PG Software - Votre distributeur IT

Détails
Catégorie parente: Logs & Sécurité
Security Manager Plus

Les vulnérabilités sont de plus en plus nombreuses puisque les pirates deviennent plus intelligents de jour en jour. Un scanner de sécurité réseau comme Security Manager Plus a besoin d'être en phase avec les vulnérabilités les plus récemment découvertes afin qu'il puisse identifier les dernières vulnérabilités de votre réseau et y remédier.

Security Manager Plus a une base de données des vulnérabilités connues provenant de sources fiables comme CVE, SecurityFocus, SANS etc. SMP maintient également une base de données des correctifs à partir de sites comme Microsoft, Red Hat et Debian. Les vulnérabilités sont classées en groupes de vulnérabilité prédéfinis en fonction :

  • des services qu'elles affectent tels que HTTP, Telnet, IMAP, etc.
  • des systèmes d'exploitation tel que Windows
  • des catégories d'équipement tel que Cisco
  • des serveurs d'applications tels que les serveurs de messagerie, les serveurs de base de données (MSSQL, MySQL, Oracle), les serveurs Web
  • d'autres paramètres tel que le Top 20 des vulnérabilités de SANS

La base de données des vulnérabilités est fréquemment mise à jour avec les nouvelles signatures afin de garantir une sécurité totale contre les vulnérabilités publiées récemment.

Vulnerability Knowledge Base
Base de connaissance des vulnérabilités		 Base de connaissance des vulnérabilités
  • Obtenue à partir de sources fiables comme CVE, SANS, etc.
  • Fréquemment mise à jour avec les dernières signatures
  • Notification lors de la disponibilité de nouvelles mises à jour dans l'interface web de Security Manager Plus
Patches Knowledge Base
Patchs de la base de connaissance		 Patchs de la base de connaissance
  • Dernières mises à jour de Microsoft
  • Prise en charge de plus de 26 langages
  • Contient les correctifs (dont les correctifs de sécurité) pour Windows

Détails
Catégorie parente: Logs & Sécurité
Security Manager Plus

Considérons des scénarios où vous devez gérer

  • des systèmes qui sont répartis sur différents lieux géographiques ou bureaux et ce, sur Internet (applicable principalement aux prestataires de services)
  • des ordinateurs portables qui sont souvent déconnectés du réseau (utilisateurs de téléphones mobiles souvent en déplacement)
  • des systèmes situés derrière un pare-feu ou un routeur NAT/PAT (systèmes dans différentes branches d'une entreprise)

Security Manager Plus est alimenté par un agent qui peut être utilisé pour gérer de tels systèmes, où le maintien d'un tunnel réseau dédié n'est pas réalisable; en permettant une communication par Internet. La seule condition nécessaire est que les agents Security Manager Plus doivent être en mesure de communiquer avec le serveur Security Manager Plus sur le web (via HTTP).

Paramétrage

Voici un exemple pour illustrer comment un prestataire de services peut configurer les agents Security Manager Plus Agents en mode HTTPS afin de gérer les systèmes présents dans différentes zones géographiques.

Un prestataire de service, par exemple Serpro Inc., à Washington, a besoin de gérer les systèmes de deux de ses clients - BNF Bank au Texas et Colt Freightliners à New York. Ces 2 réseaux ne sont pas reliés entre eux et ne sont pas accessibles depuis le réseau SerPro.

Vulnerability Management over the Internet

Le serveur Security Manager Plus sera situé dans le réseau SerPro, à Washington. Les agents de Security Manager Plus (en mode HTTPS) seront déployés dans les systèmes des deux réseaux des clients. Les agents prendront contact avec le serveur Security Manager Plus par Internet qui exécutera les tâches de gestion des correctifs à effectuer. Une fois ces tâches effectuées, les agents feront un rapport des mises à jour au serveur Security Manager Plus. Ainsi, les systèmes de ces réseaux d'entreprise indépendants seront gérés avec une seule console et par Internet.

Configuration du serveur Security Manager Plus sur le réseau du prestataire de services

1. Sur un système qui se trouve dans le DataCenter Internet (Internet Data Center - IDC), avec une adresse IP publique

Le Security Manager Plus Server peut être installé sur un serveur dans l'IDC du prestataire de service. Ce serveur doit avoir une adresse IP publique unique et doit être accessible sur le web. Le port 6767 (port Web par défaut du serveur Security Manager Plus) doit être ouvert pour permettre aux agents de communiquer avec le serveur.

