PVS (Passive Vulnerability Scanner)

Kesintisiz olarak yapılan ağ izleme sürecindeki detay ip paketi incelemesi; yetkisiz cihazların, zafiyetlerin ve güvenilmeyen bağlantıların ortaya çıkmasını sağlar.

Ürüne Genel Bakış
Tenable’ın sunduğu Pasif Zafiyet Tarayıcısı (Passive Vulnerability Scanner™ (PVS™) patentli bir ağ saptama ve zafiyet analizi teknolojisi olup aralıksız ağ tarama ve ayrımlama olanağını hiç bir kesintisiye
uğratmaksızın sağlar.
PVS topoloji; servisler ve zafiyetleri tespit etmek amacıyla IPv4, IPv6 ve karma ağ trafiğini paket katmanı seviyesinde izler. Ağ segmentleri veya küçük ağları etkin bir şekilde hedeflemek üzere tek başına da kullanılabilen PVS aynı zamanda Tenable’ın
SecurityCenter Continuous View™ çözümünün entegre bir tamamlayıcı parçasıdır. PVS; kullanıcıları, uygulamaları, bulut altyapısını, güven ilişkilerini ve zafiyetleri aralıksız olarak tespit edip izlemenin yanısıra işletim sistemleri, ağ aygıtları, hipervizör’ler, veri tabanları, tabletler, telefonlar, web sunucuları, bulut uygulamaları ve kritik öneme sahip altyapı boyunca kullanıcıları, altyapıyı ve zafiyetleri otomatik olarak tespit eder.

PVS’in Sağladığı Faydalar
PVS ile gerçekleştirilen kesintisiz taramanın sağladığı önemli ve ayırt edici yararlar arasında tüm cihaz ve uygulamaların saptanması, bunların sergilediği zafiyetlerin tespit edilmesi ve Kendi Cihazını Kendin Getir (BYOD)/mobil cihazların tespiti yer almaktadır:

• Ağınız üzerinde hangi cihazların, uygulamaların, hizmetlerin ve ilişkilerin aktif olduğunun her zaman bilinmesi
• Kimlik bilgileri olmaksızın ve hizmeti muhtemel bir aksamaya uğratmaksızın etkin bir tarama gerçekleştirmek suretiyle aktif taramalara ulaşamayan hassas sistemlerin korunması
• Zafiyete açık varlıklar ve yeni ya da hileli sistemlerin yarattığı potansiyel güvenlik sorunlarının otomatik olarak belirlenmesi
• Konfigürasyon yönetiminin geçerliliğini denetlemek suretiyle hem dahili politikalara hem de önemli mevzuat gerekliliklerine uyum sağlanması
• Uygun olmayan kullanımların ortaya çıkmasını sağlamanın yanısıra perimeter aygıtlar tarafından tespit edilemeyen “içerdeki tehditlerin” tam olarak yerinin belirlenmesi
• “Gerçek” tehditlere yönelik uyarılarda bulunmak suretiyle vak’a yanıtına odaklanma imkanı
•  Tehditlere yönelik iyileştirmenin (remediation) hızlandırılması ve aktif taramalar arasındaki boşlukların ortadan kaldırılması
• Planlanmış aktif taramaların arasındaki boşlukların aralıksız tarama yoluyla doldurulması

Tenable’ın Passive Vulnerability Scanner çözümü, kurum güvenliğine yönelik sürekli tarama ve değerlendirmenin hiçbir kesintiye uğramayacak biçimde gerçekleştirilmesini teminen gerçek-zamanlı bir ağ izleme ve ayrımlama (profiling) olanağı sunmaktadır.
Ağ trafiğini paket seviyesinde izleyen PVS bu sayede hem sunucu hem de müşteri tarafındaki zafiyetlere görünürlük sağlamakta hem de varlıkların eksiksiz olarak tespit edilmesine imkan tanımaktadır.


Anahtar Özellikler
Gerçek Zamanlı Zafiyet İzleme
Tenable PVS, aralarında aşağıdakilerin de bulunduğu pek çok güvenlik-ilintili bilgi açısından ağ trafiğini aralıksız olarak izler:

• Tüm terminal ve sunucu uygulama zafiyetlerinin takip edilmesi
• Bir uygulamanın ne zaman gizliliğin ihlal edildiğini veya ne zaman çökertildiğinin tespiti
• Bir ağa eklenen yeni host’ların tespiti ve belgelenmesi
• Dahili bir sistemin diğer sistemlerde ne zaman port taraması yapmaya başladığının ortaya çıkartılması
• Birbiriyle etkileşimli ve şifrelenmiş ağ oturumlarının tamamının vurgulanarak öne çıkartılması
• Hizmet sunulan port’ların yerinin saptanması ve her bir özgün sistem için hangi port’ların içeriğinin gözden geçirildiğinin ayırt edilmesi
• Aktif host’ların her birinin işletim sisteminin pasif bir şekilde tespiti
• Birbiriyle komünikasyon kuran sistemler üzerindeki zafiyetlerle kullanılan protokol ve uygulamalardaki zafiyetlerin tespiti
• En baskın host’ların, zafiyetlerin, uygulamaların, işletim sistemlerinin ve bağlantıların özetlenmesi
• 10 Gbps ağlara yönelik destek

PVS, bir hub, spanned port, ERSPAN bağlantısı veya network tap üzerinden ağ segmentine bağlanmak suretiyle veri akışını aralıksız olarak izlerken güvenlik, BT ve yönetim ekiplerine yönelik olarak gerçek zamanlı uyarılar ve kapsamlı raporlar oluşturur.

