• No se han encontrado resultados

IBM presenta QRadar Vulnerability Manager

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "IBM presenta QRadar Vulnerability Manager"

Copied!
6
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 6 página )

Texto completo

(1)

Un documento técnico de ENTERPRISE MANAGEMENT ASSOCIATES® (EMA™)

Elaborado para IBM

Julio de 2013

Un nuevo enfoque provocativo a la inteligencia en seguridad integrada:

IBM presenta QRadar

Vulnerability Manager

(2)

Resumen ejecutivo

Las actividades en torno a la gestión de vulnerabilida- des han sido desde larga data un requisito fundamental de las prácticas de seguridad de todas las organizacio- nes, permitiéndoles entender por completo el alcance de sus exposiciones y el estado general de la seguridad de sus redes. Aun así, muchos equipos de seguridad continúan luchando contra las limitaciones operativas inherentes – y los consecuentes procesos manuales – de las soluciones disponibles generalmente implementa- das en silos aislados. Los resultados de los análisis se presentan separados de otros tipos de información sobre la infraestructura de seguridad, limitando así el contexto efectivo de dichos informes, lo que complica el desarrollo de un plan de gestión de seguridad integral y ejecutable. La exclusión de información vital de las herramientas requería vigilar la postura en términos de seguridad y mitigar la exposición al riesgo reduce aún más la efectividad de sus estrategias de seguridad a la vez que incrementa los costos – no obstante, pocas tecnologías y la inteligencia que transmiten son más esenciales para la defensa de una organización.

Con la introducción de QRadar Vulnerability Manager, IBM aborda en forma directa estas limitaciones de los enfoques heredados sobre la gestión de vulnerabilida- des. Esta oferta no es simplemente otro detector básico de vulnerabilidades. Al brindar una evaluación de vulnerabilidades como parte de la Plataforma QRadar Security Intelligence, IBM integra la inteligencia para identificar vulnerabilidades directamente al mismo sistema ampliamente adoptado por muchas empresas para la Información de Seguridad y Gestión de Eventos (SIEM) ejecutable y fácil de implementar. Esto reduce la proliferación de herramientas de seguridad fragmenta- das que atentan contra la efectividad de la seguridad – con los costos asociados – en tanto enriquece la infor- mación sobre vulnerabilidades y mejora la eficiencia de la resolución de vulnerabilidades.

Abordar la promesa no cumplida sobre la gestión de vulnerabilidades

La gestión de vulnerabilidades es un elemento esencial de la seguridad empresarial. Se encuentra al frente de la defensa en contra de ataques, desde aprovechamien- tos sofisticados de defectos de software y configuración por parte de adversarios altamente hábiles hasta amenazas industriales que apuntan a las exposiciones comunes. El principio tiene sensatez: La información sobre conocidas vulnerabilidades aprovechables se recopila y correlaciona con los sistemas de TI en el entorno. Las técnicas incluyen un inventario en el host, por lo general a través de un agente de servidor o terminal, o a través de un análisis fuera del host que explora los sistemas en búsqueda de indicadores de una exposición conocida o reconocida. La intención es permitir una resolución focalizada y prevenir el aprove- chamiento de dichas exposiciones, que podría compro- meter información sensible, inclusive hasta el negocio mismo. Por estos motivos, el análisis de vulnerabilida- des se ha convertido en una práctica de seguridad empresarial fundamental – una práctica que por lo general constituye un requisito para cumplir con los mandatos de cumplimiento normativo tales como el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), entre otros.

No obstante, en la práctica, la gestión de vulnerabilida-

des puede ser extraordinariamente compleja. Puede haber diversos defectos de configuración y software aprovechables en cualquier host – y cientos o miles de hosts en el entorno. El volumen de las exposiciones por lo general entorpece hasta los más metódicos esfuerzos de resolución – y generalmente se trata de evaluar caso por caso cuáles son las vulnerabilidades que se asumen más importantes. Las resoluciones ofrecen aún mayo- res trabas, dado que las actualizaciones de software, los parches y las reconfiguraciones suelen tener que evaluarse antes de su instalación para eliminar cualquier posible interrupción que pudieren causar.

