• Home
  • Giải pháp bảo mật Qradar

Giải pháp bảo mật Qradar

Qradar là một trong những giải pháp bảo mật thuộc IBM Security. Giải pháp SIEM của IBM QRadar nổi bật lên với các tính bảo mật thông minh, khả năng tích hợp và tự động hóa giúp đảm bảo an toàn an ninh thông tin cho tổ chức

Thách thức đối với doanh nghiệp

Hệ thống CNTT không ngừng phát triển với rất nhiều thành phần, từ hạ tầng đến ứng dụng, nghiệp vụ từng ngày từng giờ sinh ra hàng triệu sự kiện, cảnh báo, thông tin an ninh… đòi hỏi phải được giám sát. Và trong số chúng có những cảnh báo nguy hiểm, ảnh hưởng trực tiếp đến hoạt động hệ thống, đến ứng dụng quan trọng của tổ chức.
Mỗi thành phần trong hệ thống có một giao diện quản trị khác nhau, không đồng nhất, dẫn đến khó khăn cho đội ngũ quản trị
Các tổ chức sử dụng CNTT để hiện đại hóa môi trường công việc. Điều này sẽ hướng môi trường CNTT của tổ chức trở thành đích đến của những kẻ tấn công, các mối đe dọa.
Các cuộc tấn công vào các ứng dụng web, cổng thanh toán điện tử của các tổ chức, ngân hàng ngày càng nhiều.
Hình thức tấn công mới Advanced Persistent Threat (APT), tấn công có chủ đích

Làm thế nào để ngăn chặn? Làm thế nào để xác định nguồn gốc tấn công, mục đích tấn công?

Xu hướng bảo mật

Tập trung hóa các sự kiện bảo mật, an ninh thông tin toàn hệ thống, đưa ra cái nhìn tổng quan, giám sát các thành phần trong hệ thống một cách có tổ chức, xâu chuỗi.
Tăng cường bảo mật cho các cổng thông tin điện tử, giao dịch thanh toán điện tử
Tuân thủ chính sách bảo mật, an toàn, an ninh thông tin theo chủ trương nhà nước hoặc của riêng từng tổ chức. (PCI-DSS, ISO 27001)
Xây dựng trung tâm giám sát an ninh thông tin tập trung Security Operation Center (SOC)

Công nghệ ra đời giải quyết thách thức – SIEM

Security Information and Event Management là bộ giải pháp lai ghép giữa hai giải pháp SIM và SEM.
SEM – Security Event Management: cung cấp khả năng giám sát thời gian thực, tương quan và xâu chuỗi các sự kiện từ nhiều thành phần trong hệ thống, đưa ra cảnh báo và hiển thị trên một giao diện thống nhất.
SIM – Security Information Management: cung cấp khả năng lưu trữ sự kiện, phân tích sự kiện và cho phép báo cáo định kỳ, bất kỳ về hệ thống CNTT.

Kiến trúc giải pháp SIEM

Giải pháp có kiến linh hoạt khi cho phép triển khai từng thành phần cần thiết hoặc triển khai all-in-one đáp ứng nhu cầu tổ chức
Kiến trúc giải pháp mở và quản trị tập trung cho phép khả năng mở rộng trong tương lai
Thu nhận và phân tích đa chiều từ sự kiện sinh ra trên các hệ thống khác nhau
Phân loại, đánh giá mức độ nguy hại, xác định nguồn gốc tấn công và lưu trữ

Thành phần thu thập

Cung cấp khả năng thu thập tập trung các sự kiện bảo mật, thông tin an ninh từ tất cả các nguồn (phần cứng, phần mềm, ứng dụng…) khác nhau trong toàn bộ hệ thông CNTT của doanh nghiệp.

Thành phần phân tích

Cung cấp khả năng phân tích chi tiết các sự kiện, thông tin an ninh nhận được từ thành phần thu thập. Tự động gửi cảnh báo với các sự kiện nguy hiểm, tấn công, mối đe dọa. Xâu chuỗi các sự kiện để đưa ra cái nhìn về sự cố trong tổng thể hệ thống

Thành phần lưu trữ

Cung cấp khả năng lưu trữ tập trung các sự kiện. Tạo lập chính sách lưu các sự kiện quan trọng hoặc toàn bộ. Hỗ trợ khả năng nén dữ liệu, chuyển dữ liệu ra các phương tiện lưu trữ như SAN, NAS… Lập các báo cáo tuân thủ quy chuẩn quốc tế PCI-DSS, ISO 27001, FISMA, BASEL II, NERC

Lợi ích mang lại cho doanh nghiệp

Giải pháp SIEM giúp cho doanh nghiệp tập trung toàn bộ các sự kiện an ninh thông tin, kiểm soát bảo mật hệ thống. Cho phép các tổ chức giám sát, đo lường và quản lý rủi ro, quản lý tuân thủ.

