RAC QualysGuard Vulnerability Management: kontinuální správa zranitelností

V České Republice poskytuje společnost RAC služby testování a správy zranitelností s využitím nástroje a metodiky QualysGuard , která touto metodikou realizovala řadu interních i externích penetračních testů a bezpečnostních auditů. RAC poskytuje tuto službu formou konzultantsky zajištěné služby RAC QualysGuard Vulnerability Management (RAC QGVM), realizované za pomocí vlastních QualysGuard licencí a HW nebo formou distribuce Qualys licencí a Intranet Scanner Appliance koncovým uživatelům. Nástroj a služba QualysGuard je součástí řešení RAC CISS pro zajištění nepřetržité a proaktivní bezpečnosti Internetového připojení a součástí metodiky RAC ISSEC pro provádění praktického a provázaného bezpečnostního zkoumání ICT ve všech fázích jeho životního cyklu.

Technologie
Služba QualysGuard používá k provádění testování centrální databázi zranitelností, umístěnou na Internetu, která je průběžně (zpravidla několikrát týdně) aktualizována a z této databáze jsou přímo prováděny veškeré externí testy na zadané dostupné systémy z Internetu. Prostřednictvím zařízení QualysGard Intranet Scanner Appliance je možné veškeré typy testů přesměrovat po protokolu SSL z Qualys internetové databáze přes firewall architekturu zákazníka až do jeho cílového segmentu uvnitř LAN/WAN, kde je toto zařízení připojeno a provést tak všechny typy testů přímo uvnitř požadovaných síťových segmentů.Výsledky všech interních i externích testů jsou kumulovány a centrálně uchovávány v zákaznickém profilu, včetně návrhu nápravných opatření, které lze přiřadit konkrétním osobám a sledovat průběžně stav aplikace těchto opatření na jednotlivých testovaných systémech. Samozřejmostí je i velké škálovatelnost a variabilita reportů, které lze vytvořit z hlediska sledování historie a trendů v počtu zrarnitelností a instalace nápravných opatření, z hlediska jednotlivých systémů nebo souhrnné přehledy zvolených nápravných opatření dle jednotlivých zodpovědných osob (správců systémů).

Využití
Služba QualysGuard je poskytována prostřednictvím zabezpečeného webového rozhraní, kde každý zákazník má vytvořen samostatný profil včetně několika přihlašovacích účtů, s možností individuálně nastavitelných přístupových práv. V rámci tohoto profilu zákazník může nastavit rozsahy IP adres externích i interních LAN/WAN segmentů, které chce testovat, časy a periodicitu testování, může si přizpůsobit formát a strukturu výsledných reportů dle svých individuálních potřeb a pro své přihlašovací účty nastavit odpovědnost za plánování/spouštění testů a provádění nápravných opatření na vybraných skupinách zařízení či segmentů.

Reference
Společnost Qualys Inc. realizuje celosvětově prostřednictvím svých partnerů služby pro několik tisíc zákazníků, s průměrným objemem více než 1 milion realizovaných testů čtvrtletně ! Mezi nejvýznamější zákazníky patří společnosti: Hewlett Packard, Sony Corporation, VeriSign, A&E Television Networks, Toshiba, Hitachi, Bosch Siemens, Australian National Security Council, NY Board of Trade, Societe General, Bank of the West, ABN AMRO a doslova tisíce dalších spokojených zákazníků. Za poskytování těchto služeb je společnost Qualys Inc. již po řadu let vyhodnocována jako "Market-leading Web Service Provider" pro poskytování "on-demand Internal and External Network Security Audits and Vulnerability Management" viz. například "IDG Best Network Protection Service of the Year 2004", "SC Magazine April 2004: Winner of the Best Security Service for 2004", "eWEEK Labs Analyst’s Vulnerability Assesment Tools Test"; a pod.).

Záruky
Společnost RAC je autorizovaným a vyškoleným Premium Partnerem společnosti Qualys Inc., která se již řadu let zabývá poskytováním "on-demand" interních i externích síťových bezpečnostních auditů a správou zranitelností ICT technologií a disponuje zkušeným týmem konzultantů se specializací na tuto oblast.