qradar_使用IBM Security QRadar Vulnerability Manager检测安全风险
QRadar的经济利益
在此报告中,Ponemon研究所汇总了25次客户访谈中的发现,这些发现凸显了QRadar的真正价值。
下载报告以发现:
- 为什么受访客户转而使用IBM Security QRadar
- QRadar的外推ROI和TCO
- 全面实施QRadar可节省大量时间
下载“ IBM QRadar安全情报:感知捕获研究” 。
IBM®SecurityQRadar®Vulnerability Manager兑现了在高科技环境中检测实时安全风险的承诺。 从网络安全到数据保护,Security QRadar Vulnerability Manager的企业安全解决方案超出了期望,这些解决方案在一个一体化的解决方案中提供了统一的日志记录,风险管理,漏洞管理和网络活动监视。 本文在一个实际示例中研究了这些安全风险解决方案的使用,并重点介绍了在产品的大容量,大数据环境中提供产品鲁棒性的细致功能。
信息安全(InfoSec)是IT领域的重要市场,有助于防止未经授权的使用和对专有或机密信息的访问。 数据丢失,泄露个人身份信息,损害商业机密甚至破坏软件程序的风险威胁着业务基础架构和利润的稳定性。
IBM QRadar安全情报平台(参见图1 )是一种解决方案,用于检测每天阻碍业务运营的风险。 该产品通过搜索和发现已知的数据和信息安全漏洞来提供InfoSec智能。 尽管许多可用产品无法实时提供漏洞管理,但各种技术都采用了持续搜索和发现的准则。 但是,QRadar安全漏洞管理器可以做到这一点。 此外,安全信息和事件管理(SIEM)的QRadar安全框架允许QRadar Security Vulnerability Manager使用数据包捕获和事件取证方法来精细地扫描,记录,跟踪和检测网络行为异常。 平台的全面产品强调了此功能:
- IBM Security QRadar日志管理器
- IBM Security QRadar Risk Manager
- 安全QRadar漏洞管理器
- 西门子
- IBM Security QRadar网络异常检测
图1. IBM QRadar安全智能平台
在我的真实示例中,Corrington研究公司(Corrington)生产和销售有记录的研究结果,并向订户提供其产品的可搜索库。 由于其数据呈指数级增长,法规变化对其产品和运营的影响以及网络安全威胁的发展,找到一种高效,高效的安全情报解决方案成为Corrington的首要任务。 为了满足其需求,该解决方案必须提供对可能的内部和外部风险的可见性,以及减轻这些风险而又不中断操作的方法。
因此,当您考虑检测安全风险时,便会考虑避开一系列动态的安全信息,包括容易成为恶意黑客攻击目标的情况。 例如,僵尸网络是对网络安全的快速增长的威胁。 僵尸网络一词是指使用未经授权的访问对计算机和网络进行机器人接管。 当恶意黑客解密了登录ID和密码后,黑客脚本(僵尸网络)可以控制企业的计算机系统并启动破坏性程序,代码和脚本,从而最终使系统操作停止。 因此,Corrington对InfoSec风险的最佳防御方法是实施漏洞管理软件解决方案。 该解决方案必须为整个网络提供一种自防御机制,以实现最终的安全智能,其优势包括:
- 持续扫描和检测每个网络设备(计算机,打印机,路由器等),以发现每种已知的安全风险
- 尽可能自动更正或隔离已识别的安全风险
- 使用实时诊断来跟踪网络变化
Corrington同意停止使用独立服务器作为其安全监视的中心点,并实施漏洞管理软件解决方案。 为了开始迁移到这样的平台,Corrington首先移到了云计算环境。 在云计算方面,高性能漏洞管理以安全性即服务(SECaaS)模型的形式强调了风险检测,该模型消除了通常与跨大型网络进行连续扫描和日志记录相关的常见瓶颈。 SECaaS模型不是使用独立的计算机来扫描和监视各个部门,办公室和园区中的网络设备,而是从基于云的中央位置执行多网络漏洞扫描和风险检测。 这意味着基于云的SECaaS可以高效地捕获数据包并每秒执行数千个数据包分析,每秒捕获数万个数据包,并同时从InfoSec平台提取以完成全面的网络安全操作。
在选择漏洞管理软件解决方案时,Corrington列出了该软件解决方案应提供的必备软件的详尽清单。 但是Corrington的主要关注点是可伸缩性。 漏洞管理软件解决方案是否能够根据基于云的计算功能进行扩展?
