IBM QRadar Risk Manager 網路設備組態風險管理
Verizon [1] 最近所做的一份資料外洩調查報告揭露出:
「近期仍有重大的資料外洩事件發生,原因在於企業組織缺乏基本控制,或是已具備基本控制,但組織上下並未貫徹實施」
「許多的企業組織已訂定安全性原則,但卻無法貫徹實施。」
[1] 2009 資料外洩調查報告,Verizon 企業風險團隊
在網路遭到入侵之前評估資訊風險
避免風險:Total Security Intelligence的關鍵
記錄管理與安全性資訊和事件管理 (SIEM),已成為網路及安全性操作人員普遍信賴的解決方案,這兩種解決方案不但能夠讓操作人員快速偵測並隔離安全性事件,並且能夠滿足特定的法規遵循需求,以及數量持續增加的法規要求。
雖然 SIEM 提供的資訊對網路及法規安全性管理作業非常重要,但 SIEM 主要的作用是在入侵發生的當下立即偵測,而不是先就可避免入侵發生所採取的動作調整其優先順序。
在網路實際出現安全性缺口之前,負責保護其企業組織安全的資訊及安全專家必須不斷提升其能力,才能應付弱點種類持續增加以及法規遵循要求推陳出新的風險。
QRadar Risk Manager 利用與延伸 SIEM 部署的價值,為企業組織提供總體安全性智慧,並大幅提升其能力,將網路及安全性設定、法規遵循管理,以及弱點評估等關鍵領域的風險管理功能自動化。
自動化的風險管理
法規可以定義必須部署、監控、稽核和強制執行的特定流量與防火牆原則。不過,許多的網路攻擊是來自於不一致的網路和安全性設定實務,因而突顯對於自動化網路設定稽核以及違反原則警示的需求。不幸的是,傳統的SIEM和記錄管理解決方案所產生的資訊孤島,通常會讓企業組織無法根據法規、企業要求或業界最佳實務,仔細評估網路設定允許「違反原則」流量的時機。
QRadar Risk Manager整合了風險管理、SIEM、記錄管理和網路行為分析,因此能夠將網路及安全性設定、原則與法規遵循管理等關鍵領域的風險管理功能自動化。QRadar Risk Manager可大幅提升企業組織的資訊安全風險評估能力,並且具備一個單一的整合式主控台。此解決方案可將安全性原則的評估自動化,同時利用網路及安全性設定資料、網路活動資料、網路/安全性事件,以及弱點掃描結果等最廣泛的風險指標。QRadar Risk Manager的重要功能包括:
網路安全性設定
·詳細的設定稽核有助於改善防火牆規則的一致性 , 針對組態進行比對. (例如修改前後值差異、多台設備的組態比對)
·注重安全性的網路拓蹼可實現設定規則的自動化監控
·設定變更通知可針對具有風險或違反法規的設定迅速提出警示
網路活動監控
·網路活動的進階監控與分析功能,可快速標幟違反原則的流量
·快速且有效搜尋網路活動,可大幅減少鑑識作業
·直覺的視覺化工具可提供互動式網路活動分析
網路/安全性事件
·分析防火牆的允許/拒絕事件可評估原則效率
·裝置設定在設定變更事件之後的自動化稽核,可確保記錄最新設定
·進階資產資料庫可利用來自各種網路/安全性事件的資訊,並提升結果的精確度
弱點掃描結果
·全盤瞭解網路拓蹼有助於提供依優先順序排列的弱點清單,以更精確評估最容易受到攻擊的系統
·集中化的原則監控可提供更完善的法規遵循驗證
·進階弱點塑模、模擬和視覺化可提供之前、期間和之後的弱點風險評估
原則監控
QRadar Risk Manager具備一個自動化的知識引擎,可簡化各種資訊安全及法規遵循原則的評估。知識引擎會利用直覺的問題型範本,將設定資料、網路活動資料、網路及安全性事件,以及弱點掃描資料等過去不同的風險指標加以整合。
針對產業最佳化的全方位即用型原則範本庫,有助於針對多項法規要求和資訊安全性最佳實務(例如PCI、HIPAA、CoCo及ISO 27001等)的風險進行評估。這些範本可以配合企業組織的內部資訊安全性原則輕鬆擴充。
裝置設定與拓蹼
