Co nowego w Skybox 10? Główne nowe właściwości od wersji 10.20

Co nowego w Skybox 10?

Skybox 10 to przede wszystkim nowe funkcjonalności, poprawiona wydajność oraz lepsze doświadczenia użytkownika z pracy. W wersji Skybox 10 debiutuje po raz pierwszy moduł Vulnerability Control w wersji Web Klienta oraz rozwinięte zostały moduły Firewall i Network Assurance w wersji web’owej.

W module Vulnerability Control znajdziemy nowe właściwości i funkcjonalności pozwalające uprościć zarządzanie podatnościami, takie jak ocenę ryzyka, czy szybkie wyszukiwanie

Główne nowe właściwości od wersji 10.20 to:

Device Overview (przegląd urządzenia) – Dokonaj priorytetyzacji ryzykownych naruszeń oraz uzyskaj przegląd całej infrastruktury.
Customizable Reporting Engine (silnik wspierający tworzenie raportów z wcześniej stworzonych dashboard’ów) – Łatwe i szybkie generowanie oraz eksport raportów bazując na bieżącym widoku tego co przedstawia się na ekranie (np. głównym dashboardzie – który można dostosować do własnych potrzeb.
Risk Scoring in Vulnerability Management (Ocena ryzyka w module VC) – zwiększ dokładność oraz zredukuj koszty ogólne związane z ograniczaniem ryzyka.
Network Map (mapa sieci) – Zobacz wszystkie składowe swojej sieci w formie mapy połączeń. Przyszłe wersje będą zawierały możliwość edytowania polityk, administrację grup oraz użytkowników.

Raporty (wersja beta) – Silnik pozwalający tworzyć własne raporty z bieżącego widoku z wieloma raportami dostępnymi „z pudełka” dla modułów Firewall/Network Assurance oraz Vulnerability Control teraz jest dostępny w wersji Webowej Skybox. Raporty są w pełni konfigurowalne oraz mogą zawierać wszystko to co będzie występowało w konsoli Web’owej narzędzia, niezależnie od tego czy jest to tabela z regułami, widget czy jakieś wyjaśnienia. Każdy pulpit użytkownika może zostać wyeksportowany oraz zaprezentowany w postaci raportu.

Raporty z klienta Web’owego obsługują również te z zaplanowanych zadań (generowanych automatycznie) z klienta Java (można ustawić, aby generowanie raportów było wykonywanie teraz z klienta Web’owego, co wiąże się z tym, że będą widoczne już w nowym formacie)

Lista wspieranych przeglądarek, które działają ze Skybox Web Client:

Firefox
Google Chrome
Microsoft Edge (wersja 40 lub wyższa)

SKYBOX KLIENT WEB’OWY – MODUŁ FIREWALL I NETWORK ASSURANCE

Model module (także dostępny w Vulnerability Control)

W module Model, użytkownicy mogą zobaczyć wszystkie urządzenia w sieci, sortować je, grupować w różnych kategoriach, filtrować je oraz tworzyć własne pulpity (tak jak we wszystkich innych modułach).

Device Overwiew widget – Widget przeglądu urządzeń

Ten nowy widget pokazuje urządzenia, które można sortować po naruszeniu reguł, naruszeniu konfiguracji, statusie optymalizacji oraz innych danych analitycznych. Jest to zbliżone do tabeli Firewall w konsoli Java, jednak w konsoli Webowej lista ta może składać się z jakiegokolwiek urządzenia (nie tylko z firewall’i), również z grup bezpieczeństwa/tagów (security groups/tags – to w odniesieniu do rozwiązań chmurowych). Narzędzie to pozwala na zagłębienie się w informacje o każdym z urządzeń występującym na liście oraz sortować je zgodnie z naszymi potrzebami.

Open Change Manager ticket for deactivate rules – Utwórz ticket w module Change Manager mówiący o deaktywacji reguły z poziomu konsoli Webowej Firewall/Network Assurance.

Ticket może zawierać jedną lub wiele reguł. Głównym zadaniem tej funkcjonalności jest deaktywacja reguł redundantnych oraz zakrywających się (z poziomu modułu Optimization & Cleanup).

Automatyczne tickety do recertyfikacji

W sekcji Rule Review (przegląd reguł) istnieje opcja,a aby otworzyć ticket recertyfikacji dla danej reguły dostępowej, która ma być zarządzana w Change Manager.

Wielu właścicieli dla reguł dostępowych

Skybox teraz wspiera wielu właścicieli i wiele adresów mailowych dla reguł dostępowych. Możesz zobaczyć wszystkich właścicieli oraz ich adresy mailowe w kolumnie Tags oraz w Recertification > Tags – kiedy otworzysz daną regułę.

