Bezpečnostný dohľadový systém IBM QRadar

Redukujte počet pribúdajúcich bezpečnostných incidentov. Zamerajte sa len na podstatné vonkajšie alebo vnútorné útoky. Detegujte škodlivých užívateľov v dlhších časových úsekoch a odhaľte tak sofistikované hrozby.

Ako funguje IBM QRadar a čo rieši

Srdcom tohto produktu je vysoko škálovateľná databáza určená na zachytávanie denníkov udalostí a sieťových prenosových údajov v reálnom čase. IBM QRadar SIEM je podnikové riešenie, ktoré konsoliduje protokoly udalostí z tisícov zariadení rozmiestnených v sieti a ukladá každú aktivitu do svojej pôvodnej podoby a okamžite uvádza jednotlivé udalosti do kontextu, aby rozlíšili skutočné hrozby od falošných poplachov. Toto riešenie zachytáva aj sieťovú prevádzku v reálnom čase na 4.

Mnoho spoločností má tisíce a milióny bezpečnostných incidentov každý deň. Získanie krátkeho prehľadu o útokoch z týchto údajov, ktoré je potrebné riešiť ako prioritu, môže byť veľmi náročné. IBM QRadar SIEM automaticky skúma väčšinu sieťových log zdrojových zariadení a skúma prenos dát, aby našiel a klasifikoval autorizované koncové body a servery v sieti a sledoval aplikácie, protokoly, služby a porty, ktoré používajú. QRadar SIEM zhromažďuje, ukladá a analyzuje tieto údaje a uvádza jednotlivé udalosti do kontextu v reálnom čase. Používa sa na odhaľovanie hrozieb, ako aj na audit a podávanie správ v súlade s nariadeniami a bezpečnostnými smernicami. V dôsledku toho je možné znížiť počet miliónov udalostí a dátových útokov a potom ich zaradiť do výsledného krátkeho zoznamu skutočných útokov zoradených podľa ich vplyvu na chod podniku.

Prečo je IBM QRadar úspešný

Tento systém riadenia bezpečnosti sa dá ľahko implementovať, pretože už obsahuje všetko, čo potrebujete po inštalácii. To tiež ľahko rozširuje, pretože je potrebné len vložiť licenčný kľúč - všetky binárne programy sú už zahrnuté. Aktualizácia je tiež jednoduchá, IBM QRadar pravidelne preberá obsah z IBM Delivery Center.

AUTOCONT vlastní súbor pravidiel osvedčených postupov, ktoré zohľadňujú české lokalizácie OS a domáce aplikácie a môžu tiež vyvíjať moduly pre QRadar SIEM. Poskytuje tiež nielen technickú podporu, ale aj službu vyšetrovania incidentov. Naši zákazníci majú dobré skúsenosti so systémom: ČSOB Poisťovňa, Úrad vlády Českej republiky, Región Vysočina, Univerzitná nemocnica Hradec Králové, Štátny ústav pre kontrolu liečiv a mnoho ďalších.

V Slovenskej a Českej republike je oblasť podnikovej bezpečnosti špecifikovaná zákonom o kybernetickej bezpečnosti, ktorý v oddiele 5 diktuje zavedenie osobitných technických opatrení, ako je zavedenie nástroja na zaznamenávanie činností informačného alebo komunikačného systému, jeho používateľov a správcov, nástrojov na odhaľovanie kyberneticko-bezpečnostných udalostí a nástrojov na zhromažďovanie a hodnotenie kyberneticko-bezpečnostných udalostí. Pre určité subjekty je definovaná povinnosť dodržiavať iné regulačné/legislatívne požiadavky a predpisy, ako sú HIPAA, SOX, PCI, ISO27000, FISMA alebo COBIT.

Využite flow sondu dostupnú v rámci IBM QRadar

S pomocou protokolu NetFlow a jeho štatistík, možno odhaľovať externé a interné incidenty, kritické miesta v sieti, dominantné zdroje prevádzky, efektívnejšie plánujú budúci rozvoj siete, sledujú, kto s kým komunikoval, ako dlho a s ktorým protokolom. Dôležitosť NetFlow prišla až v rámci komplexného riešenia zabezpečenia počítačovej siete a v tejto súvislosti sa používa v nástrojoch, ako je NBA (Network Behavior Analysis). IBM QRadar obsahuje aj vyššie uvedené funkcie NBA.

Všeobecne platí, že prakticky všetky zariadenia, ktoré generujú protokoly NetFlow alebo IPFIX, môžu byť pripojené k IBM QRadar. Menej známa je skutočnosť, že k dispozícii sú aj natívne sondy QRadar. Sprevádzkovanie je buď otázkou appliance, alebo ide o jednoduchý proces inštalácie. Proprietárna  modifikácia protokolu NetFlow generovaného sondou QRadar sa nazýva QFlow, rozširuje štandardné možnosti so zlepšenou detekciou škodlivej komunikácie, zverejnením komunikácie obsahujúcej dôverné údaje a monitorovaním škodlivého obsahu komunikácie distribuovanej cez sociálne siete.

Je to nákladovo efektívne riešenie pre zákazníkov, ktorí už majú IBM QRadar alebo uvažujú o kúpe zberača toku spolu so SIEM. V tomto prípade nie je potrebné používať softvér tretích strán a ďalšou výhodou sa zdá byť úplná správa logov a flow z jednej centrálnej konzoly QRadar. Prakticky každý fyzický server so sieťou s kapacitou 1 Gb/s môže byť použitý pre šírku pásma až 1 Gb/s.

Aplikácie AUTOCONT pre efektívnejší dohľad

Dlhodobo sa zaoberáme profesionálnym nasadením a sledovaním bezpečnostných sledovacích služieb, špecialisti AUTOCONT z divízie Corporate IT majú dlhoročné skúsenosti a veľké množstvo zákazníckych inštalácií využívajúcich produkty IBM QRadar SIEM.

Na základe týchto skúseností s prevádzkou systémov IBM QRadar sme vyvinuli vlastnú aplikáciu pre centrálny bezpečnostný dohľad nad inštanciami QRadar a stav bezpečnostných udalostí u našich zákazníkov. Je to aplikácia, ktorá zvyšuje mieru odozvy špecialistov na monitorovacom mieste AUTOCONT, pomáha pri orientácii na zistené bezpečnostné udalosti a uľahčuje celkový bezpečnostný dohľad nad inštalovanou infraštruktúrou. Je to interaktívna aplikácia, v ktorej operátori môžu kliknúť na zobrazené údaje pre viac informácií. Hlavná obrazovka aplikácie je prispôsobená tak, aby filtroval zobrazovanie osobných údajov (adresované, citlivé, popisné).

Viac o aplikácii pre centrálny bezpečnostný dohľad TU

Záujem ?