闭环漏洞风险管理解决方案
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Confidential and Proprietary
12
核心功能(二)
• 创建和管理动态组 − 管理员可以根据自定义风险策略或其他标准对资产进行分组,进而跟踪和流 线化补救措施 • 稳健的预定义和可定制报告及面板 − 通过利用数十项可直接使用的报告和查看执行面板获得对于 您的安全态势的即时了解。联机创建更多报告,或者从社区报告模板库中 直接添加 • 对风险态势变化的深入了解 − 借助包含资产和已发现的漏洞、恶意软件和漏洞利用程序曝光、漏 洞严重性,以及已发现的漏洞时间长度在内的关键趋势,来轻松地跟 踪您的安全态势和变化 • 端到端的企业工作流支持 − 管理和帮助对端至端的漏洞管理周期进行自动化升级,包括智能发现 、风险监测、测试和验证,以及可实施的报告和补救。利用审批和 逐步升级来有效管理例外情况 和越权政策 • 强大的管理能力 − 支持对地理或组织上分散的网络环境进行集中管理,提供基于角色访问授权的 管理和报告,并整合活动目录、Kerbos 或任何一种 LDAP 兼容目录 • 强大的融合能力 − Nexpose 企业版以预建集成和 Nexpose 的基于 XML 的开放式 API 为基础, 可以与许多第三方安全、合规和风险管理解决方案进行整合
• 验证漏洞是否可被利用
− 通过整合 Metasploit,您的安全团队能够自动验证漏洞是否可以被利用,从而让您对已证明为可利用的资 产和漏洞进行重要性排序
Confidential and Proprietary
11
核心功能(一)
• 无与伦比的统一漏洞扫描广度 − 通过对大量平台中的网络、操作系统、应用程序、网络应用和数 据库进行超过 130,000 项漏洞检测,可扫描多于 50,000+ 个漏洞 • 不间断的漏洞更新
− 自动提供漏洞更新,无需用户干预。在 24 小时内及时提供“微软周二补丁日”发布的漏洞更新,以随时掌握不断变化的各种威胁的 最新动态
• Rapid7 Real Risk − 通过合并漏洞利用程序曝光、恶意软件曝光和临时风险评分,以及 CVSS v2 分数等相关信息,清晰了解每个独特环境的实际风险 • 全面的合规和政策检查 − 检查您的系统是否符合企业或监管政策要求,例如 PCI。并且可以自定义扫描策略模板 • 强大的安全配置评估 − 集中管理和修改您的政策,轻松检测您的环境中的不安全配置。查看政策 面板,报告对各项条例和审计方针的合规情况(例如CIS 基 准) • 分配逐步补救计划 − 轻松创建并自动分配短期、可实践的分步骤补救计划,以帮助 IT 团队专注于降低对您的企业有 重要影响的风险 • 虚拟资产的持续发现 − 与VMware 中心的原生整合,让 Nexpose 能够提供对所有虚拟资产的实 时可见性,以及对于这些资产的威胁曝光的深入了解
• 准确真正的风险
− Nexpose 利用持续的物理和虚拟资产发现以及关于恶意软件和漏洞利用程序曝光的集成信息,为您提供 对于最重大风险的深入了解
• 迅速准确地确定漏洞的优先级
− 扫描可以发现成千上万个漏洞;利用 Rapid7 Real Risk 和 145 个漏洞过滤器,Nexpose 可有效地为您 的补 救措施排列优先顺序
3
• 简洁的、可执行的各种报告
Confidential and Proprietary
架构及实现
Confidential and Proprietary 4
如何工作的?
• 系统构成
− Metasploit pro − Nexpose enterprise
• 实现
− 不象其它的解决方案需要的手工的XML导入导出,漏洞扫描结果通过 API自动的从Nexpose导 入到Metasploit − 通过Metasploit的简单漏洞验证向导可以安全地在您的网络中模拟攻 击,从而识别哪些漏洞是 可以真正被攻击的 − 验证结果自动的推回到Nexpose进行管理和生成报表 − 使用Nexpose轻松地对被证明可被攻击的IT资产进行分组和进行补救 优先级划分,自动地把那 些不可被攻击的漏洞设置成为例外
18
谢谢!
Confidential and Proprietary 19
全自动化渗透测试
Metasploit Pro功能简介
Confidential and Proprietary 6
渗透测试:为什么Metasploit是最佳工具?
