NESSUS PROFESSIONAL VULNERABILITY SCANNER
 
A Nessus a világ talán legismertebb (magánszemélyek számára ingyenesen elérhető) sérülékenységelemző szoftvere egy fajta, de facto az iparágban. A támogatott eszközök száma meghaladja a 45.000-et ami mellé több mint 100.000 plugin csatlakozik.
 
Hol támogat minket a Nessus a mindennapokban?
  • Konfigurációra vonatkozó előírások
  • Sérülékenység vizsgálat
  • Megfelelősség (compliance) legyen szó belső nagyvállalati követelményekről vagy hazánkat is érintő iparági követelményekről (PCI DSS)
  • Biztonsági fenyegetettségek feltárása
 
Hogyan támogat minket a Nessus?
  • Pontos és nagy sebességű adatvagyonleltár készítéséhez szükséges tool-ok (Discovery function) rendelkezésre állásával
  • Sérülékenység elemzés, hardening és patch menedzsment hiányok feltárásával
  • Profilozó funkcióval, széleskörű hardver és szoftver támogatással
    • Hálózati és hálózatibiztosági eszközök pl.: Cisco, Check Point
    • Virtualizációs megoldások pl.: Vmware, Hyper-V
    • Operációs rendszerek
    • Adatbázisok
    • Cloud megoldások
 
Biztonsági fenyegetettségek feltérképezése és megfelelősséghez kapcsoló témakörökben való aktív segítségnyújtással:
  • Vírus, malware, backdoor, botnet fenyegetettség, ismert és ismeretlen host processzek
  • Megfelelősség: FFIEC, FISMA, CyberScope, GLBA, HIPAA/ HITECH, NERC, SCAP, SOX
  • Konfiguráció audit: CERT, CIS, COBIT/ITIL, DISA STIGs, FDCC, ISO, NIST, NSA, PCI DSS
 
Riportolási képességek
Egy üzemeltetést támogató eszköz mit sem ér megfelelő riportolási funkciók nélkül. A Nessus egyaránt képes vezetői vagy szakmai szintű riportok előállítására, séma vagy egyedi igények alapján összeállított riportok készítésére.
 
 
 
Tenable Log Correlation Engine (LCE)
 
Logok gyűjtése, korrelálása, elemzése, riportok készítése, riasztások fogadása, hibák javítása, újraellenőrzés.
Legyen szó üzembiztonságról vagy információbiztonságról manapság ezt megtenni magunknak vagy szolgáltatásként megrendelni, kötelező gyakorlat. Ha magunknak tesszük meg, akkor a legjobb, ha ezt egy több komponensű komplex rendszert építve, s így gondolja ezt a Tenable is mivel az LCE az egyik legfontosabb komponense a Tenable SecurityCenter Continuous View® (SecurityCenter CV™) termékcsaládnak.
 
Pár szóban a SecurityCenter CV™-ről
A gyártó központi több eszközcsalád termékét összekötő központi rendszer. Az SCCV-vel összeköthetünk több Nessus Monitoring rendszert, ami mellé bekapcsolhatjuk az LCE integrációt is.  A két termék összekapcsolásának előnye, hogy egy teljeskőrű képet kaphatunk a bevont eszközök és szoftverek állapotáról és rendelkezésre állásáról miközben nyomon követhetjük az esetleges üzem vagy információbiztonsági eseményeket.
 
Mit tud az LCE?
Az LCE aggregálja, normalizálja, korrelálja és analizálja az egyes eszközökhöz és szoftverekhez tartozó hálózati, behatolásvédelmi, rendszer és alkalmazás logokat akár a felhasználói aktivitások figyelembevétele mellett.
 
Ennek megfelelően az LCE használatának előnyei a következők:
  • Hálózati forgalmak és felhasználói aktivitások analizálása
  • Logok tárolása, tömörítése, szöveges keresés támogatása
  • Auditok, megfelelősség és vállalati irányelvek betartásában való támogatás
  • Illetéktelen file és könyvtárműveletek kiszűrése
  • USB, CD/DVD eszközök lokális vagy távoli monitorozása
  • Malware-ek és károkozók kiszűrésében segítség
  • Baseline utáni folyamatos elemzések készítése, riasztások küldése
  • Ismeretlen szabálynélküli (szabályokra nem match-elő) logok gyűjtése, javasolt kategorizálása
 
Főbb komponensek
 
Anomáliák felfedezése, események korrelálása
A motor fő feladata, hogy adott típusú logokra vonatkozó statisztikai alapú profilozást elvégezze, a későbbiekben az ezektől eltérő abnormális eseményeket jelezze. Ehhez számtalan előre gyártott séma áll rendelkezésre, ami mellett egyedileg is definiálhatunk szabályokat.
 
Riportolási funkciók, analízis támogatással
A Log Retention modul legfőbb feladata, hogy a beérkező logokat letárolja, kategorizálja, azok életciklusát menedzselje. Szükség esetén pl.: audit, biztonsági incidens esetén azokat kereshetővé tegye. A funkció külső megoldások pl.: syslog szerver, storage rendszerek használatával is működtethető.
A fentiek mellett elmondható, hogy minden LCE motor akár többezer klienshez is csatlakozhat. Az ún. Log Correlation Engine kliens segítségével gyűjthetjük be a Windows, web, rendszerszintű parancsokra vonatkozó, syslog vagy hálózati forgalom logokat.
 
Központi menedzsment
Nem létezik nagyvállalati megoldást központi menedzsment nélkül, s ez vonatkozik az LCE-re is.
 