El resultado es que muchas vulnerabilidades – aun cuando se las reconoce como críticas – pueden quedar sin resolver por demasiado tiempo, si es que llegan a resolverse. La trayectoria de años de Conficker es un ejemplo desalentador. En su pico, las variantes del gusano Conficker habían comprometido unas 7 millo- nes de direcciones exclusivas de IP. Esto es el doble de tamaño que SETI@Home, uno de los mayores proyec- tos de computación distribuida a la fecha, que actual- mente tiene aproximadamente 3,4 millones de hosts.

El comando y control de Conficker fue efectivamente decapitado mediante esfuerzos concertados de la industria entre 2008 y 2010. No obstante, aún hay variantes del gusano Conficker que continúan propa- gándose. A fines de 2011, Microsoft aun detectaba 1,6 millones de instancias de sistemas comprometidos por Conficker. Hacia fines de 2012, los investigadores de Microsoft descubrieron que Conficker era aún el número dos del malware detectado en computadoras con dominios unidos – un incremento respecto de las cifras del trimestre anterior. Y en la primavera del 2013, los informes de los medios documentaron los esfuerzos del ministro de educación en Schwerin, Alemania, quien determinó que sería más económico simplemente descartar las computadoras infectadas con Conficker que restaurarlas.

Tal vez, el aspecto más inquietante de esta historia es que Microsoft ya había proporcionado una resolución para las vulnerabilidades aprovechadas por Conficker en octubre de 2008, con la publicación de un boletín de seguridad en el que se documentaba una vulnerabilidad clave y los parches para diversos sistemas Microsoft , como así también soluciones temporales para mitigar exposiciones adicionales aprovechadas por las varian- tes de Conficker. El hecho de que Conficker continúe siento una preocupación demuestra los desafíos que muchos enfrentan a nivel mundial para controlar sus exposiciones de vulnerabilidad.

Entre los mayores desafíos

¿A qué se debe que las organizaciones no logren una gestión de vulnerabilidades más efectiva?

Priorización de vulnerabilidades

Con potencialmente cientos o miles de vulnerabilidades aprovechables en un entorno empresarial – y con tantos recursos para gastar en resoluciones en términos de tiempo y conocimientos – ¿cómo determina una organización qué exposiciones merecen mayor

atención? ¿Cuáles deberían resolverse primero y cuáles pueden esperar?

La priorización de vulnerabilidades ha sido uno de los mayores desafíos de una gestión efectiva. Se han realizado esfuerzos para abordar esta preocupación, tales como el Sistema de Puntuación de Vulnerabilida- des Común (CVSS) que clasifica la gravedad de los

(3)

asuntos registrados. Pero tal vez no sea posible abordar todas las exposiciones de mucha gravedad – y no todos los hosts con uno o más de estos asuntos ameriten una resolución. Los hosts o sistemas críticos para el negocio que enfrentan redes externas públicamente accesibles pueden requerir mayor atención para la misma exposi- ción que un host aislado de baja prioridad en una red interna protegida.

Los falsos positivos generados por herramientas de evaluación de vulnerabilidades agravan el asunto. Sólo porque una cierta vulnerabilidad esté vinculada a una versión dada de software, por ejemplo, no necesaria- mente significa que se encontrará en un host específico, si se retira o inhabilita la funcionalidad afectada en dicho sistema. La aprovechabilidad es otro factor que se suma a los falsos positivos. verifica la organización que un host cumpla con las funciones asumidas? ¿Los datos de actividad justifican la prioridad brindada a un activo?

Más al punto aun: ¿Toma en cuenta la decisión sobre la criticidad de un activo la actividad del activo?

El foco en los servidores demuestra otra brecha en un enfoque realista. Cualquier punto vulnerable en la infraestructura entre un atacante y su objetivo puede ser aprovechado para afianzarse y avanzar hacia una mayor oportunidad. Aun hasta las amenazas "avanzadas"

pueden capitalizar un terminal de usuario comprometi- do para apuntar a un objetivo de mayor valor, si el terminal o su usuario tienen acceso a recursos más sensibles. Sin entender estas rutas y secuencias de ataque, la priorización de vulnerabilidades queda efectivamente desconectada de la realidad.

Imposibilidad de incorporar datos en tiempo real Estos ejemplos sugieren la falta de datos en tiempo real en muchos enfoques que podrían refinar el reconoci- miento de vulnerabilidades. Sorprendentemente, muchos no logran reconocer el impacto de este descui- do. Si la criticidad de los activos está basada en datos estáticos tales como una medición de valores relaciona da con un activo, se encuentra efectivamente congelada en el tiempo y ya no sería actual.