Les administrateurs peuvent se connecter à l'interface web de Security Manager Plus à partir de n'importe où pour effectuer des tâches de gestion des correctifs.

2. Sur un système dans le réseau interne du prestataire de services, avec une connexion Internet via un routeur NAT/PAT

Security Manager Plus peut être installé sur un système avec une adresse IP interne, au sein du réseau SerPro. Le routeur NAT de L'IDC du prestataire de services aura une adresse IP publique pour le trafic Internet avec l'extérieur. Ainsi, tout le trafic sera redirigé vers et depuis les adresses IP internes. Le routeur NAT doit être configuré (mapping dans la table de routage), de telle sorte qu'il achemine tout le trafic HTTP (web) qui traverse le port 6767 (port Web par défaut du serveur Security Manager Plus) à l'adresse IP interne du système sur lequel Security Manager Plus a été installé.

Les agents SMP auront l'IP externe du routeur NAT de SerPro, configuré avec le nom du serveur SMP, et établiront un contact via le web sur le port 6767 (par défaut). Le routeur NAT de SerPro prendra soin de rediriger les requêtes/réponses à l'adresse IP interne de la machine du serveur SMP.

Configuration des agents Security Manager Plus sur les sites des clients

Ce processus est très simple et ne nécessite pas de configurations majeures sur les sites des clients.

  • Accédez à l'interface web du serveur SMP de SerPro en utilisant l'adresse IP publique : https://<publicIP>:6767/
  • Connectez-vous et téléchargez les Agents SMP (Windows) à partir de l'onglet Admin
  • Copiez et installez les agents SMP sur les systèmes qui doivent être gérés
  • Indiquez l'adresse IP publique de la machine du serveur SMP comme nom de serveur (Server Name) à l'agent lors de l'installation
  • Si l'accès au Web à partir de la machine de l'agent SMP est réalisé via un serveur proxy, cela peut être configuré lors de l'installation ou ultérieurement à partir du Systray de l'agent SMP
  • Démarrez l'agent à la fin de l'installation
  • Connectez-vous à l'interface Web de SMP, visitez l'onglet Actifs (Assets) et observez la liste de vos agents

Différences entre un agent Security Manager Plus en mode HTTPS et en mode TCP

No.S Description Agent Security Manager Plus en mode HTTPS Agent Security Manager Plus en mode TCP
1 Scénario d'utilisation Pour gérer les systèmes dans des endroits éloignés sans une connexion réseau dédiée (sur internet), les systèmes sur le réseau local, les ordinateurs portables qui sont souvent déconnectés du réseau Pour gérer les systèmes du réseau local, les systèmes à accès restreint, les systèmes accessibles via un tunnel VPN
2 Protocole de communication HTTP (sur le web) Port à port (TCP)
3 Sécurité Données chiffrées. Communication sécurisée utilisant le protocole SSL sur HTTP (HTTPS) Données chiffrées. Communication sécurisée utilisant le protocole SSL sur TCP.
4 Port de communication Serveur-Agent
(doit être ouvert dans le pare-feu)		 Aucun 9005 (l'agent écoute sur ce port. Configurable)
5 Port de communication Agent-Serveur
(doit être ouvert dans le pare-feu)		 6262, 6767
(Ports web du serveur - par défaut mais configurable)		 9004 (le serveur écoute sur ce port. Configurable)
6 Emplacement du serveur SMP Le serveur SMP peut être installé dans un réseau interne et l'agent dans un réseau externe, à condition que le mappage de port soit fait dans le NAT. L'adresse IP externe peut être utilisée par l'agent Le serveur SMP doit être placé de telle sorte qu'une connexion TCP puisse être établie par l'agent vers le serveur
7 Configurations requises sur l'agent Adresse IP externe du serveur SMP
Ports HTTP et HTTPS du serveur SMP
Informations sur le proxy (si besoin est)
Intervalle de polling de l'agent		 Nom/adresse IP du serveur SMP
Port TCP du serveur SMP
8 Flux de communication entre le serveur et les agents Un seul sens (l'agent sonde le serveur) À double sens
9 Temps de réponse de l'agent A chaque intervalle de polling de l'agent Instantané (pas de polling!)
10 Système d'exploitation pris en charge Windows uniquement Windows uniquement

 

Détails
Catégorie parente: Logs & Sécurité
Security Manager Plus

Les rapports sont essentiels pour fournir des aperçus sur l'historique des données, les tendances et pour faciliter l'analyse statistique du comportement du réseau. Ils sont utiles lorsque les administrateurs de sécurité doivent soumettre périodiquement des informations sur l'état de sécurité du réseau aux responsables informatiques et aux auditeurs pour prendre des décisions en matière de sécurité. Les rapports garantissent également que les réglementations et les politiques de l'entreprise sont bien respectées.