从各种漏洞管理解决方案中进行选择,Corrington寻求了可伸缩性,用于检测安全漏洞的鲁棒性以及对已知安全风险的广泛了解,从而将Security QRadar Vulnerability Manager作为其首选的漏洞管理软件解决方案。
Security QRadar Vulnerability Manager如何做到这一点?
首先,安全QRadar漏洞管理器致力于风险管理的核心,以遵守质量标准。 漏洞管理最令人惊讶的功能是它每秒可扩展支持数千个事件。 可伸缩性是Security QRadar Vulnerability Manager的检测和保护功能:它扫描每个网络和软件资产的70,000个密码(安全事件定义)中的每一个,从而产生大量的日志数据结果。 因此,可伸缩性是关键任务。 为了满足这种需求,该产品的可扩展性是双重的:使用事件和日志源可扩展地保护大数据,以及实时取证检测的可扩展性能。
但是,在处理大量数据时,还必须确保至少达到近实时性能。 安全QRadar漏洞管理器为Corrington提供了近实时和实时的性能保证,从而可以使用单个统一数据库访问基本的日志信息。 此功能很重要,因为使用单个统一数据库支持系统可用性和灾难恢复选项。 例如,Security QRadar Vulnerability Manager提供的一种灾难恢复选项是不间断的日志源数据收集和存储,这有助于在发生灾难时进行系统还原。 安全性QRadar Vulnerability Manager使用SIEM框架将其永久的自动日志记录过程作为内部安全服务提供给网络基础结构。
默认情况下,用于管理安全事件序列的规则框架启用了“ 漏洞”选项卡,以支持安全QRadar Vulnerability Manager。 正如Corrington的决策者在了解情况时做出更好的决策一样,SIEM规则在一系列安全事件中效果最佳。 单个事件可以触发假阳性指标,但是一系列事件可以更好地确认需要提高优先级风险水平。 消息灵通的决策者还可以通过使用高,中,低和警告性安全风险级别来优先确定积极指标,以促进对漏洞和风险的及时,可行的响应。 安全QRadar Vulnerability Manager在摘要报告中捕获安全事件,该报告收集安全漏洞信息并将其与网络设备和软件应用程序关联。
此外,SIEM集成有助于更快地安装Security QRadar Vulnerability Manager。 例如,SIEM的结构化方法和相关的QRadar Security Intelligence Platform产品可简化安装后配置。
接下来,对捕获的安全事件报告进行过滤以生成可疑事件的可操作列表。 共享的可操作,可疑事件列表意味着可以使用近实时可视性同时发生自动化和人机交互,以保护和保护基础架构。 值得注意的是,安全QRadar Vulnerability Manager可以修复它遇到的大多数安全事件。 其他安全事件将需要人工干预。 这种强大的技术支持功能使Corrington的人机交互人员以及组织的网络基础结构受益。 另外,安全QRadar Vulnerability Manager报告其修复已知安全事件的任务,从而增加业务价值,因为它产生了生成用于管理合规性以及自我诊断修复的详细报告的复合优势。