Mantener los datos de vulnerabilidad actualizados generalmente se entiende como mantener actualizadas las bases de datos de los registros de Vulnerabilidades y Exposiciones Comunes (CVE) o puntuaciones de CVSS.

Pero este enfoque está en fuerte contraste con los métodos del atacante, quien suele ser mucho más dinámico y sistemático que el defensor. Cuando se realiza un cambio a un host que presenta una vulnerabi- lidad, un atacante podría descubrirlo en tan solo unos minutos, especialmente si el host tiene amplia exposi- ción de la red. Esto suele ocurrir mucho antes de lo que las herramientas de gestión de sistemas de empresas pueden actualizar las bases de datos de gestión. Cuando se incorporan nuevos hosts a una red, también se incorporan sus exposiciones de seguridad no resueltas, las cuales podrían exponer toda la red.

Una de las fuentes más ricas de inteligencia para identifi- car vulnerabilidades en tiempo real puede encontrarse en sistemas que controlan y reconocen actividades poten- cialmente maliciosas. La naturaleza de las conductas sospechosas, tales como la forma o frecuencia de la interacción con un servicio específico, puede directamen- te indicar que un atacante ha descubierto una vulnerabili- dad aprovechable – y señalar dónde se requiere la resolución puede ser inmediato. Sin embargo, muchas organizaciones deben reconocer todavía el poder de esta información, y más aún ponerlo en práctica en el recono-

cimiento y resolución de vulnerabilidades.

Las tácticas fragmentadas mantienen las brechas expuestas

Otro factor que suele frustrar la gestión efectiva de vulnerabilidades es la simple fragmentación del conjun- to de herramientas. Existe una variedad de tecnologías de evaluación, desde técnicas basadas en el host que dependen de la visibilidad de un agente u otro compo- nente del sistema objetivo hasta evaluaciones basadas en la red. Las técnicas basadas en la red pueden ser tanto activas como pasivas. Los enfoques activos interactúan con el objetivo para determinar la presencia de una vulnerabilidad, utilizando técnicas que varían desde investigar el objetivo en búsqueda de exposicio- nes hasta recopilar los datos de inventario del sistema tales como actualizaciones de software o información acerca de las versiones. Los enfoques pasivos pueden monitorear el tráfico de la red en búsqueda de pruebas de hosts vulnerables en base a información observable desde el contenido de la red. Estas técnicas principal- mente recopilan datos sobre vulnerabilidades a nivel sistema; aquellas que se centran en aplicaciones representan aun otra categoría de evaluación, con tecnologías principalmente divididas entre un análisis dinámico de "caja negra" y tiempo de ejecución y una evaluación estática de exposiciones en código fuente.

Tal como lo sugiere este breve resumen, tocas estas técnicas pueden presentar varias potenciales superposi- ciones y brechas. Las brechas pueden llegar más allá de la evaluación. Las herramientas de gestión de vulnerabi- lidades deben, por un lado, mantener un amplio alcance de datos de vulnerabilidades externos tales como CVE, puntuaciones CVSS y boletines publicados por provee- dores; y, por otro lado, deben mantener un volumen de igual o mayor tamaño de datos internos, tales como inventarios de activos y datos de configuración desde herramientas de gestión de sistemas, registros de actividad desde sistemas de monitoreo y los resultados de análisis de vulnerabilidades. El enfoque es tan integral y completo como la capacidad de las herramien- tas de evaluación de vulnerabilidades de incorporar este alcance de datos más amplio.

Una consecuencia desafortunada de estas técnicas fragmentadas es que pueden no estar bien alineadas o bien integradas a la infraestructura de seguridad existente, lo que puede llevar a numerosos "puntos ciegos" en el entorno. Las defensas de seguridad, tanto aquellas basadas en el host como las basadas en la red, tienen una gran capacidad de reconocer un potencial aprovechamiento de vulnerabilidad, desde la presencia o movimiento de malware hasta un intento de acceso no autorizado. Lamentablemente, estas capacidades de detección pueden no utilizarse suficientemente en la gestión de vulnerabilidades.

