qradar
当前的三个趋势会严重损害IT系统连续监视安全性的能力:
- 高级持续威胁的性质:漏洞的数量和严重性都在增加,攻击者也在学习如何更快地进行攻击。
- IT基础架构的快速发展:IT系统的速度和复杂性不断提高,加上采用云,移动和社交等新技术,使发现风险变得更加艰巨。
- 认识到需求合规性无法提供足够的信息来就您的IT环境可能面临的风险做出一致的决策。
图1显示了仅在2012年,IT系统面临的威胁就日益增加。
图1. 2012年按攻击类型,时间和相对影响划分的安全事件样本
对于寻求优化漏洞评估,更好地保护敏感信息资产并克服由这些趋势引起的全面安全性限制的组织而言,IBM Security QRadar Vulnerability Manager使用安全情报来提供可操作的及时洞察系统和网络漏洞的信息。 QRadar Vulnerability Manager通过向IBM Security QRadar SIEM添加以下两个功能来实现此目的:
- 扫描管理,包括配置和安排系统扫描,然后安排结果
- 漏洞管理,包括安排如何显示漏洞(按网络,资产,漏洞类型,严重性,状态)以进行补救和分类过程
QRadar Vulnerability Manager将漏洞扫描数据与来自其他IBM Security QRadar产品的网络流和日志事件相关联。 反过来,这有助于识别安全漏洞并确定其优先级以进行补救。 主要目标是减少安全团队要解决的绝大多数问题; 先进的过滤和快速搜索功能有助于排除漏洞:
- 隐藏在防火墙后面
- 被IPS系统阻止
- 已经计划进行软件修补
- 与存在但不活动的应用程序相关联
尽管QRadar Vulnerability Manager是与QRadar SIEM技术(金融服务,政府,能源和公用事业以及医疗保健)相同的行业的最佳解决方案,但大多数具有外部影响的企业IT系统都将从其功能中受益。
在深入研究QRadar Vulnerability Manager之前,让我们研究一些常见的企业漏洞管理要求。
漏洞管理要求
要创建有效的企业漏洞管理解决方案,请确保查找以下功能:
- 它应该与您现有的安全情报无缝集成。
- 它应该能够导入漏洞评估并扫描结果源,以进行集中报告,仪表板和分析。
- 它应该能够透明地使用所有现有的存在点进行扫描。
- 它应该维护一个单一的,当前的,统一的资产数据库,该数据库基于从日志,被动扫描,主动扫描以及与第三方清单和治理,风险管理和合规系统的集成中收集的数据,提供资产的完整视图。
- 它应与现有的安全流程集成,例如资产所有者,网络层次结构定义,用户和角色。
- 当在网络上检测到新资产或响应可疑行为时,它可以触发资产扫描(这将使配置文件信息保持最新状态)。
- 它应该准确地标识和描述资产,例如设备类型,安装操作系统,补丁程序级别,正在运行的服务,已安装的应用程序,应用程序活动(包括下载),Internet使用情况和网络行为以及已登录到该资产的用户。
- 应该每天使用新的漏洞信息进行更新。
- 它应符合CVE(常见漏洞和披露),并根据公认的行业标准(CVE和CVSS,通用漏洞评分系统)提供漏洞风险评分。
- 它可以编排大量并发评估,而不会干扰正常的网络运行。
- 它应该能够同时扫描外部和内部IP范围(以零特权或凭据模式),对网络设备进行特权扫描以及扫描虚拟主机。
- 它应提供灵活且自动的补救分配功能。
- 它应该可以通过基于Web的界面轻松访问。
- 它使用级联权限结构(每个用户都有基于其角色和所管理资产的个性化信息)来交付基于角色的报告和操作功能。
- 它使多个用户可以轻松扫描和重新扫描,以进行更有效的修复。
- 它可以轻松地根据客户定义的业务规则从报告和工作流中删除可接受的风险和误报。
- 它可以捕获与任何活动(发现,任务,注释,异常,修复等)相关的审计跟踪。
- 它可以使用被动关联来生成警报,并报告扫描之间新出现的漏洞。
QRadar Vulnerability Manager架构
QRadar Vulnerability Manager是IBM QRadar安全智能平台的完全集成成员(图2)。 它利用现有的QRadar设备进行动态的,事件驱动的资产搜索以及定期计划的扫描,从而可以实时,不断地更新您组织的安全状况。 QRadar Vulnerability Manager从网络流量数据,资产配置和威胁情报源等信息中获取丰富的安全上下文。
图2. QVM适合QRadar系列的地方
将QRadar Vulnerability Manager添加到QRadar阵容中可提供以下附加功能:
- 两个新的可部署组件:
- QVM控制台,可提供扫描定义,扫描计划引擎并组织扫描结果
- QVM扫描程序,作为整体扫描的一部分执行扫描任务
- 托管扫描程序,由IBM托管的组件,使您可以从Internet扫描客户的DMZ
QVM已作为大多数标准QRadar SIEM环境中的标准代码,可以使用许可密钥快速激活。 安装后,它会在IBM Security QRadar SIEM控制台窗口中显示为新选项卡。
QRadar Vulnerability Manager添加的功能包括:
- 嵌入式,久经考验,可扩展的PCI认证扫描仪
- 能够检测70,000多个漏洞