  • Thu thập, phân tích và điều tra dữ liệu từ tất cả các nền tảng công nghệ, hệ thống bảo mật, phần mềm, ứng dụng, cổng thanh toán điện tử…
  • Khả năng phân tích gói tin ở Layer 7 (lớp ứng dụng) để phát hiện ai đang sử dụng ứng dụng gì, nội dung truyền tải trên mạng, phát hiện các mối nguy hại đến từ hệ thống mạng.
  • Tương quan các sự kiện với các ngữ cảnh khác nhau, dò quét các sự cố nghiêm trọng, đồng thời giám sát các hành vi của người dùng, phát hiện các mối đe dọa từ bên trong.

Kết hợp với các sản phẩm IPS thế hệ mới giúp phát hiện sớm tấn công, ngăn chặn và xác định nguồn gốc phát sinh tấn công vào hệ thống
Bộ giải pháp IBM Security Qradar bao gồm nhiều thành phần, tương tác chặt chẽ với nhau cung cấp cho doanh nghiệp bức tranh chi tiết nhất về hiện trạng CNTT, cung cấp công cụ để điều tra, xử lý các sự cố CNTT

Đưa ra cảnh báo theo phân tích tương quan thời gian thực. Cảnh báo được gửi qua Email, SMS, hệ thống Ticketing

Tiết kiệm chi phí đầu tư và vận hành hiệu quả

Xây dựng nền móng cho hệ thống quản lý và giám sát an ninh doanh nghiệp SOC (Security Operation Center). Quản lý tập trung toàn bộ an ninh thông tin của doanh nghiệp trên một Dashboard đơn nhất – One Console
Đánh giá tính tuân thủ hệ thống theo tiêu chuẩn quốc tế PCI-DSS, ISO 27001… Đưa ra các báo cáo tuân thủ định kỳ về hiện trạng an toàn thông tin của doanh nghiệp.
Tiết kiệm chi phí và thời gian cho đội ngũ vận hành quản trị CNTT. Việc quản lý được thực hiện trên cùng một hệ thống cho tất cả môi trường CNTT thay vì việc quản lý rời rạc, nhiều nhân sự như hiện nay.

Đánh giá của Gartner

Cuộc chạy đua công nghệ, các hãng sản xuất lớn và danh tiếng trong giới CNTT không ngừng cho ra đời các sản phẩm, giải pháp quản lý an ninh thông tin và phân tích sự kiện tập trung.
Dưới đây là bảng đánh giá của Gartner 2014

Giải pháp SIEM của IBM QRadar nổi bật lên với các tính bảo mật thông minh, khả năng tích hợp và tự động hóa giúp đảm bảo an toàn an ninh thông tin cho tổ chức.

Giải pháp SIEM của IBM Qradar

Thông minh – Intelligent
Tích hợp – Integrated
Tự động hóa – Automated

Quản lý các rủi ro một cách thông minh
Khả năng hiển thị ứng dụng lớp 7
Nhận diện các dấu hiệu bất thường

Kiến trúc phân tầng
Khả năng mở rộng cao
Phân tích sự kiện, luồng thông tin, đánh giá rủi ro…

Dễ dàng triển khai
Tự động hóa các chính sách, hành động
Hiệu quả trong vận hành quản trị

Integrated

Khả năng mở rộng cao
Báo cáo và tìm kiếm dễ dàng
Mô hình thu nhận sự kiện, luồng thông tin phân lớp Mô hình quản trị duy nhất
Khả năng lưu trữ sự kiện và luồng thông tin

Automated

Cho phép các tổ chức tự động hóa trong các hoạt động vận hành, quản trị, giúp giám sát tốt hơn, phân tích hiệu quả hơn và đưa ra hành động chính xác hơn Hệ thống sẵn có hàng nghìn tập luật về An toàn thông tin, hàng nghìn mẫu báo cáo tuân thủ giúp khách hàng vận hành và quản lý an ninh thông tin hiệu quả, nhanh chóng

AUTOMATION THAT ALLOWS ORGANIZATIONs TO BETTER MONITOR, ANALYZE & ACT

Sự kết hợp QRadar với IPS

Khả năng kết hợp giữa thiết bị IPS và giải pháp SIEM giúp mang đến cho doanh nghiệp khả năng bảo mật tối đa.

Thiết bị IPS giúp doanh nghiệp ngăn chặn các rủi ro từ bên ngoài tấn công, dựa trên các mẫu hành vi được định nghĩa trước, cập nhật từ cơ sở dữ liệu.
Giải pháp SIEM giúp doanh nghiệp quản lý được toàn bộ hành vi, hoạt động của hệ thống thông qua phân tích sự kiện.

Kết hợp IPS và SIEM sẽ giúp phát hiện sớm các rủi ro, cảnh báo và đưa ra hành động chặn lọc dựa trên cả cơ sở dữ liệu của IPS và trên hành vi được Qradar phát hiện trên chính môi trường CNTT của doanh nghiệp
QRadar xác định chính xác nguồn gốc tấn công, mục đích của cuộc tấn công, kết hợp với IPS đưa ra hành động ngăn chặn sớm các cuộc tấn công vào hệ thống cổng thông tin điện tử, ứng dụng của tổ chức.