Como resultado, simplemente se pierde mucha informa- ción valiosa entre tanto ruido, si es que no se la pasa por alto. Por ejemplo, la correlación de los datos de análisis de vulnerabilidades sobre la actividad de red monitoreada a través de captura de paquetes y flujos puede revelar un verdadero aprovechamiento o sondeo malicioso de una vulnerabilidad descubierta por un atacante. Cuando los proveedores u otras fuentes de inteligencia emiten boletines sobre las vulnerabilidades, se puede rever datos de actividad históricos para determinar si la presencia de la vulnerabilidad ha sido descubierta o aprovechada anteriormente. La prueba de dicha actividad también puede ser útil para revelar una

(4)

La necesidad de hoy: la integración ejecutable de la inteligencia para identificar vulnerabilidades

Si los progresos de hoy en la inteligencia en seguridad pueden resolver muchas de estas brechas y descuidos y, a la vez, reducir los costos, entonces tal vez llegó el momento de considerar un enfoque diferente a la gestión de vulnerabilidades.

Los profesionales de las operaciones de seguridad siempre han reconocido el rol central de los sistemas de gestión de información de seguridad. No obstante, históricamente, estos sistemas se han centrado en gran medida en correlacionar datos de eventos o registros para generar alertas o producir informes que describen la postura de cumplimiento o seguridad.

Hoy en día, los sistemas de inteligencia en seguridad pueden lograr mucho más. Las modernas tecnologías de gestión de información manejan mayores volúmenes de una mayor variedad de datos como nunca antes – y la seguridad puede beneficiarse de esta tendencia. Las organizaciones deberían tener en cuenta las siguientes técnicas y prácticas de gestión de vulnerabilidades:

• Las técnicas actuales deben unificar la correlación y racionalización de los datos sobre vulnerabilidades desde una variedad de fuentes – desde una gama de técnicas de análisis hasta la inteligencia externa para identificar vulnerabilidades, la actividad interna y la topología del entorno.

• Deben ser integrales, incorporando visibilidad en todo el escenario de sistemas, redes, aplicaciones y recursos que integran entornos complejos – incluyendo la infraestructura de gestión de operaciones de TI y seguridad.

• Deben identificar claramente los ítems ejecutables, en base a información más realista e integral que vaya más allá de enfoques estáticos o menos integrales para incluir datos sobre la actividad y la topología.

• Deben centralizar la visibilidad y el análisis, reducien- do o eliminando la necesidad de múltiples consolas de gestión para la evaluación de vulnerabilidades, informa- ción sobre la actividad, generación de informes y otras capacidades relacionadas.

vulnerabilidad de "día cero" aun por ser informada por las fuentes de inteligencia. En tanto, la información acerca de la real topología de un entorno dado puede ser utilizada para descartar falsos positivos o vulnerabi- lidades inaccesibles para un atacante, tal como aquellas que afecten activos en zonas de redes segmentadas o aisladas o inaccesibles detrás de un firewall.

La unificación de estas capacidades lograría cerrar muchas de estas brechas y ayudaría también a eliminar las redundancias en las herramientas de gestión de seguridad, rompiendo silos y mejorando a la vez la eficiencia de la gestión de seguridad, reduciendo así los costos.

El enfoque de seguridad de IBM

En tanto las empresas subrayan el rol del análisis y la gestión de datos, IBM ha ganado una participación de

Presentación de IBM Security QRadar Vulnerability Manager

Con IBM Security QRadar Vulnerability Manager, IBM brinda una respuesta nueva y distinta a una n–ecesidad importante: un enfoque verdaderamente integrado a la gestión de seguridad que ayuda a reducir el costo total de las operaciones de seguridad y cierra muchas brechas en diversos enfoques existentes.

La integración de IBM Security QRadar Vulnerability Manager con la existente plataforma QRadar SIEM se realiza sin interrupciones – es proporciona la nueva oferta a los clientes de QRadar como parte estándar de la arquitectura QRadar SIEM. Dado que la solución ya existirá entre los entornos de los clientes, se podrá activar rápida y simplemente con una clave de licencia, sin necesidad de adquirir o implementar sistemas adicionales para dar soporte a un silo de tecnología separado de gestión de vulnerabilidad. Esta funcionali- dad agregada combina la visibilidad en tiempo real de QRadar con inteligencia de análisis de vulnerabilidades e incrementa la base de datos de activos de QRadar SIEM con una mayor profundidad en la información de vulnerabilidades.