Security Manager Plus est livré avec un ensemble de rapports complets pour aider les administrateurs en sécurité. Vous pouvez également définir des rapports personnalisés. Les rapports peuvent également être générés lorsqu'un scan du réseau est terminé et envoyés aux emails ID que vous voulez. Ils peuvent être exportés aux formats PDF ou CSV et peuvent être importés dans d'autres outils de reporting comme Crystal Reports, etc.

Les consultants en sécurité et les prestataires de services ont la possibilité de personnaliser les rapports de Security Manager Plus en changeant le logo de l'entreprise et les messages d'avertissement. Certains des rapports de Security Manager Plus sont présentés ci-dessous.

Rapport de synthèse
  • Fournit un résumé des résultats d'analyse sous forme graphique
  • Peut être utilisé par l'exécutif pour connaître le niveau d'exposition du réseau de l'entreprise à des menaces
 Executive Report
Rapports de résolution des problèmes
  • Fournit un rapport complet sur les vulnérabilités avec des liens vers des solutions pour régler le problème
  • Peut être utilisé par les administrateurs système pour prioriser la résolution de vulnérabilité
 Remediation Report
Rapport de différentiel
  • Compare et fournit un rapport détaillé sur les différences entre deux scans à propos de la sécurité du réseau et des actifs
 Differential Report
Rapports sur les Service Packs et les correctifs
  • Fournit une liste détaillée de tous les services packs et correctifs manquants sur les actifs sélectionnés.
 Service Packs and Patches Report
Rapport sur les changements dans les fichiers et le registre
  • Présente une liste d'actifs ou de groupes d'actifs avec l'affichage de l'état des changements
  • Peut être utilisé par les administrateurs système pour surveiller et suivre les modifications de fichiers et du registre
 View File & Registry Change Report

Détails
Catégorie parente: Logs & Sécurité
Security Manager Plus

Sur les systèmes Windows, des changements constants se produisent au niveau des fichiers, des dossiers et des registres. Bien que la plupart de ces changements soient dus à des processus normaux comme les mises à jour des correctifs ou des modifications du système, certains d'entre eux peuvent être le résultat d'une infection par un virus ou d'attaques de pirates malveillants. Ce type de changement peut alors conduire à des problèmes critiques pour les systèmes Windows tel que l'arrêt du système.

Il devient donc impératif que certains fichiers, dossiers et entrées de registre critiques soient contrôlés périodiquement et que les modifications soient enregistrées pour rechercher les vulnérabilités. Le suivi et la gestion des changements permettent de retirer des indications sur le statut des entités (comme les fichiers, les dossiers ou les entrées de registre) et de les comparer à une base prédéfinie. Cela garantit aux équipes de la sécurité informatique que tout est en ordre et permet de leur donner le contrôle sur les vulnérabilités qui se glissent dans les systèmes Windows.

Dans Security Manager Plus, la gestion du changement des machines Windows est régie par des profils. Les profils ne sont rien d'autre que des modèles personnalisés qui sont définis par les utilisateurs pour capturer une liste de fichiers, dossiers et d'entrées de registre importants qui doivent être suivis régulièrement. Le suivi des changements peut être réalisé sur des actifs ou des groupes d'actifs. Plusieurs profils peuvent être associés à un même actif ou groupe d'actifs.

Paramétrage des références

Par défaut, les informations obtenues sur un fichier, un dossier ou une clé de registre après le premier scan des actifs, seront traitées comme les valeurs de référence. Toutefois, cela peut être modifié à tout moment et un point de référence peut être défini sur la base d'une nouvelle valeur.