Ağ, Web ve FTP Monitörizasyonu
PVS, paket akışının doğrudan analizi vasıtasıyla web ve FTP faaliyetinin kapsamlı olarak izlenmesine olanak tanır. PVS, herhangi bir HTTP veya FTP işlemini pasif bir şekilde izlemek suretiyle ağınız üzerinde yer alan her bir host hakkında yararlı bilgileri tespit edip raporlayabilir, bu bilgiler arasında:

• Terminal ve web tabanlı zafiyetler ve uygulamaların tamamı
• Host sistemlerin herbiri üzerinde kullanılan web ajanlarının tamamının eksiksiz bir listesi
• FTP vasıtasıyla paylaşılan tüm dosyaların pasif ayrıntılı dökümü
• Her bir GET, POST veya dosya yüklemesinin gerçek zamanlı olarak loglanması
• Her bir FTP dosyası GET veya PUT’un gerçek zamanlı olarak loglanması
• Her bir DNS sorgu takibinin gerçek zamanlı olarak loglanması

Sözkonusu veri, içeriden gerçekleştirilen faaliyetlerin, çalışanların faaliyetlerinin, kötü niyetli yazılım istilalarının veya gelişmiş tehdit tehlikelerinin analizinde fayda sağlarken, bu sistem günlüklerinin (log) pek çoğu daha ileri analiz yapılması, korelasyon ve uzun vadeli saklama için Tenable Log Correlation Engine™’e gönderilebilmektedir.


Ajansız Tarama ve Terminalsiz Erişim
PVS, Microsoft SMB protokolüne yönelik gelişmiş bir protokol analizi yapılmasına imkan tanımaktadır. PVS, bir ağın iç kısmı üzerinde Active Directory ağ trafiğini görebileceği bir yere konuşlandırıldığında aşağıdakileri otomatik bir şekilde öğrenebilir:

• Herbir sistemin hostname’i ve workgroup adı
• Herhangi bir klasör üzerinde paylaşılan dosyaların tamamının listesi
• Gerçek-zamanlı bir ağ paylaşımından gelen Login’ler ve dosya yüklemeleri

Bu bilginin pasif bir şekilde gerçek zamanlı olarak tespit edilmesi muazzam bir adli ve durumsal farkındalık değeri taşımaktadır. Geniş ağlar söz konusu olduğunda, paylaşılan klasör içeriğinin tamamının pasif bir şekilde tespit edilmesi potansiyel hassas
verilerin ayırt edilmesini çok daha kolaylaştırmaktadır. SecurityCenter Continuous View’ün entegre PVS ve Log Correlation Engine modülleriyle birlikte kullanılması, ağ üzerinde paylaşılan dosyaların kayıtlarını incelemek suretiyle çalışanların
faaliyetlerinin yanısıra kötü niyetli yazılımın gerçekleştirdiği faaliyetlerin de adli analizinin yapılmasına imkan tanımaktadır.

SQL Veritabanının Loglanması ve Monitörizasyonu

PVS ağ trafiğine de ayrıca bakmak suretiyle SQL cihazları ve bu tür cihazlarla ilişkili zafiyetleri ayırt edebilir, bu faaliyetleri gerçek zamanlı olarak loglayabilir. SQL aramalarına yönelik gerçek zamanlı sistem günlükleri (logs), web servislerinden gelen SQL saldırıları da dahil olmak üzere saldırıların aratılması, depolanması ve analiz edilmesi amacıyla Log Correlation Engine’e gönderilebilir. SQL faaliyetlerinin tamamına yönelik eksiksiz yerleştirme PVS verilerinin Nessus® SQL veritabanı konfigürasyonu ve zafiyet denetleme verisiyle birleştirilmesiyle elde edilebildiği gibi bir Log Correlation Engine ajanıyla birlikte SQL veritabanı sunucusundan edinilen sistem günlüğü verilerinden de elde edilebilir.

Pasif Topoloji Tespiti & Servis Tanıma Analizi

Terminal veya sunucu zafiyetlerine özgü veri analizi ağ iletişiminin her iki tarafının yeniden düzenlenmesi suretiyle gerçekleştirilmektedir. HTTP; SMTP ve FTP gibi özgün protokoller servisin sürümünü tespit eden özel birtakım dizilere sahiptir. PVS bunları teşhis edip özel birtakım zafiyet uyumlu ekleri veya testler ile ilişkilendirir.

PCI DSS Uyumluluğu

PCI DSS, kredi kartı verilerinin iletimi, işlenmesi veya saklanması süreçlerine dahil olan tüm sistemlerin doğru ve kapsamlı olarak teşhis edilmesini gerektirir. Sözkonusu sistemler, toplu olarak “kartsahibi veri ortamını” (CDEcardholder data environment) oluştururken PCI DSS kontrollerinin sürekli olarak uygulanması ve yıllık bazda geçerliliğinin denetlenmesi gerekmektedir. CDE bütünlüğünün sürdürülmesini teminen kurumların prosedürlere ilişkin kanıtları da temin etmeleri gerekmektedir. PVS, sadece
CDE’ye giren ve CDE’den çıkan bilinen veri akışlarını izlemekle kalmaz, özellikle şifresiz ödeme kartı bilgileri olmak üzere, dokümante edilmeyen veri akışlarını da tespit eder.

Konuşlandırma Seçenekleri

Tenable Passive Vulnerability Scanner; standart (1Gbps) ve en yüksek (10Gbps) olmak üzere iki performans seviyesinde sunulmaktadır. PVS her iki performans seviyesinde de isterseniz bağımsız bir tarayıcı olarak isterseniz de SecurityCenter Continuous View’ün bir parçası olarak sunulmaktadır. Güvenlik olaylarını aktif ve pasif zafiyet taraması ile özgün bir şekilde birleştiren SecurityCenter Continuous View kurum güvenliğine kapsamlı bir bakış kazandırmaktadır.