Un enfoque más integral

El potencial de esta combinación es imperioso. Consi- dere, por ejemplo, la gama de inteligencia que QRadar Vulnerability Manager puede incorporar y correlacionar:

• Datos de análisis de vulnerabilidades: El detector integrado incluido con QRadar Vulnerability Manager proporciona capacidades de evaluación ampliamente adoptadas que permiten a los clientes combinar dos tecnologías – evaluación de vulnerabilidad y SIEM – dentro de una única plataforma unificada. Así se elimina la necesidad de técnicas redundantes y se simplifica la implementación de la gestión de vulnerabilidades, lo que puede reducir los costos totales de la gestión de seguridad. Otro elemento de valor es la capacidad de QRadar Vulnerability Manager de incorporar datos sobre vulnerabilidades desde una gran variedad de fuentes – tanto de IBM como de terceros – incluyendo detectores de aplicaciones de la Web, evaluaciones de vulnerabilidades de bases de datos, sistemas de gestión de terminales y otras tecnologías. La información puede incluir análisis externos e internos de fuentes tanto in situ como hospedadas, permitiendo que los clientes de QRadar aprovechen la vista que el adversario tiene en forma externa, pero también la vista interna.

liderazgo en este ámbito, y la seguridad no es la excepción. La plataforma QRadar de la compañía para la Información de Seguridad y Gestión de Eventos (SIEM) se ha convertido en una oferta muy popular para los equipos de seguridad a nivel mundial, capitalizando las técnicas eficientes para ofrecer un desempeño a escala desde una gran variedad de información relevan- te en términos de seguridad. QRadar proporciona información centralizada y ejecutable sobre la actividad en tiempo real, con visibilidad integral a través de las personas, hosts, redes y aplicaciones en los entornos virtuales y físicos. Hoy, IBM extiende este enfoque dinámico, eficiente y en tiempo real a la inteligencia para identificar vulnerabilidades en forma creativa.

(5)

Ventajas clave

El valor principal del enfoque de IBM QRadar Vulnerabi- lity Manager no sólo está en la habilidad incorporada de simplemente analizar la red, que ya se encuentra ampliamente disponible sino en su capacidad de incorporar una inteligencia más profunda y más ejecutable en forma directa a la interpretación de la evaluación de vulnerabilidades, unificando el enfoque con la gestión de seguridad existente a un menor costo operativo.

Un enfoque verdaderamente integrado

QRadar Vulnerability Manager aprovecha la instalación de una infraestructura de seguridad existente y datos de inteligencia para proporcionar una evaluación más integral de las vulnerabilidades en todo el entorno. Esto no es solamente un enfoque integrado sino que

también introduce una huella de instalación práctica- mente nula para una máxima eficiencia – un extraño enfoque entre los productos de infraestructura de seguridad, donde las herramientas heredadas son por lo general implementadas como productos indepen- dientes. QRadar Vulnerability Manager ataca esta fragmentación en forma directa, integrando la evalua- ción de vulnerabilidades con el monitoreo dinámico de actividad.

No obstante, el potencial de reducción de costos va más allá de la infraestructura. El ahorro en términos de reducción de personal puede ser igual de importante.

Considere, por ejemplo, que los técnicos de seguridad suelen consultar múltiples herramientas para entender:

• Cuáles son los hosts vulnerables (que puedan reque- rir el uso de múltiples tecnologías de evaluación);

• Si dichas vulnerabilidades son aprovechables en base a la topología accesible;

• Si la actividad indica un riesgo inmediato; y

• Cuáles son las opciones de resolución disponibles.

Esto multiplica el nivel de esfuerzo necesario para identificar y priorizar las vulnerabilidades más significa- tivas para su resolución. Al integrar y correlacionar esta información en una única consola, QRadar Vulnerability Manager ofrece una reducción sustancial del nivel de esfuerzo necesario para descubrir y resolver los proble- mas más significativos.

La investigación de EMA indica que más de un tercio de las empresas no poseen el tiempo o los conocimientos suficientes para manejar la información de seguridad ya recopilada. Buscar y retener al personal con las

habilidades necesarias es aun otro obstáculo para lograr el éxito. Reducir los costos del personal a través de mejoradas eficiencias en la evaluación de vulnerabi- lidades puede ayudar a utilizar de la mejor manera este conocimiento valioso y muy solicitado.

