QRadar - Công cụ phòng vệ từ xa (Phần 1)

Nền tảng an ninh mới

Các tổ chức hiện nay đang gặp nhiều khó khăn trong việc tự bảo vệ trước các vụ tấn công vào dữ liệu với số lượng ngày một lớn và mức độ ngày càng tinh vi, như việc đánh cắp  thông tin về khách hàng và nhân viên, dữ liệu thẻ tín dụng và quyền sở hữu trí tuệ của các công ty. Tại Việt Nam, theo báo cáo của Hiệp hội An toàn thông tin, an toàn bảo mật cũng đang là thách thức lớn của nhiều tổ chức và doanh nghiệp với hàng trăm website của các cơ quan, doanh nghiệp bị tấn công trong năm 2011 và phần lớn các doanh nghiệp trong nước hiện không có chính sách an toàn thông tin. Nhiều doanh nghiệp trên toàn cầu cũng như tại Việt Nam không thể xây dựng được một hệ thống phòng vệ an ninh toàn diện bởi vì họ phải gắn kết các công nghệ manh mún, vốn không dễ tích hợp theo một phương thức thông minh và tự động. Khuynh hướng manh mún này đã tạo ra nhiều lỗ hổng an ninh mà tin tặc có thể khai thác.

Nền tảng Thông tin An ninh IBM QRadar có thể giải quyết vấn đề này một cách trực tiếp bằng cách đóng vai trò như một trung tâm điều khiển để tích hợp thông tin về nguy cơ an ninh theo thời gian thực từ hơn 400 nguồn khác nhau. IBM Qradar kết hợp các năng lực phân tích chuyên sâu với các luồng dữ liệu theo thời gian thực từ hàng trăm nguồn khác nhau nhằm giúp các tổ chức chủ động phòng vệ trước các tấn công và nguy cơ an ninh ngày càng trở nên tinh vi và phức tạp. Để dự báo, ngăn chặn và phát hiện hiệu quả hơn các vụ tấn công an ninh trên phạm vi toàn bộ tổ chức, IBM thu thập kết quả phân tích an ninh và thông tin về các nguy cơ an ninh từ hơn 400 nguồn dữ liệu khác nhau, bao gồm cả thông tin từ Bộ phận Nghiên cứu An ninh IBM X-Force.

“Việc cố gắng giải quyết vấn đề an ninh bảo mật một cách manh mún sẽ không mang lại hiệu quả," ông Leon BL Wee, Giám đốc Bộ phận Phần mềm, IBM Việt Nam phát biểu. "Ứng dụng công nghệ phân tích và cập nhật kiến thức về những nguy cơ an ninh mới nhất chính là cách duy nhất để công ty có thể có cơ hội bảo vệ được các tài sản quý giá nhất của mình. Các Giám đốc Công nghệ thông tin giờ đây đòi hỏi thông tin mang tính dự báo và khả năng bảo vệ bao quát hơn, thông minh hơn."

Cuối năm 2011, sau khi hoàn tất việc mua lại Q1 Labs, IBM đã nắm trong tay danh mục giải pháp an ninh khá toàn diện. IBM cung cấp các giải pháp quản lý định danh và truy cập, quản lý thông tin và sự kiện an ninh, an ninh cơ sở dữ liệu, phát triển ứng dụng, quản lý rủi ro, quản lý thiết bị đầu cuối, an ninh mạng... Hãng này hiện đang vận hành 9 trung tâm điều hành an ninh, 9 trung tâm nghiên cứu, 11 phòng thí nghiệm phát triển an ninh phần mềm và một Viện nghiên cứu cao cấp về An ninh với các chi nhánh tại Hoa Kỳ, Châu Âu và Châu Á Thái Bình Dương. Qradar được tích hợp hầu hết những nghiên cứu mới nhất từ nền tảng đồ sộ này của IBM và được hãng này đưa ra như một con át chủ bài để cạnh tranh trên thị trường an toàn bảo mật thông tin.

Những đột phá trong nền tảng QRadar

QRadar hội tụ được những nguồn thông tin đầy đủ nhất.Một trong những nguồn thông tin có ý nghĩa đang được đưa vào nền tảng QRadar chính là thông tin từ bộ phận nghiên cứu an ninh IBM’s X-Force căn cứ trên việc phân tích 10 tỷ nguồn thông tin trên web và kết quả giám sát thời gian thực 13 tỷ sự kiện an ninh mỗi ngày, cho gần 4.000 khách hàng tại 130 quốc gia. Đó cũng chính là lần đầu tiên thông tin của X-Force có thể được kết hợp với bất kỳ giải pháp thông tin an ninh nào. Thông tin này cảnh báo về những hành vi có thể liên quan đến các Nguy cơ An ninh Thường xuyên Tinh vi. Nó được khởi phát bởi các nhóm tin tặc chuyên nghiệp vốn duy trì truy cập vào các mạng thông qua những phương thức lén lút và thực hiện những hoạt động thâm nhập qua các hệ thống phòng thủ của các công ty với bản chất ngày càng tinh vi.

