigérni a listán, mielőtt elérkezik az újabb rendszeres felderítés ideje.

Összeáll a kép

A Noreg által ajánlott termék az IBM QRadar Security Intelligence Platform biztonsági rendszerek integrált kombinációjaként, a véget nem érő kirakós játéknál jóval előremutatóbb megoldást képvisel.

A SiteProtector System IDS/IPS detektálja a támadásokat, szükség esetén blokkolja is azokat. A QRadar SIEM (Security Information and Event Management) a fenyegetettségek közül szűri ki az igazán lényegeseket: a hálózati eszközök által már blokkolt támadásokat összeveti a sérülékenységi információkkal, ezzel segít fontossági sorba rendezni a problémákat, azaz kiválogatni a virtuális puzzle jellegzetes darabjait. Mindehhez felhasználja az IBM X-Force labor által már feltárt fenyegetettségi információkat.

A QRadar – a QFlow segítségével – a hagyományos napló állományok feldolgozása mellett a teljes hálózati forgalom csomag szintű elemzését is elvégzi. Az összegyűjtött adatokból feltérképezi azokat az eszközöket is, amelyekről közvetlenül ugyan nem kap információt, de a naplók tartalmából következtet a létezésükre. A QRadar Risk Managerrel kiegészítve pedig az elemzések során felhasználja a teljes hálózati topológiáról alkotott képet, vagyis azt, hogy a beállított tűzfal és IPS szabályok miként befolyásolják értékeink sebezhetőségét a különböző támadásokkal szemben.

A QRadar Vulnerability Manager önálló termékként is elérhető, a funkcióit és lehetőségeit ugyanakkor integrált megoldásként lehet igazán kihasználni, ráadásul egyetlen konzolból vezérelve képes segíteni a biztonsági csapatot valamennyi kapcsolódó feladatban:

•  Dashboard felületen keresztül folyamatosan követhetőek a sérülékenységekkel kapcsolatos információk.

•  Ütemezhető és időzíthető a rendszeres sérülékenység felderítés és ellenőrzés.

•  Ellenőrizhető és koordinálható a valós és virtuális javítócsomag telepítettsége.

•  A passzív eszközfelderítés alapján azonnal vizsgálat futtatható az újonnan megjelent vagy gyanúsan viselkedő eszközökre.

•  A sérülékenységi információk a teljes időskálán követhetők (mikor detektálták először, melyik felderítés találta meg, kinek a feladata kivizsgálni és mikor szűnt meg).

•  A sérülékenységek az előírásoknak megfelelően osztályozódnak és kategorizálódnak, az értékek fontosságának figyelembevételével.

•  Előállíthatóak megfelelőségi (pl. PCI DSS) és egyéb (pl. heti és havi trend) riportok.

•  Az IBM által hosztolt gépekről az Internet felől is kezdeményezhető sérülékenység vizsgálat.