La interoperabilidad y el soporte para las especificacio- nes estandarizadas también permiten una mejor

automatización para una evaluación de vulnerabilidades a gran escala – una prioridad en la gestión de vulnerabi- lidades, como así también para la integración con resoluciones de vulnerabilidades QRadar Vulnerability Manager soporta dichas iniciativas aprovechando la Base de Datos Nacional de Vulnerabilidades, que brinda soporte a la enumeración de Vulnerabilidades y Exposi- ciones Comunes (CVE) y a las especificaciones de evaluación de gravedad del Sistema de Puntuación de Vulnerabilidades Común (CVSS). QRadar Vulnerability Manager puede realizar análisis de descubrimiento,

• Datos de actividad: Al unificar la evaluación de vulnerabilidades con la capacidad central de QRadar SIEM, QRadar Vulnerability Manager incorpora la dimensión agregada de la actividad al análisis de vulnerabilidades. Esto subraya dónde las vulnerabilida- des pueden afectar activos de alta actividad o muy importantes, o dónde la actividad reducida o menos sensible puede indicar que la resolución tenga menor prioridad, mejorando así las eficiencias a través de información agregada.

• Análisis del entorno: QRadar Vulnerability Manager es compatible con QRadar Risk Manager, que analiza la topología del entorno para descubrir rutas aprovecha- bles, identificar exposiciones reales y reducir o eliminar falsos positivos en la evaluación de vulnerabilidades.

QRadar Risk Manager enriquece este reconocimiento con datos sobre la actividad de la red recopilados en el tiempo desde la plataforma QRadar. Estas capacidades ayudan además a QRadar Vulnerability Manager a identificar asuntos de alta prioridad y aprovechar al máximo los recursos limitados de mitigación de vulnerabilidades.

• Reconocimiento de amenazas: Un aspecto particular- mente valioso que agudiza el reconocimiento de vulnerabilidades ofrecido por QRadar Vulnerability Manager es su capacidad de capitalizar la información SIEM de QRadar en el entorno de amenazas tanto internas como externas. Reconocer cuando los hosts vulnerables se comunican con sitios de amenazas conocidos o potenciales proporciona una distinción significativa para este enfoque de gestión de vulnerabi- lidades – comprender cuándo las vulnerabilidades pueden, de hecho, ser apuntadas o aprovechadas directamente por un atacante. Esta capacidad está en línea con algunas de las tecnologías más exitosas de la actualidad para la defensa de amenazas de avanzada. Al aplicarse a la gestión de vulnerabilidades, intensifica el valor del reconocimiento de la actividad para una defensa integral, resaltando los hosts donde la necesidad de mitigación de vulnerabilidades puede ser más urgente.

• Reconocimiento de resoluciones: QRadar Vulnerability Manager también capitaliza la integración de QRadar SIEM con productos de punto de seguridad tales como Sistemas de Prevención de Intrusiones (IPS) para ampliar el reconocimiento de amenazas que apuntan las vulnerabilidades en el entorno. Esta información también puede aprovecharse para identificar cómo y dónde las defensas pueden dedicarse a bloquear las exposiciones y defenderse contra los ataques. QRadar Vulnerability Manager también puede incorporar datos desde sistemas de gestión de terminales esenciales para la resolución de vulnerabilidades tales como IBM Endpoint Manager. Esto permite a los usuarios correla- cionar los resultados de los análisis de vulnerabilidad de varis formas que mejoran la productividad. Por ejemplo, QRadar Vulnerability Manager puede filtrar las exposiciones que IBM Endpoint Manager puede parchear automáticamente, dejando al usuario con una vista de vulnerabilidades que requieren de técnicas de mitigación alternativas.

Esta capacidad expansiva se ofrece a través de la experiencia de usuario centralizada ya conocida para los usuarios de QRadar, minimizando el impacto de adopción y mejorando la eficiencia de un enfoque integrado que reduce o elimina la necesidad de herra- mientas redundantes de gestión de vulnerabilidades.

(6)

autenticados y no autenticados utilizando el Lenguaje Abierto de Evaluación de Vulnerabilidades (OVAL). Estas especificaciones son por lo general facilitadores clave para correlacionar información sobre los activos con datos de vulnerabilidades y proporcionan soporte a una mayor interoperabilidad con productos de terceros y donde puedan ser necesarias estas especificaciones, como en diversas instalaciones gubernamentales.