Créer un profil de gestion du changement
  • Ajouter des fichiers, dossiers et entrées de registre spécifiques à un profil
  • Associer des profils de gestion du changement à des actifs ou des groupes d'actifs
 Change Management Profile
Profil de gestion du changement
Tableau de bord de l'inventaire
  • Actifs avec le plus de changements
  • Entités avec le plus de changements
  • Top 5 des OS détectés
  • Top 5 des logiciels installés
 View Inventory Dashboard
Tableau de bord de l'inventaire
Liste des changements pour un actif
  • État des fichiers, des dossiers et des entrées de registre suivis pour un actif
  • Définir une référence pour le suivi des modifications
  • Associer plusieurs profils de gestion du changement à un actif
 Changes List for an Asset
Liste des changements pour un actif

Détails
Catégorie parente: Logs & Sécurité
Security Manager Plus

Avec un nombre de menaces de sécurité et de vulnérabilités à la hausse, les correctifs et les mises à jour publiés par les éditeurs de logiciels pour répondre à ces vulnérabilités sont également plus nombreux. Cela devient alors extrêmement difficile pour les administrateurs de sécurité de faire face au volume et à la fréquence de publication de ces correctifs. En effet, le temps et les efforts nécessaires pour identifier, tester et installer les correctifs sur les systèmes vulnérables sont énormes.

Pour corriger les vulnérabilités des actifs sous Windows et Linux, la méthode la plus commune est d'appliquer les correctifs et les Service Packs manquants. Security Manager Plus agit comme un logiciel de gestion des patchs. Il identifie les patchs/packages et les Service Packs manquants sur les actifs vulnérables et facilite leur téléchargement à partir du site du fournisseur. Il permet finalement de les déployer sur les systèmes qui en ont besoin.

Gestions des correctifs Windows

Security Manager Plus prend en charge la gestion des correctifs/patchs Windows dans plus de 26 langues pour les OS et les applications Microsoft. SMP possède son propre moteur de scanning et de patching soutenu par une base de données de patch complète qui est mise à jour fréquemment. Vous pouvez également utiliser Security Manager Plus pour vérifier la liste des patchs manquants, installer les correctifs et le signaler par WSUS, SMS, etc.

Gestions des correctifs Linux

Security Manager Plus peut également détecter les packages manquants sur les systèmes Linux (Red Hat, Debian, CentOS) et installer des mises à jour en interopérant avec les outils de gestion des paquets des systèmes cibles (up2date pour Red Hat, aptitude pour Debian, yum pour CentOS).

Le support d'autres distributions Linux peut être ajouté par modification des scripts de gestion des correctifs à partir de la console Web.

Pour utiliser la fonctionnalité de déploiement des patchs Linux de SMP, vous devez vous assurer que vous avez une licence valide pour le support et la mise à jour des différentes distributions Linux. Il est important que vous fournissiez un nom d'utilisateur/mot de passe valide pour que les systèmes puissent être patchés correctement.

Déployer les correctifs manquants
  • Planifier le déploiement des correctifs
  • Déployer des correctifs en fonction de critères prédéfinis
  • Options pour arrêter ou redémarrer les systèmes après déploiement
  • Séquencement automatique pour le déploiement de plusieurs correctifs
  • Poster un message personnalisé sur le système après le déploiement d'un correctif
  • Rapports envoyés par email sur l'état de déploiement
 Deploy Missing Patches
Déployer les correctifs manquants

Informations sur les correctifs
  • Liste des hôtes concernés
  • Informations sur les produits affectés, la gravité, la vulnérabilité, etc.
  • Liens vers les sites Web des fournisseurs
 Patch Details
Informations sur les correctifs
Déployer les Service Packs
  • Déploiement d'un service pack sur plusieurs systèmes
  • Utiliser un service pack déjà téléchargé pour le déploiement
  • Déploiement dans un délai configurable
  • Programmer le déploiement d'un service pack
  • Envoi par email de l'état d'avancement du déploiement des Service Packs
  • Rapports d'historique du déploiement des Services Packs
 Deploy Service Packs
Déployer les Service Packs
Tableau de bord des correctifs
  • État des correctifs réseaux basé sur la gravité
  • Top des patchs nécessaires pour votre réseau
  • Hôtes les plus vulnérables - basé sur les correctifs manquants
  • Correctifs publiés récemment
 Patches Dashboard
Tableau de bord des correctifs
  1. Utilisateurs et groupes Windows
  2. Inventaire du matériel et des logiciels
  3. Port Scanner - Détection des ports ouverts
  4. Payment Card Industry Data Security Standard (PCI DSS)