对于要求严格的IT审核要求的公司而言,一个漏洞管理解决方案还可以生成非常有用的合规性报告,对于它来说,是无价之宝。 此外,该产品的详细报告功能可以通过评估企业的IT治理流程对合规性管理的有效利用来满足广泛的法规要求。 强制执行必要的法规遵从性依赖于准确的数据访问报告。 安全QRadar Vulnerability Manager满足监管审核报告要求,并允许企业自定义其数据收集设置以捕获和发布网络连接数据。 使用Security QRadar Vulnerability Manager,数据访问报告格式变得轻而易举,它具有对数据进行规范化以及对报告格式和输出位置应用规则的功能。
Corrington从Security QRadar Vulnerability Manager获得的功能是能够检测,识别,修复和报告安全漏洞,从而将InfoSec问题提升到一个新的,舒适的操作级别。 Security QRadar Vulnerability Manager在管理漏洞方面的成功可以反映在其对安全团队的交付成果中,从有限的报告到功能和功能。 经常使用的七个关键安全性QRadar Vulnerability Manager交付成果是:
- 用户活动报告(UAR)。 UAR支持有效的威胁管理。 使安全QRadar Vulnerability Manager有效管理安全威胁的原因在于它使用漏洞扫描程序来检查和审查安全漏洞。 对于未知漏洞,自动模糊逻辑分析弥补了差距,从而找到了潜在的隐患。 密码库涵盖了已知的漏洞。 示例包括利用缓冲区超限的异常现象以及诸如OpenSSL Heartbleed攻击之类的零日Internet浏览器漏洞。
- 网络异常检测。 网络异常检测是指基于安全计算机系统操作的已知序列和模式来识别不合格的安全事件。 换句话说,安全QRadar Vulnerability Manager始终将精力集中在预期的安全事件上,同时监视网络是否存在与这些预期的偏差。
- 自动化仪表板和报告。 安全QRadar Vulnerability Manager能够实时完成对安全风险的敏锐检测的方法源于其动态自动化报告和信息显示。 安全性QRadar Vulnerability Manager提供了广泛的仪表板和报告实用程序,并具有全面的合规性管理。 数据到源的可追溯性; 以及SIEM报告规则的过滤,配置和汇总。
- 自动化资产分析。 信息资产配置文件(IAP)可以帮助Security QRadar漏洞管理器区分资产。 因此,可以将各个安全级别应用于不同的资产类型,以更好地确保网络安全。 IAP驱动威胁和风险评估(TRA),提供包括元数据和适用策略的详细程度。 IAP还允许数据和信息所有者对他们的知识资产进行分类。
- 工作流程管理。 安全QRadar Vulnerability Manager包括其自己的工作流管理实用程序,可将任务委派给指定的安全团队成员。 使用资源分配技术,检测到的安全风险成为工作分配。 然后,工作流管理将跟踪工作分配,并根据安全团队设置的参数生成合规性报告。
- 跟踪威胁。 确保多平台网络安全性时面临许多挑战。 新技术每天都出现在商业市场中,这带来了新的漏洞管理挑战。 实际上,识别安全威胁只是成功的一半。 寻找和制定针对安全威胁的解决方案是另一半。
- 支持分辨率。 查明可能和可能的安全漏洞的起源的能力是Security QRadar Vulnerability Manager功能的核心。 该产品可以检测和解决虚拟和物理环境中的风险。
Security QRadar产品如何支持Security QRadar Vulnerability Manager?