 
Passive Vulnerability Scanner
 
Egy egyszerűbb megközelítésben a Nessus teszi a dolgát, szkenneli a különböző IT rendszer komponenseket, mint Windows, Linux, switchek és tűzfalak vagy egyéb dobozos megoldások. Ugyan akkor bizonyos esetekben nincsen szükség az összes Nessus funkcióra, vagy célirányosan szeretnénk vizsgálni hálózati forgalmakat, élőben szeretnénk nyomon követni bizonyos kapcsolatokat. Ennek okán 2013-tól külön stand alone megoldásként megvásárolható a Tenable Passive Vulnerabilizy Scanner (PVS) megoldás, ami egyfajta kiegészítője a Nessus termékcsaládnak.
 
A PVS folyamatosan, csomagszinten monitorozza a hálózatot, hogy azonosítsa a topológiával, szolgáltatásokkal és sérülékenységekkel kapcsolatos eseményeket, ezek mellett együttműködést biztosít a SecurityCenter® és Log Correlation motorokkal.
 
Előnyei és fő funkciói
  • Folyamatos rálátás az aktív eszközökre, kapcsolatokra és szolgáltatásokra
  • Active Scan-re érzékeny rendszerek monitorozása
  • Konfiguráció menedzsment támogatás
  • Automatikusan rámutat az új vagy idegen rendszerek jelenlétére, azok kockázatára
 
Hálózati forgalom folyamatos elemzése
A PVS használatának igazi előnye a hálózat folyamatos figyelése és elemzése, vagy span vagy tap-ek segítségével csatlakoztató a hálózathoz.
 
  • Kliens és szerver alkalmazások nyomon követés, sérülékenységek feltérképezése
  • Kompromittált alkalmazások feltérképezése
  • Új hostok detektálása, naplóba rögzítése
  • Port scan események detektálása
  • Titkosított forgalmak jelzése és nyomon követése.
  • Operációs rendszerek észlelése
  • A kommunikációban résztvevő protokollok, alkalmazások és ezekkel kapcsolatos sérülékenységek jelzése
  • SQL adatbázis logolása és monitorozása. Együttműködve a Nessus Database Configuration és LCE megoldásokkal
 
 
 
Tenable.io
 
Ahogy az elmúlt évtizedben úgy jelenleg is folyamatosan és gyorsan változó informatikai környezettel kell számolnunk. A cloud megoldások „lassú” előtérbe kerülése, majd tulajdonképpen tartolása a fejlesztési metódusok és környezetek változása újabbnál újabb biztonsági kérdéseket generál amire megfelelő megoldásokat kell adni. A Tenable.io kifejlesztése a cégtől az egyik ilyen válasz.
A Nessus alapokra épülő megoldás egyik fő célja, hogy a fejlesztési környezetben elterjed continer-based megoldások sérülékenységeivel kapcsolatos kérdéseket feloldja, miközben építkezik és együttműködik a már meglévő Tenable megoldásokkal.
 
Érintett platformok
  • Vulnerability management
  • Web Application Scanning
  • Container Security
  • Tenable.io Lumin (under construction)
Tenable_io 
 
Vulnerability management
Az eddigi megoldás felülvizsgálata és új köntösbe csomagolása, jónéhány új funkció bevezetése és természetesen a klasszikus funkciók megtartása.
 
  • Újra gondolt licencelési struktúra, bár ez nehezen nevezhető technikai előnynek annál inkább megkönnyíti az árazást.
  • Bővített szkennelési lehetőségek. Nessus szenzorok, aktív szkennerek, agentek és passzív szenzorok támogatás. A lényeg, hogy szinten minden rendszer bevonható, legyen szó hagyományos IT megoldásokról vagy orvosi eszközökről.
  • Az ismert és feltérképezett elemek rendszerszintű nyomon követése, a saját IT környezetünkön belül.
  • Beépített támogatás patch menedzsment rendszerekhez, MDM megoldásokhoz és különböző sérülékenység elemzéshez használatos gyakori megoldásokhoz. 
  • API és SDK biztosítása
  • Áttervezett felhasználói környezet
 
Web Application Scanning
Az elnevezés mindent elárul. Ahogy a bevezetőben írtuk, a cloud elterjedésével nem csak az adatok elhelyezése, hanem a hozzáférésük módja is megváltozott. Az elmúlt időszakban a cloud megoldások elterjedése háttérbe szorította a hagyományos hozzáférést biztosító protokollok jelenlétét a http forgalomhoz képest. Ennek megfelelően javasolt speciális a technológiát és protokollokat külön figyelemmel kísérni.
 
Container security
Az egyre erősebben alkalmazásközpontú piaci környezet egyik alapvető követelménye.
 
Biztonsági szempontokat vizsgálva a megoldás, a Docker konténerek sérülékenységét, valamint azok vállalati előírások által előírt információbiztonsági követelményeknek való megfelelősséget hivatott megoldani.
 
  • Biztonsági szakemberek számára készített dashboard
  • Automatikus konténer sérülékenység elemzés betöltéskor, frissülő adatbázisállomány segítségével
  • Malware keresése a container image forráskódja alapján
  • Third-party registry-k szinkronizálása
  
DevOps csapatok támogatása
  • Minden DevOps csapat saját dashboardal rendelkezik, amelyen sérülékenységgel kapcsolatos adatok találhatóak az érintett konténerek és repository-k tekintetében.
  • Az image-ek Tenable.io Container-be való bevonása során sérülékenység elemzés történik. Ennek során a konténer komponens tartalma feltárásra kerül az összes layer, komponens, alkalmazás, függőségek, könyvtárak és binárisokkal együtt.        
  • Opcionálisan integrálható biztonsági ellenőrzések bevonása a fejlesztési tool-ok közé, amely nem zavarja a fejlesztési folyamatot. Főbb támogatott megoldások: Jenkins, Bamboo, Shippable, Travis CI.