• 渗透测试的事实标准
− Metasloit 专业版基于拥有 20 万用户和贡献者的 Metasploit 项目,这也就使 Metasploit 成了渗透测试的 事实标准。安全研究者们新开发的渗透攻击方法经常会写成一个 Metasploit 的模块,因此 Metaploit 用 户立即可以使用这些模块。Metasploit 的攻击方法和载荷都通过实验室和真 实环境的测试验证
闭环漏洞风险管理平台
闭环漏洞风险管理系统介绍
深度集成的闭环漏洞管理
核心价值 • 通过通过深度集成的解决方案大大提
高漏洞验 证、管理和补救的效率 • 通过对证明可被攻击的漏洞进行风险
级别划分来减少致命风险,并对可接受
的风险生成例外 • 安全地测试您的网络,使用黑客们在现 实 世界中所使用的攻击方法验证您的 防御能力
Confidential and Proprietary
8
安全意识管理:测试用户的反钓鱼意识
• 衡量整体用户意识和交付培训的唯一渗透测试解决方案 − 不同于其它渗透测试解决方案,METASPLOIT 专业版社交工程报告在测试过程中每一步都提供 转 换率。只有 METASPLOIT 在社交工程测试过程中每一 步都针对如何定位风险提供建议。 当用户采取了一 个危险动作时,他们会被重定向到一个培训站点 • 独一无二的,用户风险高度可见 − 通过 METASPLOIT专业版和 USERINSIGHT 的集成,安全分析师可以全面了解一个用户的帐戾、 网络活动、云服务、移动设 备以及被钓鱼的风险,把散布在整个系统中的信息统一起来 • 唯一可以测试您技术管控的模拟钓鱼解决方案 − 一些模拟钓鱼服务仅仅可以衡量用户的意识,METASPLOIT 专业版还可以衡量技术管控的有效 性。如果需要,钓鱼 WEB 页面或邮件附件可包含测试补丁级别、安 全配置和基于网络的防护 的攻击
•
•
可以和SOC/NOC系统融合
可以和Splunk进行完美融合,实现大数据分析
Confidential and Proprietary
16
合规检查、内部IT审计
• • 可以根据实际情况制定相应的规范要求,例如证监会自定的基线检查 可以根据规范要求进行检查所辖单位是否合规,例如PCI、CIS等
•
• •
Confidential and Proprietary
13
参数
• 漏洞库数量50000+,国内最高为13000+ • 漏洞检查项130000+ • 每周更新 • Gartner最强象限 • SC Magzine2014度最佳漏洞管理系统 • 可以和国际主流SIEM系统集成如Splunk, ArcSight, Novell, RSA 等等 • 分布式部署、分角色管理,4小时扫描10万个IP无压力
弱密码检查
其他安全风险合规性检查 适合IT管理部门、法务审计部门、风险控制部门等
ConfidentiFra Baidu bibliotekl and Proprietary
17
反钓鱼安全意识培训平台
• • 模拟各种钓鱼场景对所辖单位的员工提供反钓鱼安全意识培训 提高证券行业从业者的整体安全意识,降低APT攻击风险
Confidential and Proprietary
漏洞验证:了解哪些漏洞会带来真正的风险
• 全球唯一的闭环解决方案 −只有 RAPID7 提供闭环的漏洞验证,返回的成功验证信息和漏 洞例外可在漏 洞管理系统中进行报告生成、补救计划生成、 趋势分析 • 抓取现有的扫描数据 −不同于其他解决方案需要手工的 XML 导入导出漏洞数 据,METASPLOIT 专业版可以 直接从 NEXPOSE 中抓取现有的 扫描数据
Confidential and Proprietary
9
漏洞风险管理
Nexpose功能简介
Confidential and Proprietary 10
全面漏洞管理
• 100%扫描您的IT基础设施
− 彻底扫描 IPv4 和 IPv6 网络的物理和虚拟环境中的数据库、应用程序、网络应用和网络设备,以确保您 了解存在的所有漏洞
Confidential and Proprietary
14
使用模式举例
Confidential and Proprietary 15
漏洞风险监管平台
• • • • • • • • • 对所管辖单位进行远程漏洞集中监管,包括对在线业务平台以及重要的线下业务平台 可以对所辖单位所有IT资产进行整体安全风险评估和监管 对新业务上线前进行远程风险评估,包括漏洞扫描和验证 监测漏洞的生命周期,包括从发现漏洞到对漏洞进行验证和补救的全过程 通过漏洞扫描及验证的全自动功能实现高密度的扫描计划,例如每周扫描一次,按每周、月、季度、 年度进行报告 管理层可以通过报告掌握所辖单位的漏洞安全状况 通过发送可执行的补救报告给所辖单位进行整改,并可以监督整改情况 可以对所辖单位的漏洞情况进和横向对比,起到预测防范效果 丰富的图表和报告功能可以掌握所辖单位漏洞风险的任何“风吹草动”