为了支持Corrington的InfoSec功能来跟踪和监视安全事件,Security QRadar产品使用Security QRadar Vulnerability Manager生命周期。 如图2所示,在这个生命周期中,实时漏洞扫描变得准确且易于使用,从而产生可预测的结果。
三种安全性QRadar核心产品驱动了平台的大部分功能:安全性QRadar日志管理器,风险管理器和漏洞管理器。 安全性QRadar Log Manager是一个强大的组件,可收集,分析和存档大量与安全性相关的事件日志数据,以创建可搜索的数据源。 Security QRadar Vulnerability Manager生命周期使用此日志数据进行报告,审核和分析。 通过捕获和处理大量事件数据,Security QRadar Log Manager通过易于部署的模板支持Security QRadar Vulnerability Manager,该模板可通过使用Security QRadar处理器设备进行扩展。
安全性QRadar Log Manager还可执行近乎实时的可见性,以揭示潜在威胁。 安全团队需要对其监视和保护的设备,网络和应用程序有一个全面的了解。 此外,安全QRadar Log Manager可以轻松配置为通过识别所谓的不合规监管者事件来支持合规性。 安全QRadar Log Manager可以扫描任何不符合以下法规的事件:
- 联邦信息安全管理法
- 健康保险流通与责任法案
- 萨班斯 - 奥克斯利法案
- 支付卡行业数据安全标准
图2. Security QRadar Vulnerability Manager生命周期
由于组织可以更新已知漏洞的Security QRadar Vulnerability Manager库以包含自定义策略,因此Corrington将能够将法规列表扩展到远远超出上述法律和标准的范围。 实际上,Security QRadar Vulnerability Manager可以从Security QRadar Log Manager执行的持续合规性监视中获得优势,包括基于已知风险的动态列表监视,扫描和检测InfoSec漏洞的功能。
Security QRadar Vulnerability Manager库的自动或手动更新很容易吸收到Security QRadar Log Manager连续监视例程中。 安全QRadar Vulnerability Manager报告将自动反映对库所做的任何更改。 因为计算机或网络设备上发生的每个事件都记录到日志中,所以多方面的合规性报告功能实际上捕获了每个Security QRadar Log Manager操作。 此记录的信息的宝贵用途是自动安全性TRA。 TRA是任何风险管理方法中的第一步,用于确定潜在威胁的程度以及与公司信息资产相关的风险。 安全TRA驱动动态警报和通知,使安全团队能够抢占安全攻击,数据泄露和其他未经授权的系统访问权限。
安全QRadar漏洞管理器关联引擎将执行此日志记录。 关联引擎实时工作,每秒最多可以记录20,000个警报和通知。 检查记录的信息是否存在风险,法规遵从性以及未知安全事件的任何实例。 我喜欢实时安全风险检测的机器学习方面:识别未知事件后,Security QRadar Vulnerability Manager可以捕获情况以将其包含在已知风险库中,从而从那时开始初始化对事件的连续扫描。
是的,Security QRadar Log Manager可以运行,但仅在您使用时可以运行。 关键业务网络需要持续监控。 为了支持审核,策略和法规要求,Corrington将要求提供InfoSec防御自动化,以确保实施审核,策略和法规行业最佳实践。
接下来,在将警报和通知发送给安全团队之前,SIEM集成的Security QRadar Risk Manager会监视,发现并确定客户端-服务器安全漏洞的优先级。 Corrington的安全团队可以使用六层风险管理方法来减轻,避免,避免或接受InfoSec风险。 安全QRadar Risk Manager将风险管理分为六个区域:(1)防火墙配置分析,(2)连接可视化,(3)策略合规性监视,(4)网络流量监视,(5)网络拓扑监视和(6)恶意软件风险监控。
相比之下,安全QRadar漏洞管理器通过证明即使是最少量的预防措施也可以避免危机并降低成本,这种惯用语概括为“一盎司的预防值得一磅的治疗”。 安全性QRadar Vulnerability Manager通过确定潜在的漏洞严重性级别来追赶。 然后,漏洞的严重性或威胁级别将触发对安全事件的自动调查,以阻止可能的安全攻击。
