مرحبا بالجميع!
أريد اليوم أن أتحدث عن الحل السحابي للبحث وتحليل الثغرات الأمنية في Qualys Vulnerability Management، والذي يعتمد عليه أحد موظفينا .
سأوضح أدناه كيفية تنظيم عملية الفحص نفسها وما هي المعلومات المتعلقة بالثغرات الأمنية التي يمكن العثور عليها بناءً على النتائج.
ما يمكن مسحها
الخدمات الخارجية. لفحص الخدمات التي يمكنها الوصول إلى الإنترنت، يزودنا العميل بعناوين IP وبيانات الاعتماد الخاصة به (في حالة الحاجة إلى إجراء فحص مع المصادقة). نقوم بفحص الخدمات باستخدام سحابة Qualys ونرسل تقريرًا بناءً على النتائج.
الخدمات الداخلية. في هذه الحالة، يبحث الماسح الضوئي عن نقاط الضعف في الخوادم الداخلية والبنية التحتية للشبكة. باستخدام هذا الفحص، يمكنك جرد إصدارات أنظمة التشغيل والتطبيقات والمنافذ المفتوحة والخدمات التي تقف خلفها.
يتم تثبيت الماسح الضوئي Qualys لإجراء المسح داخل البنية التحتية للعميل. تعمل سحابة Qualys كمركز قيادة لهذا الماسح الضوئي هنا.
بالإضافة إلى الخادم الداخلي مع Qualys، يمكن تثبيت الوكلاء (Cloud Agent) على الكائنات الممسوحة ضوئيًا. يقومون بجمع معلومات حول النظام محليًا ولا يقومون فعليًا بأي تحميل على الشبكة أو الأجهزة المضيفة التي يعملون عليها. يتم إرسال المعلومات المستلمة إلى السحابة.
هناك ثلاث نقاط مهمة هنا: المصادقة واختيار الكائنات المراد فحصها.
- استخدام المصادقة. يطلب بعض العملاء فحص الصندوق الأسود، خاصة بالنسبة للخدمات الخارجية: فهم يعطوننا مجموعة من عناوين IP دون تحديد النظام ويقولون "كن مثل المتسلل". لكن المتسللين نادراً ما يتصرفون بشكل أعمى. عندما يتعلق الأمر بالهجوم (وليس الاستطلاع)، فإنهم يعرفون ما يخترقونه.
بشكل أعمى، قد تتعثر Qualys على لافتات خادعة وتقوم بمسحها ضوئيًا بدلاً من النظام المستهدف. وبدون فهم ما سيتم فحصه بالضبط، فمن السهل تفويت إعدادات الماسح الضوئي و"إرفاق" الخدمة التي يتم فحصها.
سيكون المسح أكثر فائدة إذا قمت بإجراء عمليات التحقق من المصادقة أمام الأنظمة التي يتم فحصها (الصندوق الأبيض). بهذه الطريقة سوف يفهم الماسح الضوئي مصدره، وستتلقى بيانات كاملة حول نقاط الضعف في النظام المستهدف.
لدى Qualys العديد من خيارات المصادقة. - أصول المجموعة. إذا بدأت في فحص كل شيء مرة واحدة وبشكل عشوائي، فسوف يستغرق الأمر وقتًا طويلاً ويخلق حملاً غير ضروري على الأنظمة. من الأفضل تجميع المضيفين والخدمات في مجموعات بناءً على الأهمية والموقع وإصدار نظام التشغيل وأهمية البنية التحتية والخصائص الأخرى (يُطلق عليها في Qualys مجموعات الأصول وعلامات الأصول) واختيار مجموعة معينة عند المسح.
- حدد نافذة فنية للمسح الضوئي. حتى لو كنت قد فكرت واستعدت، فإن المسح الضوئي يخلق ضغطًا إضافيًا على النظام. لن يؤدي ذلك بالضرورة إلى تدهور الخدمة، ولكن من الأفضل اختيار وقت معين لها، مثل النسخ الاحتياطي أو تجديد التحديثات.
ماذا يمكنك أن تتعلم من التقارير؟
بناءً على نتائج الفحص، يتلقى العميل تقريرًا لا يحتوي فقط على قائمة بجميع نقاط الضعف التي تم العثور عليها، ولكن أيضًا توصيات أساسية للتخلص منها: التحديثات والتصحيحات وما إلى ذلك. لدى Qualys الكثير من التقارير: هناك قوالب افتراضية، و يمكنك إنشاء بنفسك. لكي لا تتشوش في كل التنوع، من الأفضل أن تقرر بنفسك أولاً النقاط التالية:
- من سيشاهد هذا التقرير: مدير أم فني متخصص؟
- ما هي المعلومات التي تريد الحصول عليها من نتائج الفحص؟ على سبيل المثال، إذا كنت تريد معرفة ما إذا كان قد تم تثبيت جميع التصحيحات الضرورية وكيفية العمل لإزالة الثغرات الأمنية التي تم اكتشافها مسبقًا، فهذا تقرير واحد. إذا كنت بحاجة فقط إلى إجراء جرد لجميع المضيفين، ثم آخر.