- 跟踪国家漏洞数据库(CVE)
- 集成的外部扫描仪
- 完整的漏洞视图,支持第三方漏洞系统数据源
- 通过无缝集成的报告和仪表板支持虚拟机的异常和修复过程
这些特性和功能为安全系统添加了以下属性:
- 主动性:通过发现和突出显示高风险漏洞来帮助防止破坏性攻击
- 可操作性:通过利用网络上下文提供高级筛选和快速搜索功能,帮助确定补救和缓解活动的优先级
- 意识:无论何时出现新设备或响应可疑行为,都可以定期或动态快速进行网络扫描,从而有助于维护所有网络资产的准确和最新视图
QRadar Vulnerability Manager的主要属性是,它允许您将自动漏洞扫描与对设备配置,网络拓扑和流量模式的深入了解相结合。 这使得采取主动保护措施变得容易得多。 这也意味着QVM的真正价值不在于它执行网络扫描,而是可以帮助您智能地解释结果。
功能概述
QRadar Vulnerability Manager通过将漏洞分类为可行的组和功能来工作:
- 不活动:通过利用QFlow Collector,QVM可以判断易受攻击的应用程序是否处于活动状态。 QFlow Collector提供第7层应用程序可见性和流分析,以帮助您了解并响应整个网络中的活动。
- 已修补:通过使用Endpoint Manager,QVM可以了解将修补哪些漏洞。 IBM Endpoint Manager管理和保护移动设备,便携式计算机,台式机和服务器。
- 阻止:利用QRadar Risk Manager,QVM可以了解防火墙和IPS阻止了哪些漏洞。 QRadar Risk Manager监视网络拓扑,交换机,路由器,防火墙和入侵防御系统(IPS)配置,以降低风险并提高合规性。
- 关键:通过利用其漏洞知识库,补救流程和QRM策略,QVM可以识别业务关键漏洞。
- 面临风险:通过利用X-Force威胁和SIEM安全事件数据,再结合QFlow网络流量可见性,QVM可以判断易受攻击的资产是否正在与潜在威胁进行通信。
- 已利用:通过利用SIEM相关性和IPS数据,QVM可以揭示已利用了哪些漏洞。
QRadar Vulnerability Manager可以应对当前趋势的三个安全领域的挑战-持续存在的威胁,不断增加的IT安全监控复杂性以及作为安全工具的合规性限制。
防御高级持续威胁
这些隐身攻击一直持续到犯罪者通过利用所有可用机会获得成功。 组织可以通过修补,阻止或监视尽可能多的高影响力漏洞来改善防御。 QRadar Vulnerability Manager通过以下方式应对这一挑战:
- 利用现有的设备基础架构和安全情报数据,无缝地对网络漏洞进行自动扫描。
- 感应何时将新资产添加到网络并执行立即扫描以使资产数据库和网络拓扑保持最新。
- 通过将结果与IPS / IPD阻止功能相关联,消除误报并减少不必要的活动,从而保留安全团队的带宽。
从单一角度应对复杂性
大多数IT安全系统具有来自不同扫描解决方案的漏洞评估数据的多个来源,但是没有一种查看整体网络安全状况的一致方法。 QVM可通过以下方式帮助组织减少这种复杂的数据冲突,并做出更快,更好的决策:
- 使用熟悉的界面查看日志事件,网络流量,违规,风险和漏洞
- 在专用且可自定义的仪表板视图中收集所有可用的扫描数据
- 使协调补丁,虚拟补丁和阻止活动更加容易
超越合规性要求
行业数据和系统合规性要求产品组织通过制定政策和计划来满足这些行业中敏感IT资产的安全要求。 这是一件好事。 QVM通过以下方式帮助组织满足合规性要求:
- 进行常规的网络扫描,保留完整的历史记录和已完成扫描的审核记录
- 用适当的严重等级和漏洞分数对每个发现的漏洞进行分类
- 每天,每周和每月维护漏洞状态的历史记录
- 启用内部和外部资产扫描
- 创建故障单(设置严重性,截止日期,评论)以管理补救活动
- 通过完整的审计线索支持异常过程
但这也会使安全人员变得自满。 QVM在扫描和扫描分析中增加了相当数量的自动化功能,使安全专业人员可以轻松,经济高效地浏览比合规性要求更大的数据集,从而使用该分析做出更好的决策。 QVM使客户端:
- 进行大量并发评估,而不会干扰正常的网络运行,同时允许多个涉众扫描和重新扫描以进行补救验证
- 每天,每周和每月汇总漏洞状态,使组织可以有效地提供长期报告和趋势图,同时提供有效的日常运营视图
- 捕获与由不同数据类型表示的所有活动(发现,任务,注释,例外和补救)相关的审核跟踪
结论
组织的关键安全组件是优化漏洞评估,更好地保护敏感信息资产以及克服由高级持续性威胁,IT基础架构的发展以及合规性自满引起的全面安全性限制的能力。 IBM Security QRadar Vulnerability Manager使用安全智能,通过向IBM Security QRadar SIEM系统添加扫描管理和扫描分析增强功能,来提供可操作的及时洞悉的系统和网络漏洞。 我们希望通过对QVM和QRadar SIEM的功能体系结构的介绍可以促使对安全漏洞扫描和所涉及技术的主题进行进一步的探索。
翻译自: https://www.ibm.com/developerworks/security/library/se-qradar/index.html
qradar