安全QRadar Vulnerability Manager使用五层方法来显示漏洞的严重性或威胁级别:(1)整合的漏洞视图,(2)自定义上下文以识别关键漏洞,(3)发现并突出显示70,000多个已知漏洞危险漏洞,(4)自定义计划和事件驱动的扫描以及(5)用于360度网络可见性的资产发现和配置文件。 快速浏览每种方法都可以深入了解该工具的内部运作方式( 表1 )。
| 科灵顿的必备品 | 相应的安全性QRadar Vulnerability Manager功能 |
|---|---|
| 仪表板式的可见性,可查看网络事件,发现的漏洞和扫描数据 | 合并的漏洞视图将来自多个漏洞扫描的结果组合到一个视图中,以进行跟踪并更好地管理发现的漏洞。 |
| 漏洞分析功能 | 用于标识关键漏洞的自定义上下文可以分析漏洞。 此方法强烈支持Security QRadar Vulnerability Manager用于漏洞识别的类别,规范化,分类和聚合。 |
| 已知漏洞的重要知识 | 发现和突出显示70,000多个已知危险漏洞,需要采取逻辑抽象的思想和识别形式,以识别已知的安全攻击方案并“学习”未知的安全攻击方案。 |
| 具有事件驱动事件的自动计划 | 自定义计划和事件驱动的扫描可发现高风险漏洞,并在达到较高的严重性或威胁级别时遵循高优先级的程序。 |
| 网络发现以及用于指示安全威胁严重性的系统 | 用于360度网络可见性的资产发现和配置文件扫描会扫描系统中的高风险漏洞,并在达到更高的严重性或威胁级别时遵循高优先级过程。 |
各种QRadar Security组件可以协同工作以提供实时安全风险检测。 漏洞管理是系统范围内的工作,需要整个网络的参与。 尽管核心软件组件在一个SIEM框架下可以协同工作,但是其他组件(例如QRadar Security设备,控制台和扫描仪)在检测实时安全风险中也起着重要作用。
大多数漏洞管理软件解决方案都使用日志关联设备。 对于QRadar Security,该设备称为设备 -一种单一的多合一硬件设备,提供2或6 TB的专用日志存储。 这说明了该解决方案如何满足由于不断进行漏洞扫描而导致的Corrington累积日志数据的需求。 实际上,主机处理器设备支持多达750个事件源,它们每分钟可以处理25,000至50,000个数据包流,每秒可以处理一千个事件。 该设备专门用于以每秒20,000条消息的速度执行实时日志关联。 现在,这是高性能。 有趣的是,在部署QRadar Security设备时,漏洞实现只能是一个处理器设备,并且只能部署到QRadar Security控制台或托管主机处理器设备。 QFlow是QRadar Security专有的机制,用于控制数据包流。 QFlow执行深度网络流量数据包检查,以分析和识别相关的标准和非标准漏洞。
QRadar安全控制台是一个基于Web的简单易安装门户,用于访问和查看SIEM集成的活动事件。 该控制台提供了网络活动的实时视图,可以配置为扫描外部资产,甚至使用各种类型的网络扫描仪。
传统的扫描仪是基于硬件的便携式设备,可用于诊断网络流量拥塞情况。 最终,开发了网络扫描仪的软件版本。 漏洞管理软件解决方案受益于此创新,提供了标准的内置扫描仪。 嵌入在Security QRadar Vulnerability Manager中的扫描程序是数据收集的主要来源。 组织可以将外部扫描仪添加到Security QRadar Vulnerability Manager,以产生其他数据源。 由于可以搜索扫描仪生成的数据,因此企业可以获取价值。 安全团队可以搜索和查找库存,资产,设备,组件和安全故障事件的根本原因,以不断改进业务流程。 安全QRadar Vulnerability Manager考虑了各种数据源,使漏洞管理过程更加有意义。
结论
作为一种刺激性的新安全方法,QRadar Security框架应运而生,以提供Corrington检测,设置优先级并减轻安全漏洞所需的专业知识,情报和集成。 需要一种基于风险的方法来确定资产的优先级并缓解最高风险的领域,并且该公司需要合并的视图报告来全面管理企业基础结构的广泛安全性方面。 安全性QRadar Vulnerability Manager处于领先地位,通过使用数千个加密漏洞事件和纠正性安全措施来确保企业网络安全。
翻译自: https://www.ibm.com/developerworks/security/library/se-rtinfosec/index.html