Усім прывітанне!
Сёння хачу расказаць пра хмарнае рашэнне па пошуку і аналізу ўразлівасцяў Qualys Vulnerability Management, на якім пабудаваны адзін з нашых. .
Ніжэй пакажу, як арганізавана само сканіраванне і якую інфармацыю па ўразлівасцях можна даведацца па выніках.
Што можна прасканаваць
Вонкавыя сэрвісы. Для сканавання сэрвісаў, якія маюць выхад у інтэрнэт, кліент дае нам іх IP-адрасы і ўліковыя дадзеныя (калі патрэбен скан з аўтэнтыфікацыяй). Мы скануем сэрвісы з дапамогай аблокі Qualys і па выніках дасылаем справаздачу.
Унутраныя сэрвісы. У гэтым выпадку сканер шукае ўразлівасці на ўнутраных серверах і сеткавай інфраструктуры. З дапамогай такога сканавання можна правесці інвентарызацыю версій аперацыйных сістэм, прыкладанняў, адкрытых партоў і сэрвісаў, якія знаходзяцца за імі.
Для сканавання ўнутры інфраструктуры кліента усталёўваецца сканер Qualys. Воблака Qualys выконвае тут функцыю цэнтра каманд для гэтага сканара.
У дадатак да ўнутранага сервера з Qualys на аб'екты сканавання можна ўсталяваць агенты (Cloud Agent). Яны збіраюць інфармацыю аб сістэме лакальна, практычна не ствараюць нагрузку на сетку і на хасты, на якіх працуюць. Атрыманая інфармацыя адпраўляецца ў воблака.
Тут тры важныя моманты: аўтэнтыфікацыя і выбар аб'ектаў для сканавання.
- Выкарыстанне аўтэнтыфікацыі. Некаторыя кліенты просяць правесці сканаванне blackbox, асабліва для вонкавых сэрвісаў: аддаюць нам дыяпазон IP-адрасоў без указання сістэмы і кажуць "будзьце як хакер". Але хакеры рэдка дзейнічаюць усляпую. Калі справа даходзіць да атакі (не разведкі), то яны ведаюць, што ўзломваюць.
Усляпую Qualys можа наткнуцца на банеры-падманкі і прасканаваць іх замест мэтавай сістэмы. А яшчэ без разумення, што менавіта будзе сканавацца, лёгка прамахнуцца з наладамі сканара і "прыкласці" правяраемы сэрвіс.
Сканіраванне прынясе больш карысці, калі праводзіць праверкі з аўтэнтыфікацыяй перад сканаванымі сістэмамі (whitebox). Так сканер будзе разумець, куды ён прыйшоў, і вы атрымаеце поўныя дадзеныя аб уразлівасцях мэтавай сістэмы.
У Qualys шмат опцый па аўтэнтыфікацыі. - Групаваць актывы. Калі запускаць сканіраванне па ўсім адразу і без разбору, гэта будзе доўга і створыць лішнюю нагрузку на сістэмы. Госты, сэрвісы лепш аб'яднаць у групы па важнасці, размяшчэнню, версіі АС, крытычнасці інфраструктуры і іншым прыкметам (у Qualys яны завуцца Asset Groups і Asset Tags) і выбіраць пры сканаванні пэўную групу.
- Выбіраць тэхнічнае акно для сканіравання. Нават калі вы ўсё прадугледзелі і падрыхтаваліся, сканіраванне стварае дадатковую нагрузку на сістэму. Яно неабавязкова выкліча дэградацыю сэрвісу, але лепш для яго абраць вызначаны час, як для рэзервовага капіявання ці накату абнаўленняў.
Што можна даведацца са справаздач?
Па выніках сканавання кліент атрымлівае справаздачу, у якім будзе не толькі спіс усіх знойдзеных уразлівасцяў, але і базавыя рэкамендацыі па іх ухіленні: абнаўленні, патчы і інш. Справаздач у Qualys шмат: ёсць дэфолтныя шаблоны, і можна ствараць свае. Каб не заблытацца ва ўсёй разнастайнасці, лепш спачатку вызначыцца для сябе па наступных момантах:
- хто будзе глядзець гэтую справаздачу: менеджэр ці тэхнічны спецыяліст?
- якую інфармацыю хочаце атрымаць па выніках скана. Напрыклад, калі вы жадаеце высветліць, ці ўсталяваныя ўсе неабходныя патчы і як вядзецца праца ўхіленню раней знойдзеных уразлівасцяў, тое гэта адна справаздача. Калі ж вам трэба проста правесці інвентарызацыю ўсіх хастоў, то іншы.