Người dùng QRadar giờ đây sẽ có được thông tin về những điểm nóng an ninh mới nhất và tự động bảo vệ họ trước những loại rủi ro mới xuất hiện. QRadar sẽ cung cấp những nguồn dữ liệu mới nhất từ IBM X-Force trong các giao diện thông tin cho người dùng, tương quan hoạt động an ninh và hoạt động mạng của một tổ chức với những nguy cơ và lỗ hổng an ninh này theo thời gian thực, dựa trên các quy tắc tự động.

Khả năng hỗ trợ toàn diện tạo nên thế mạnh đặc biệt của QRadar. Nền tảng này hợp nhất thông tin từ các sản phẩm bao trùm toàn bộ bốn lĩnh vực rủi ro trong tổ chức là: cơ sở hạ tầng, quản lý định danh, ứng dụng và dữ liệu. Đây là mức độ hỗ trợ rộng, bao trùm cả các giải pháp từ IBM và từ các nhà cung cấp khác.

Tích hợp mọi nguồn lực

Nền tảng Thông tin An ninh QRadar xác định các tấn công an ninh một cách nhanh chóng hơn bằng cách kết nối với các lĩnh vực chính của rủi ro an ninh bao gồm :

Con người: Các tổ chức cần phải có thể kiểm soát được việc những nhân viên nào truy cập vào những thông tin nào. Truy cập trái phép của một nhân viên vào các cơ sở dữ liệu và thông tin khách hàng quan trọng có thể đẩy một công ty vào tình huống rủi ro trước các tấn công an ninh và hoạt động kiểm toán. Với thông tin an ninh, các nhóm nhân viên an ninh có thể nhanh chóng xác định được liệu các hình mẫu truy cập có được thực hiện bởi một người dùng phù hợp với vai trò và quyền của anh ta trong tổ chức hay không. Các ứng dụng quản lý định danh IBM Security Identity Managervà Quản lý Truy cậpSecurity Access Manager đã được tích hợp lại với nhau, bổ sung cho năng lực hỗ trợ của QRadar cho các danh bạ doanh nghiệp như là Microsoft Active Directory.

Dữ liệu: Dữ liệu nằm ở tâm điểm của hoạt động an ninh, là những gì ẩn sau mọi giải pháp an ninh đã được triển khai và cũng là những gì mà tin tặc tìm kiếm. Khi giải pháp an ninh cơ sở dữ liệu IBM Guardium Database Securityđược tích hợp với nền tảng thông minh này. Người dùng có thể tương quan tốt hơn các hoạt động không hợp lệ hoặc hoạt động khả nghi ngay tại lớp cơ sở dữ liệu.

Ứng dụng: Các ứng dụng có ý nghĩa quan trọng đối với các chức năng thường nhật nhưng lại cũng có thể gây ra những lỗ hổng an ninh mới, nghiêm trọng đối với mạng của các công ty. Các ứng dụng, do tính nhạy cảm của chúng, đòi hỏi sự bảo trì thường xuyên. Các tổ chức thường không thể vá các lỗ hổng an ninh trên các ứng dụng một cách tức thời do các yêu cầu kiểm thử của doanh nghiệp và đòi hỏi phải thay đổi các thủ tục kiểm soát. Với thông tin an ninh, giờ đây các công ty có thể tự động cảnh báo các nhóm nhân viên an ninh mỗi khi các ứng dụng Web còn chưa được vá. Người dùng dễ dàng xác định và chặn đứng tin tặc khi bị tấn công thông qua các lỗ hổng an ninh đã biết trên lớp ứng dụng trước đây đã được xác định bởi ứng dụng quét lỗ hổng an ninh trên công cụ IBM Security AppScan. Sự tích hợp này bổ sung khả năng hỗ trợ của QRadar cho việc giám sát các ứng dụng doanh nghiệp như là IBM WebSphere và SAP ERP.

Cơ sở hạ tầng: Hiện nay, các tổ chức gặp nhiều khó khăn trong việc bảo vệ hàng nghìn thiết bị vật lý, như là máy tính cá nhân và điện thoại di động. Đặc biệt việc này càng phức tạp hơn khi việc cho phép nhân viên được sử dụng thiết bị cá nhân của chính mình đang ngày càng trở nên phổ biến. Do đó, các công ty cần phải cực kỳ thận trọng trong việc đảm bảo rằng các nhân viên của mình đang tuân thủ các chuẩn mực về an ninh trong việc sử dụng những thiết bị cá nhân của chính mình. IBM đã tích hợp với ứng dụng quản lý thiết bị đầu cuối Endpoint Manager vào QRadar. Công cụ an ninh này có thể cung cấp cho các tổ chức khả năng bảo vệ cao hơn cho các thiết bị đầu cuối vật lý và thiết bị ảo như máy chủ, máy để bàn, máy laptop lưu động, điện thoại thông minh và máy tính bảng, cũng như là các thiết bị đặc biệt như thiết bị bán hàng, máy ATM và các ki-ốt tự phục vụ.

Các mô-đun tích hợp mới của QRadar còn đang được phát triển cho Symantec DLP, Websense Triton, Stonesoft, Stonegate và các sản phẩm từ các nhà cung cấp giải pháp khác. Bước đi này của IBM nhằm mở rộng hệ sinh thái của QRadar và tiếp nối cam kết lâu dài của Q1 Labs đối với việc hỗ trợ các môi trường có sử dụng thiết bị từ nhiều nhà cung cấp giải pháp khác nhau.

(Còn nữa)