• 灵活、开放平台
− 您可以编写您自己的攻击代码和模块,然后把它们导入到 Metasploit 专业版,从而进 行适合您自己环境 的渗透测试
• 安全控制测试
− 使用 Metasploit 的 MetaModules 测试您的安全控制的有效性,这些功能模块可以大大简化复杂的任务例 如密码测试或防火墙出口测试
12
核心功能(二)
• 创建和管理动态组 − 管理员可以根据自定义风险策略或其他标准对资产进行分组,进而跟踪和流 线化补救措施 • 稳健的预定义和可定制报告及面板 − 通过利用数十项可直接使用的报告和查看执行面板获得对于 您的安全态势的即时了解。联机创建更多报告,或者从社区报告模板库中 直接添加 • 对风险态势变化的深入了解 − 借助包含资产和已发现的漏洞、恶意软件和漏洞利用程序曝光、漏 洞严重性,以及已发现的漏洞时间长度在内的关键趋势,来轻松地跟 踪您的安全态势和变化 • 端到端的企业工作流支持 − 管理和帮助对端至端的漏洞管理周期进行自动化升级,包括智能发现 、风险监测、测试和验证,以及可实施的报告和补救。利用审批和 逐步升级来有效管理例外情况 和越权政策 • 强大的管理能力 − 支持对地理或组织上分散的网络环境进行集中管理,提供基于角色访问授权的 管理和报告,并整合活动目录、Kerbos 或任何一种 LDAP 兼容目录 • 强大的融合能力 − Nexpose 企业版以预建集成和 Nexpose 的基于 XML 的开放式 API 为基础, 可以与许多第三方安全、合规和风险管理解决方案进行整合
• 验证漏洞是否可被利用
− 通过整合 Metasploit,您的安全团队能够自动验证漏洞是否可以被利用,从而让您对已证明为可利用的资 产和漏洞进行重要性排序
Confidential and Proprietary
11
核心功能(一)
• 无与伦比的统一漏洞扫描广度 − 通过对大量平台中的网络、操作系统、应用程序、网络应用和数 据库进行超过 130,000 项漏洞检测,可扫描多于 50,000+ 个漏洞 • 不间断的漏洞更新
− 自动提供漏洞更新,无需用户干预。在 24 小时内及时提供“微软周二补丁日”发布的漏洞更新,以随时掌握不断变化的各种威胁的 最新动态
• Rapid7 Real Risk − 通过合并漏洞利用程序曝光、恶意软件曝光和临时风险评分,以及 CVSS v2 分数等相关信息,清晰了解每个独特环境的实际风险 • 全面的合规和政策检查 − 检查您的系统是否符合企业或监管政策要求,例如 PCI。并且可以自定义扫描策略模板 • 强大的安全配置评估 − 集中管理和修改您的政策,轻松检测您的环境中的不安全配置。查看政策 面板,报告对各项条例和审计方针的合规情况(例如CIS 基 准) • 分配逐步补救计划 − 轻松创建并自动分配短期、可实践的分步骤补救计划,以帮助 IT 团队专注于降低对您的企业有 重要影响的风险 • 虚拟资产的持续发现 − 与VMware 中心的原生整合,让 Nexpose 能够提供对所有虚拟资产的实 时可见性,以及对于这些资产的威胁曝光的深入了解
• 准确真正的风险
− Nexpose 利用持续的物理和虚拟资产发现以及关于恶意软件和漏洞利用程序曝光的集成信息,为您提供 对于最重大风险的深入了解
• 迅速准确地确定漏洞的优先级
− 扫描可以发现成千上万个漏洞;利用 Rapid7 Real Risk 和 145 个漏洞过滤器,Nexpose 可有效地为您 的补 救措施排列优先顺序
3
• 简洁的、可执行的各种报告
Confidential and Proprietary
架构及实现
Confidential and Proprietary 4
如何工作的?
• 系统构成
− Metasploit pro − Nexpose enterprise
• 实现
− 不象其它的解决方案需要的手工的XML导入导出,漏洞扫描结果通过 API自动的从Nexpose导 入到Metasploit − 通过Metasploit的简单漏洞验证向导可以安全地在您的网络中模拟攻 击,从而识别哪些漏洞是 可以真正被攻击的 − 验证结果自动的推回到Nexpose进行管理和生成报表 − 使用Nexpose轻松地对被证明可被攻击的IT资产进行分组和进行补救 优先级划分,自动地把那 些不可被攻击的漏洞设置成为例外
18
谢谢!
Confidential and Proprietary 19
全自动化渗透测试
Metasploit Pro功能简介
Confidential and Proprietary 6
渗透测试:为什么Metasploit是最佳工具?