Rendimiento mejorado

Entre los desafíos más significativos que informan las organizaciones con evaluación de vulnerabilidades se encuentra el tiempo requerido para recopilar y gestio- nar los datos de vulnerabilidades, como así también el impacto sobre la infraestructura sensible. Las entrevis- tas de EMA con organizaciones de seguridad sugieren que los datos sobre análisis de vulnerabilidades pueden tener una antigüedad igual o mayor a una a cuatro semanas, exacerbando la exposición y amenazando la oportunidad para realizar la resolución.

La cobertura puede ser tan solo de la mitad (o menos) de la red empresarial en ciertos casos, debido no solo al tiempo necesario para completar los análisis de vulne- rabilidades, sino también para limitar el impacto del análisis sobre recursos que pueden ser sensibles a una interrupción.

QRadar Vulnerability Manager aborda estas inquietudes ofreciendo capacidades de análisis de alta velocidad utilizando un enfoque de "no causar daño" al rendi- miento y capacidad de la red. Esto incluye la capacidad de aprovechar la información de QRadar SIEM para lanzar análisis más frecuentes y más focalizados como resultado de una conducta de red detectada – toda vez que se detecte un nuevo activo de datos de flujo de red o eventos de registros, por ejemplo. Así, no solo se mejora el rendimiento al reducir el impacto de la red a través del análisis de objetivos de alta prioridad cuando sea necesario, sino que también se eliminan las brechas en el reconocimiento de vulnerabilidades debido a una actividad de red dinámica que puede omitirse entre los análisis. Los análisis también pueden programarse para que se ejecuten en intervalos programados en forma regular, utilizando QRadar para identificar los objetivos adecuados: contra todos los objetivos en el entorno conocido para QRadar, un subconjunto específico, o un conjunto de referencia SIEM de Qradar.

Gestión e inteligencia centralizadas y eficientes Debido a que QRadar Vulnerability Manager es parte de la Plataforma QRadar Security Intelligence, puede sumar datos de vulnerabilidades recopilados de una gran variedad de productos de gestión de operaciones de TI y seguridad y herramientas de terceros, y centralizar la entrega de dicha información en un sistema de gestión de información de seguridad ya ampliamente adoptado.

QRadar Vulnerability Manager agrega una nueva pestaña a la interfaz de la Plataforma QRadar Security Intelligence, un entorno ya conocido para los usuarios de QRadar al momento de revisar eventos de registro, flujos de red y alertas de seguridad. Recopila todos los datos disponibles de análisis dentro de una vista de panel dedicado y personalizable que ayuda no solo a priorizar la inteligencia de vulnerabilidades ejecutables, sino también a coordinar las actividades de bloqueo, parcheado y parcheado "virtual" (emulación de la conducta de sistemas parcheados permitidos por las defensas de seguridad) de la infraestructura de gestión de sistemas de TI y seguridad.

Este enfoque es tanto flexible como profundo. A nivel estratégico, hace que la tendencia de las vulnerabilida- des y la gestión de vulnerabilidades sean esenciales para entender el rendimiento y priorizar los recursos de mitigación de riesgo, manteniendo vistas diarias, semanales y mensuales. Puede suprimir los falsos positivos y excepciones permisibles, o adaptar el foco del análisis a ciertos activos o vulnerabilidades específi- cos u otros criterios para refinar las vistas según sea necesario. A nivel operativo, QRadar Vulnerability Manager proporciona una interfaz gráfica para visuali- zar y explorar las vulnerabilidades detectadas. Las capacidades forenses proporcionan una visibilidad profunda de los análisis de vulnerabilidades por tipo de vulnerabilidad, host o servicio.

Cumplimiento mejorado

Uno de los flagelos de la gestión de seguridad es la carga que el cumplimiento por lo general impone sobre las organizaciones de recopilar informes que "merezcan una auditoría" en una diversa gama de productos de punto y herramientas de gestión. Esto se suma al costo de los esfuerzos de cumplimiento – pero los enfoques obsoletos respecto del cumplimiento pueden tener un impacto aun peor.

A pesar del énfasis que muchos reguladores ponen hoy en día en el cumplimiento "continuo", muchas empre- sas aun toman un enfoque estático e instantáneo respecto de la evaluación. Sin embargo, los adversarios no están tan atados, lo que puede dejar al negocio susceptible de que los atacantes encuentran exposicio- nes que el negocio podría no reconocer hasta la próxima evaluación. Tampoco los requisitos de cumpli- miento necesariamente aborden todas las potenciales exposiciones de seguridad en un caso específico.