QRadar Risk Manager 可針對企業組織所有的交換器、路由器、防火牆和 IDS/IPS,提供裝置設定的自動化收集、監控和稽核。透過將裝置設定標準化的獨特能力,QRadar Risk Manager 能夠以詳細且直覺的方式評估裝置的設定方式,這些設定包括已定義的防火牆規則、安全性原則,以及網路階層,讓企業組織能夠根據法規、企業要求或業界最佳實務,仔細評估網路設定允許「違反原則」流量的時機。
QRadar Risk Manager 會保留設定變更的歷程記錄,並且讓使用者稽核這項跨多個供應商網路的記錄。這項強大的功能可讓使用者利用不同的裝置,透過單一使用者介面比對一段時間的標準化裝置設定,讓設定的稽核更加容易。收集裝置設定資料亦有助於建立一個全企業的網路拓蹼圖像。
此拓蹼對應可協助企業組織瞭解整個網路中已允許和已拒絕的活動,如此可針對為網路造成風險的裝置設定改善其一致性,並標幟每一次的設定變更。
網路及安全性事件的塑模與模擬
QRadar Risk Manager 可以利用塑模和模擬的方式,協助企業組織針對其最明顯的風險範圍排列優先順序。企業組織在執行變更之前利用模擬的方式,即可迅速瞭解變更網路設定會對企業組織造成的風險。例如,QRadar Risk Manager 對於頂尖 VA 掃描程式所回報弱點的獨特瞭解,配合裝置設定與拓蹼功能所提供的主動式網路拓蹼分析,即可針對最容易受到攻擊的系統,排列獨特的優先順序。
進階網路視覺化
QRadar Risk Manager具備兩種網路視覺化 (network visualization) 安全工具,可提供獨特、風險集中且圖形化的網路圖像。這兩種視覺化安全工具所提供的網路圖像,可提供之前、期間和之後的弱點資訊,為網路和安全團隊帶來革命性的調查功能。第一種工具稱為「網路拓蹼」,可以針對網路流量周遊網路的過程和作法提供詳細檢視。和其他的網路拓蹼不同,這種見解是來自於獨特的資料來源組合,包括裝置設定、網路活動資料(來自流量),以及安全性事件(例如,防火牆允許/拒絕)。
第二種工具稱為「連線監控」,這是一種可以針對網路活動歷程,進行快速有效調查和分析的工具。這些視覺化安全工具的附加價值在於網路對應 (network mappings),這種網路對應可以讓視覺化安全工具透過特定地理地區或已知的高風險網路,來評估流量可以和確實出現的時機。
利用 Total Security Intelligence 採取主動
QRadar Risk Manager 為企業組織提供的全方位網路安全性解決方案,不僅能夠讓企業組織在攻擊發生之前回答「萬一…」的問題,還可以獲得在攻擊「期間」和「之後」的鑑識能力,進而將網路和操作的風險降到最低。
QRadar Risk Manager 強大的安全性分析以及模擬和視覺化功能,可為企業組織提供獨一無二的機會,擺脫日復一日的安全性挑戰,並採用一種針對風險的全方位方法來大幅強化網路和安全性攻勢,同時將惡意探索的風險降到最低。
良好的防禦需要記錄管理和 SIEM。採用 QRadar Risk Manager 之後,企業組織便擁有整體安全性情報,並且能夠主動遏止那些意圖對網路造成傷害的攻擊者。
QRadar Risk Manager 支援的網路設備:
- BIG-IP
- Check Point SecurePlatform Appliances
- Check Point Security Management Server
- Cisco Internet Operating System (IOS)
- Cisco Catalyst (CatOS)
- Cisco Nexus
- Cisco Security Appliances
- HP Networking ProVision
- Juniper Networks ScreenOS
- Juniper Networks JUNOS
- Juniper Networks NSM
- Palo Alto
- Fortinet FortiOS
- Sourcefire 3D Sensor
企業組織選擇QRadarRisk Manager,旨在:
● 評估法規遵循風險
● 排列弱點的優先順序
● 符合網路設定基準
● 判斷網路及設定變更的風險
● 利用自動化的設定監控與稽核來提升操作效率
● 獲得網路流量的可視性
● 監控高風險網路