Összeillő elemek – új sérülékenység vizsgáló megoldással bővült a Noreg termékportfóliója

A publikált sérülékenységek és a biztonsági incidensek száma folyamatosan nő, éppen ezért egyre nagyobb fenyegetettséget jelent valamennyi vállalati felhasználó esetében: az elektronikus kereskedelemmel foglalkozó vagy szociális hálózatot biztosító óriáscégeknél éppúgy, mint a bankoknál, kormányzati szereplőknél, egyetemeken vagy éppen online fogadási irodáknál.

A publikált sérülékenységek és a biztonsági incidensek száma folyamatosan nő, éppen ezért egyre nagyobb fenyegetettséget jelent valamennyi vállalati felhasználó esetében: az elektronikus kereskedelemmel foglalkozó vagy szociális hálózatot biztosító óriáscégeknél éppúgy, mint a bankoknál, kormányzati szereplőknél, egyetemeken vagy éppen online fogadási irodáknál.

Az IBM X-Force legfrissebb kutatásai[1] szerint a személyi adatokat érintő adatvesztések illetve adatlopások száma évente több mint 40 százalékkal nő. Válaszként a problémára a Noreg új megoldással bővítette termékpalettáját. A QRadar Vulnerability Manager a meglévő infrastruktúra-elemek által biztosított információk felhasználásával automatikusan képes megkeresni a vállalati informatikai rendszerek sérülékenységeit. Mindezt közel valós időben hajtja végre, ezért az emberi erőforrások kihasználásának hatékonyságát is növeli.

Kirakós játék

Valamennyi szervezet aggódik informatikai rendszerei biztonsága miatt, ugyanakkor a vállalatok számára továbbra is frusztráló feladat a biztonsági sérülékenységek felderítése és kezelése. A sérülékenység vizsgálók használatát különböző előírások is indokolhatják, de ha pusztán saját jól felfogott érdekből használják őket, akkor is számtalan problémával kell szembenézni. A felderítések eredménye általában egy több ezer darabos kirakós játékra hasonlít, amelynek az elemei félrekonfigurált eszközök, nem telepített javítócsomagok, rég elfelejtett szerverek és tévesen diagnosztizált hibák rendezetlen halmaza. A biztonsági adminisztrátorok feladata, hogy – miközben a darabkákból egy további elemzésekre is alkalmas összefüggő képet építenek – minél hamarabb azonosítsák és kezeljék a legkritikusabb kockázatokat, sokszor még a virtuális puzzle kirakását megelőzően.

A probléma megoldásának alapja gyártótól és terméktől függetlenül valamennyi vállalat esetében megegyezik: egy jó sérülékenység vizsgáló szoftver a már ismert fenyegetések nagy részét felderíti, majd a keresést rendszeres időközönként megismétli. A sérülékenység vizsgálat után a szakemberek nekilátnak a feltárt hibák javításának. A folyamat során ilyenkor célszerűen a magasabb prioritásúak felől haladnak az alacsonyabbak felé, esetenként még az érintett rendszerek szervezeten belüli fontosságát is figyelembe veszik. A felderített problémák más megközelítést igényelnek szerverek, adatbázisok vagy éppen webes alkalmazások esetében, emellett a jellemzően külön kézben lévő adminisztráció szintén tovább nehezíti a hatékony megoldást. Szerencsés esetben még azelőtt sikerül végigérni a listán, mielőtt elérkezik az újabb rendszeres felderítés ideje.

Összeáll a kép

A Noreg által ajánlott termék az IBM QRadar Security Intelligence Platform biztonsági rendszerek integrált kombinációjaként, a véget nem érő kirakós játéknál jóval előremutatóbb megoldást képvisel.

A SiteProtector System IDS/IPS detektálja a támadásokat, szükség esetén blokkolja is azokat. A QRadar SIEM (Security Information and Event Management) a fenyegetettségek közül szűri ki az igazán lényegeseket: a hálózati eszközök által már blokkolt támadásokat összeveti a sérülékenységi információkkal, ezzel segít fontossági sorba rendezni a problémákat, azaz kiválogatni a virtuális puzzle jellegzetes darabjait. Mindehhez felhasználja az IBM X-Force labor által már feltárt fenyegetettségi információkat. A QRadar – a QFlow segítségével – a hagyományos napló állományok feldolgozása mellett a teljes hálózati forgalom csomag szintű elemzését is elvégzi. Az összegyűjtött adatokból feltérképezi azokat az eszközöket is, amelyekről közvetlenül ugyan nem kap információt, de a naplók tartalmából következtet a létezésükre. A QRadar Risk Managerrel kiegészítve pedig az elemzések során felhasználja a teljes hálózati topológiáról alkotott képet, vagyis azt, hogy a beállított tűzfal és IPS szabályok miként befolyásolják értékeink sebezhetőségét a különböző támadásokkal szemben.

A QRadar Vulnerability Manager önálló termékként is elérhető, a funkcióit és lehetőségeit ugyanakkor integrált megoldásként lehet igazán kihasználni, ráadásul egyetlen konzolból vezérelve képes segíteni a biztonsági csapatot valamennyi kapcsolódó feladatban:

• Dashboard felületen keresztül folyamatosan követhetőek a sérülékenységekkel kapcsolatos információk.
• Ütemezhető és időzíthető a rendszeres sérülékenység felderítés és ellenőrzés.
• Ellenőrizhető és koordinálható a valós és virtuális javítócsomag telepítettsége.
• A passzív eszközfelderítés alapján azonnal vizsgálat futtatható az újonnan megjelent vagy gyanúsan viselkedő eszközökre.
• A sérülékenységi információk a teljes időskálán követhetők (mikor detektálták először, melyik felderítés találta meg, kinek a feladata kivizsgálni és mikor szűnt meg).
• A sérülékenységek az előírásoknak megfelelően osztályozódnak és kategorizálódnak, az értékek fontosságának figyelembevételével.
• Előállíthatóak megfelelőségi (pl. PCI DSS) és egyéb (pl. heti és havi trend) riportok.
• Az IBM által hosztolt gépekről az Internet felől is kezdeményezhető sérülékenység vizsgálat.

Röviden összefoglalva: a QRadar Vulnerability Manager a meglévő infrastruktúra elemek által biztosított információk felhasználásával automatikusan képes a sérülékenységeket megkeresni. Felismeri, ha új eszköz kerül a hálózatra, ha meglévő eszköz viselkedik rendellenesen, vagy esetleg kompromittálódott, és azonnal ellenőrzést indít a védelem javítására. Így az időszakos sérülékenység vizsgálat helyett egy valós idejű ellenőrzést tesz lehetővé, hogy a biztonsági csapat a valóban lényeges fenyegetésekre tudjon koncentrálni.

[1] http://www-03.ibm.com/security/xforce/