• 渗透测试的事实标准
− Metasloit 专业版基于拥有 20 万用户和贡献者的 Metasploit 项目,这也就使 Metasploit 成了渗透测试的 事实标准。安全研究者们新开发的渗透攻击方法经常会写成一个 Metasploit 的模块,因此 Metaploit 用 户立即可以使用这些模块。Metasploit 的攻击方法和载荷都通过实验室和真 实环境的测试验证
闭环漏洞风险管理平台
闭环漏洞风险管理系统介绍
深度集成的闭环漏洞管理
核心价值 • 通过通过深度集成的解决方案大大提
高漏洞验 证、管理和补救的效率 • 通过对证明可被攻击的漏洞进行风险
级别划分来减少致命风险,并对可接受
的风险生成例外 • 安全地测试您的网络,使用黑客们在现 实 世界中所使用的攻击方法验证您的 防御能力
Confidential and Proprietary
8
安全意识管理:测试用户的反钓鱼意识
• 衡量整体用户意识和交付培训的唯一渗透测试解决方案 − 不同于其它渗透测试解决方案,METASPLOIT 专业版社交工程报告在测试过程中每一步都提供 转 换率。只有 METASPLOIT 在社交工程测试过程中每一 步都针对如何定位风险提供建议。 当用户采取了一 个危险动作时,他们会被重定向到一个培训站点 • 独一无二的,用户风险高度可见 − 通过 METASPLOIT专业版和 USERINSIGHT 的集成,安全分析师可以全面了解一个用户的帐戾、 网络活动、云服务、移动设 备以及被钓鱼的风险,把散布在整个系统中的信息统一起来 • 唯一可以测试您技术管控的模拟钓鱼解决方案 − 一些模拟钓鱼服务仅仅可以衡量用户的意识,METASPLOIT 专业版还可以衡量技术管控的有效 性。如果需要,钓鱼 WEB 页面或邮件附件可包含测试补丁级别、安 全配置和基于网络的防护 的攻击
•
•
可以和SOC/NOC系统融合
可以和Splunk进行完美融合,实现大数据分析
Confidential and Proprietary
16
合规检查、内部IT审计
• • 可以根据实际情况制定相应的规范要求,例如证监会自定的基线检查 可以根据规范要求进行检查所辖单位是否合规,例如PCI、CIS等
•
• •
Confidential and Proprietary
13
参数
• 漏洞库数量50000+,国内最高为13000+ • 漏洞检查项130000+ • 每周更新 • Gartner最强象限 • SC Magzine2014度最佳漏洞管理系统 • 可以和国际主流SIEM系统集成如Splunk, ArcSight, Novell, RSA 等等 • 分布式部署、分角色管理,4小时扫描10万个IP无压力
弱密码检查
其他安全风险合规性检查 适合IT管理部门、法务审计部门、风险控制部门等
ConfidentiFra Baidu bibliotekl and Proprietary
17
反钓鱼安全意识培训平台
• • 模拟各种钓鱼场景对所辖单位的员工提供反钓鱼安全意识培训 提高证券行业从业者的整体安全意识,降低APT攻击风险
Confidential and Proprietary
漏洞验证:了解哪些漏洞会带来真正的风险
• 全球唯一的闭环解决方案 −只有 RAPID7 提供闭环的漏洞验证,返回的成功验证信息和漏 洞例外可在漏 洞管理系统中进行报告生成、补救计划生成、 趋势分析 • 抓取现有的扫描数据 −不同于其他解决方案需要手工的 XML 导入导出漏洞数 据,METASPLOIT 专业版可以 直接从 NEXPOSE 中抓取现有的 扫描数据
Confidential and Proprietary
9
漏洞风险管理
Nexpose功能简介
Confidential and Proprietary 10
全面漏洞管理
• 100%扫描您的IT基础设施
− 彻底扫描 IPv4 和 IPv6 网络的物理和虚拟环境中的数据库、应用程序、网络应用和网络设备,以确保您 了解存在的所有漏洞
Confidential and Proprietary
14
使用模式举例
Confidential and Proprietary 15
漏洞风险监管平台
• • • • • • • • • 对所管辖单位进行远程漏洞集中监管,包括对在线业务平台以及重要的线下业务平台 可以对所辖单位所有IT资产进行整体安全风险评估和监管 对新业务上线前进行远程风险评估,包括漏洞扫描和验证 监测漏洞的生命周期,包括从发现漏洞到对漏洞进行验证和补救的全过程 通过漏洞扫描及验证的全自动功能实现高密度的扫描计划,例如每周扫描一次,按每周、月、季度、 年度进行报告 管理层可以通过报告掌握所辖单位的漏洞安全状况 通过发送可执行的补救报告给所辖单位进行整改,并可以监督整改情况 可以对所辖单位的漏洞情况进和横向对比,起到预测防范效果 丰富的图表和报告功能可以掌握所辖单位漏洞风险的任何“风吹草动”
• 灵活、开放平台
− 您可以编写您自己的攻击代码和模块,然后把它们导入到 Metasploit 专业版,从而进 行适合您自己环境 的渗透测试
• 安全控制测试
− 使用 Metasploit 的 MetaModules 测试您的安全控制的有效性,这些功能模块可以大大简化复杂的任务例 如密码测试或防火墙出口测试