Con la incorporación de Vulnerability Manager, QRadar combina el análisis de vulnerabilidades, tanto programa- do como a pedido, con el reconocimiento de actividad en tiempo real que respalda el cumplimiento mejorado a través de una inteligencia más integral para identificar vulnerabilidades. QRadar Vulnerability Manager ofrece una historia completa y una pista de auditoría de análisis completa – incluyendo excepciones autorizadas cuando estén garantizadas – clasificando cada vulnerabilidad descubierta con una correspondiente clasificación de gravedad y puntuación de vulnerabilidad. QRadar Vulnerability Manager también soporta demostraciones de resolución, a través de la interoperabilidad con las defensas de seguridad, la incorporación de datos de gestión de sistemas y el seguimiento de las actividades de resolución a través de notificaciones de la mesa de servicio, incluyendo la gravedad, las fechas de venci- miento y comentarios adicionales, según sea necesario.

1 Documento Conficker Working Group Lessons Learned (http://confickerworkinggroup.org/wiki/uploads-Conficker_Wor- king_Group_Lessons_Learned_17_June_2010_final.pdf)

2 http://boincstats.com/en/stats/0/project/detailas del 9 de mayo de 2013

3 Informe de Inteligencia en la Seguridad de Microsoft, Vol. 12 4 Informe de Inteligencia en la Seguridad de Microsoft, Vol. 14 5 http://heise.de/newsticker/meldung/Schwerin-Virus-verseuch- ter-Rechner-Ab-auf-den-Muell-damit-1851718.html

6 Boletín de seguridad de Microsoft MS08-67 – Crítico, http://technet.microsoft.com/en-us/security/bulletin/ms08-067 7 http://www.microsoft.com/security/portal/threat/encyclope- dia/entry.aspx?Name=Worm%3aWin32%2fConficker.B

8 The Rise of Data-Driven Security, Informe de Investigación de EMA, mayo de 2012, Pág. 7

Referencias

Descargar ahora ( PDF - 6 página - 3.52 MB )

Documento similar

ANUARIO 2021 ANUARIO 2021 REDES DE ARTICULACIÓN FUTURO TÉCNICO

La alianza que se ha desarrollado durante los dos últimos años entre la Red Futuro Técnico Región Metropolitana y Manager (empresa que ofrece software de gestión y administración),

Ferox Combustion Manager

La temperatura necesaria para que el proceso de des carbonización se produzca en un motor de combustión interna está establecida aproximadamente a 600°C de

UNIVERSIDAD TÉCNICA DE AMBATO FACULTAD DE CIENCIAS HUMANAS Y DE LA EDUCACIÓN

Para el análisis estadístico de los datos y resultados obtenidos en la investigación se utilizó el paquete estadístico SPSS versión 25 IBM para

IBM Business Monitor Versión 7 Release 5. IBM Business Monitor - Guía de instalación

2. Para cada clúster o servidor gestionado, ejecute el mandato configureBusinessSpace proporcionando un parámetro clusterName o nodeName y parámetros serverName, en función de

BASE DE DATOS DE TERCEIROS DA USC: TRAMITACIÓN ALTAS, MODIFICACIÓNS

De non ser así, as facturas non poderán tramitarse para o pago, e a USC, a través do responsable de asuntos económicos do centro da USC que solicitou os seus servicios Rexeitará

Herramientas y aplicaciones gratuitas para Social Media Manager 2020

Una de las aplicaciones esenciales de un social media manager para gestionar Twitter de una manera sencilla, es Tweetdeck, la aplicación gratuita online te brinda diferentes

Transformando el comercio minorista para un mundo on demand

Para encontrar el software que puede ayudar a mejorar la experiencia de compra, los minoristas on demand pueden seleccionar aplicaciones IBM flexibles, rápidas, proyectadas para

JoseA.Guirola,MD,MariaS anchez-Ballestin,MD,SergioSierre,MD,CeliaLahuerta,MSc,VictoriaMayoral,MD,PhD,andMiguelA.DeGregorio,MD,PhD  ARandomizedTrialofEndovascularEmbolizationTreatmentinPelvicCongestionSyndrome:FiberedPlatinumCoilsversusVascularPlugswith1-

During the intervention, the following data were collected by the data manager (V.M.) in an SPSS database (IBM SPSS Version 21.0; IBM Corp, Armonk, New York): number of