إذا كانت مهمتك هي إظهار صورة مختصرة ولكن واضحة للإدارة، فيمكنك تشكيلها التقرير التنفيذي. سيتم تصنيف جميع نقاط الضعف إلى رفوف ومستويات الأهمية والرسوم البيانية والرسوم البيانية. على سبيل المثال، أهم 10 نقاط ضعف خطيرة أو نقاط الضعف الأكثر شيوعًا.
لفني هناك تقرير تقني بكل التفاصيل والتفاصيل. يمكن إنشاء التقارير التالية:
تقرير المضيفين. وهو أمر مفيد عندما تحتاج إلى إجراء جرد للبنية الأساسية لديك والحصول على صورة كاملة عن نقاط الضعف في المضيف.
هذا ما تبدو عليه قائمة الأجهزة المضيفة التي تم تحليلها، مع الإشارة إلى نظام التشغيل الذي يعمل عليها.
دعونا نفتح مجموعة الاهتمامات ونرى قائمة تضم 219 نقطة ضعف تم العثور عليها، بدءًا من المستوى الخامس الأكثر أهمية:
وبعد ذلك يمكنك الاطلاع على تفاصيل كل ثغرة أمنية. وهنا نرى:
- عندما تم اكتشاف الثغرة للمرة الأولى والأخيرة،
- أرقام الضعف الصناعي
- تصحيح للقضاء على الثغرة الأمنية,
- هل هناك أي مشاكل تتعلق بالامتثال لمعايير PCI DSS وNIST وما إلى ذلك؟
- هل هناك استغلال وبرامج ضارة لهذه الثغرة الأمنية،
- هي ثغرة تم اكتشافها عند المسح باستخدام/بدون مصادقة في النظام، وما إلى ذلك.
إذا لم يكن هذا هو الفحص الأول - نعم، فأنت بحاجة إلى الفحص بانتظام 🙂 - ثم بمساعدة تقرير الاتجاه يمكنك تتبع ديناميكيات العمل مع نقاط الضعف. سيتم عرض حالة الثغرات الأمنية بالمقارنة مع الفحص السابق: سيتم وضع علامة على الثغرات الأمنية التي تم العثور عليها مسبقًا والمغلقة على أنها ثابتة، وغير مغلقة - نشطة، ونقاط ضعف جديدة - جديدة.
تقرير الضعف. في هذا التقرير، ستقوم Qualys ببناء قائمة بالثغرات الأمنية، بدءًا من الأكثر أهمية، مع الإشارة إلى المضيف الذي يمكن اكتشاف هذه الثغرة الأمنية عليه. سيكون التقرير مفيدًا إذا قررت أن تفهم على الفور، على سبيل المثال، جميع نقاط الضعف في المستوى الخامس.
يمكنك أيضًا عمل تقرير منفصل فقط عن نقاط الضعف في المستويين الرابع والخامس.
تقرير التصحيح. هنا يمكنك رؤية قائمة كاملة من التصحيحات التي يجب تثبيتها لإزالة الثغرات الأمنية الموجودة. يوجد لكل تصحيح شرح لنقاط الضعف التي يتم إصلاحها، والمضيف/النظام الذي يجب تثبيته عليه، ورابط التنزيل المباشر.
تقرير الامتثال PCI DSS. يتطلب معيار PCI DSS فحص أنظمة المعلومات والتطبيقات التي يمكن الوصول إليها من الإنترنت كل 90 يومًا. بعد الفحص، يمكنك إنشاء تقرير يوضح البنية التحتية التي لا تلبي متطلبات المعيار.
تقارير معالجة الثغرات الأمنية. يمكن دمج Qualys مع مكتب الخدمة، وبعد ذلك سيتم ترجمة جميع نقاط الضعف الموجودة تلقائيًا إلى تذاكر. باستخدام هذا التقرير، يمكنك تتبع التقدم المحرز في التذاكر المكتملة ونقاط الضعف التي تم حلها.
فتح تقارير المنفذ. هنا يمكنك الحصول على معلومات حول المنافذ المفتوحة والخدمات التي تعمل عليها:
أو إنشاء تقرير عن نقاط الضعف في كل منفذ:
هذه مجرد قوالب تقارير قياسية. يمكنك إنشاء مهامك الخاصة لمهام محددة، على سبيل المثال، إظهار نقاط الضعف فقط التي لا تقل عن المستوى الخامس من الأهمية. جميع التقارير متاحة. تنسيق التقرير: CSV، XML، HTML، PDF وdocx.
وتذكر: السلامة ليست نتيجة، بل هي عملية. يساعد الفحص لمرة واحدة على رؤية المشكلات في الوقت الحالي، ولكن الأمر لا يتعلق بعملية إدارة الثغرات الأمنية الكاملة.
لتسهيل اتخاذ القرار بشأن هذا العمل المعتاد، قمنا بإنشاء خدمة تعتمد على إدارة الثغرات الأمنية من Qualys.
هناك ترقية لجميع قراء الهبر: عند طلب خدمة المسح الضوئي لمدة عام، تكون عمليات الفحص مجانية لمدة شهرين. يمكن ترك التطبيقات ، في حقل "التعليق" اكتب حبر.
المصدر: www.habr.com