SKYBOX WEB CLIENT – VULNERABILITY CONTROL

Dashboard modułu Vulnerability Control: Zasoby, Występujące podatności

Główny pulpit dostarcza całościowego przeglądu zasobów organizacji oraz ich podatności, jak i informacji na temat występujących ryzyk. Użytkownik szybko może przejść z wysokopoziomowego widoku do większych szczegółów każdego elementu, co pozwoli zrozumieć jaką akcję należy podjąć.

New risk score (nowa metoda oceny ryzyka)

Skybox dostarcza ułatwioną metodę oceny ryzyka dla modułu Vulnerability Control, która pozwala użytkownikom zidentyfikować i zrozumieć najbardziej podatne zasoby w organizacji oraz podjąć najlepszą decyzję w stosunku do ich naprawy.

Teraz wszystkie wystąpienia mają ocenę ryzyka: występujące podatności, definicje podatności, zasoby, grupy zasobów, biznesowe grupy zasobów, jednostki biznesowe, sieci, lokacje itd.

Nowa ocena ryzyka bieże pod uwagę również ekspozycję, wystąpienie exploit’u, wynik CVSS oraz ważność zasobu. Jest to elastyczna formuła, dzięki czemu użytkownik może kontrolować czynniki ryzyka oraz ich wagi w całościowej ocenie.

Nowa metodologia oceny ryzyka składa się z:

Asset importance (ważności zasobu): Możliwa ocena od 1 do 5 – odpowiada temu, jak bardzo ważny jest zasób w organizacji. Firma może zmienić zakres ważności zasobu oraz standardową wartość „ważności”. Ważność zasobu jest brana pod uwagę przy występujących podatnościach oraz wyliczaniu oceny ryzyka.
Vulnerability rating (ocena podatności): Techniczny poziom uciążliwości dla występujących podatności od 0 do 10 bierze pod uwagę ekspozycje, możliwość exploitacji oraz wynik CVSS. Ocena podatności jest czynnikiem, który jest brany pod uwagę w równaniu oceny ryzyka występujących podatności.

Są 4 sposoby w jaki Ocena Podatności jest obliczana:

Kombinacja możliwości exploitacji, ekspozycji oraz wyniku CVSS (ta opcja jest domyślna)
Wynik CVSS
Wynik maksymalny z 1 i 2 opcji
Średnia z 1 i 2 opcji

Organizacja może wybrać jedną z najlepszych opcji odpowiadających ich potrzebą.

Asset vulnerability rating (Ocena podatności zasobu). Techniczny poziom uciążliwości dla zasobów, od 0 do 10. Istnieją dwa sposoby w jaki można go wyliczać:

Suma ważonych ocen podatności dla wszystkich występujących podatności na konkretnym zasobie,
Maksymalna ocena podatności ze wszystkich występujących na zasobie podatności.

Vulnerability occurrence risk score (Wynik ryzyka występujących podatności). Wynik ryzyka dla występujących podatności od 0 do 100. Bazuje na ocenach podatności pomnożonej przez wagę zasobu.

Vulnerability definitione risk score (Wynik ryzyka definicji podatności). Jest sumą wyników ryzyk wszystkich występujących podatności spośród definicji podatności.

Asset risk score (Wynik ryzyka zasobu). Wynik ryzyka dla zasobu (od 0 do 100), jest wypadkową występujących podatności na nim, jako ważona suma ocen wszystkich występujących podatności lub wynik ryzyka z występujących podatności z największą oceną.

Domyślnie wszystkie wyliczenia dla oceny ryzyka są ustawione, nie ma potrzeby ich zmiany. Jednak jeżeli dla którejś z organizacji domyślne metody wymagały by zmiany jest taka możliwość.

Asset prioritization (Priorytetyzacja zasobów)

Użytkownicy mogą zrozumieć ryzyko z perspektywy pojedynczego zasobu lub ich grupy, w tym wynik ryzyka zasobów oraz ich poziom ekspozycji.

Vulnerability history (historia podatności)

Użytkownicy mogą przeglądać wszystkie zmiany, które wydarzyły się podczas audytowania podatności po to, by mieć pełny przegląd życia podatności od momentu jego wykrycia, aż po naprawienie.

Search capability (Możliwość wyszukiwania)

Użytkownicy mogą w szybki sposób odszukać informację na temat zasobów, czy podatności w ich sieci, które posiadają jakąś wspólną cechę charakterystyczną. Na przykład wyszukać podatności dotyczące ‘WannaCry’:

Kolejnym przykładem może być wyszukiwanie podatności i zasobów przypisanych do działu finansowego i otag’owanych jako ‘finance’.