Калі ў вас задача паказаць кароткую, але навочную, карціну кіраўніцтву, то можна сфарміраваць Executive Report. Усе ўразлівасці будуць раскладзены па палічках, узроўням крытычнасці, графікам і дыяграмам. Напрыклад, топ-10 самых крытычных уразлівасцяў ці самыя часта сустракаемыя ўразлівасці.
Для тэхнічнага спецыяліста ёсць Тэхнічны справаздачу з усімі дэталямі і падрабязнасцямі. Можна сфарміраваць наступныя справаздачы:
Справаздача па хастах. Карысная штука, калі трэба правесці інвентарызацыю інфраструктуры і атрымаць поўную карціну па ўразлівасцям хастоў.
Вось так выглядае спіс прааналізаваных хастоў з указаннем якія працуюць на іх АС.
Адкрыем які цікавіць хост і ўбачым спіс з 219 знойдзеных уразлівасцяў, пачынальна ад самых крытычных, пятага ўзроўня:
Далей можна паглядзець падрабязнасці па кожнай уразлівасці. Тут мы бачым:
- калі ўразлівасць была зафіксавана першы і апошні раз,
- індустрыяльныя нумары ўразлівасцяў,
- патч для ўхілення ўразлівасці,
- ці ёсць праблемы з адпаведнасцю стандарту PCI DSS, NIST і інш.,
- ці ёсць эксплойт і malware для гэтай уразлівасці,
- ці выяўляецца ўразлівасць пры сканаванні з/ без аўтэнтыфікацыі ў сістэме і інш.
Калі гэта ўжо не першае сканаванне - так, сканавацца трэба рэгулярна 🙂 - то з дапамогай Справаздача аб тэндэнцыях можна прасачыць дынаміку па працы з уразлівасцямі. Статус уразлівасцяў будзе паказаны ў параўнанні з папярэднім сканаваннем: уразлівасці, якія былі знойдзеныя раней і зачыненыя, будуць адзначаны як fixed, незачыненыя - active, новыя - new.
Справаздача па ўразлівасцях. У гэтай справаздачы Qualys пабудуе спіс уразлівасцяў, пачынальна з самых крытычных, з указаннем, на якім хасце гэтую ўразлівасць лавіць. Справаздача спатрэбіцца, калі вы вырашылі ў моманце разабрацца, напрыклад, са ўсімі ўразлівасцямі пятага ўзроўня.
Таксама можна зрабіць асобную справаздачу толькі па ўразлівасцях чацвёртага і пятага ўзроўняў.
Справаздача па патчах. Тут выдаецца поўны спіс патчаў, якія трэба паставіць, каб ухіліць знойдзеныя ўразлівасці. Для кожнага патча ёсць тлумачэнні, якія ўразлівасці ён лечыць, на які хост/сістэму трэба ўсталяваць, і прамая спасылка на запампоўку.
Справаздача на адпаведнасць стандартам PCI DSS. Стандарт PCI DSS патрабуе праводзіць сканіраванне інфармацыйных сістэм і прыкладанняў, даступных з сеткі Інтэрнэт, кожныя 90 дзён. Пасля скана можна сфарміраваць справаздачу, якая пакажа, што ў інфраструктуры не адпавядае патрабаванням стандарту.
Справаздачы па ўхіленні ўразлівасцяў. Qualys можна інтэграваць з сервисдеском, і тады ўсе знойдзеныя ўразлівасці будуць аўтаматычна пераводзіцца ў цікеты. З дапамогай гэтай справаздачы якраз можна будзе адсочваць прагрэс па выкананых тыкетах і ўхіленых уразлівасцях.
Справаздачы па адчыненых партах. Тут можна атрымаць інфармацыю па адкрытых партах і сэрвісах, якія працуюць на іх:
або сфармаваць справаздачу па ўразлівасцях на кожным порце:
Гэта толькі стандартныя шаблоны справаздач. Можна ствараць свае пад канкрэтныя задачы, напрыклад, паказаць толькі ўразлівасці не ніжэй за пяты ўзровень крытычнасці. Усе справаздачы даступныя. Фармат справаздач: CSV, XML, HTML, PDF і docx.
І памятайце: бяспека - гэта не вынік, а працэс. Разавае сканаванне дапамагае ўбачыць праблемы ў моманце, але гэта не пра паўнавартасны працэс па кіраванні ўразлівасцямі.
Каб вам было лягчэй вырашыцца на гэтую рэгулярную працу, мы зрабілі сэрвіс на базе Qualys Vulnerability Management.
Для ўсіх чытачоў Хабра дзейнічае акцыя: пры замове сэрвісу па сканаванні на год два месяцы сканаў бясплатныя. Заяўкі можна пакідаць , у поле «Каментар» пішыце Хабр.
Крыніца: habr.com