🥇Как станах уязвим: сканиране на ИТ инфраструктура с помощта на Qualys

Здравейте на всички!

Днес искам да говоря за облачното решение за търсене и анализ на уязвимости Qualys Vulnerability Management, на което един от нашите услуги.

По-долу ще покажа как е организирано самото сканиране и каква информация за уязвимостите може да бъде намерена въз основа на резултатите.

Какво може да се сканира

Външни услуги. За да сканираме услуги, които имат достъп до интернет, клиентът ни предоставя своите IP адреси и идентификационни данни (ако е необходимо сканиране с удостоверяване). Ние сканираме услуги с помощта на облака Qualys и изпращаме отчет въз основа на резултатите.

Вътрешни услуги. В този случай скенерът търси уязвимости във вътрешните сървъри и мрежовата инфраструктура. Използвайки такова сканиране, можете да инвентаризирате версиите на операционните системи, приложенията, отворените портове и услугите зад тях.

Инсталиран е скенер Qualys за сканиране в инфраструктурата на клиента. Облакът Qualys служи като команден център за този скенер тук.

В допълнение към вътрешния сървър с Qualys, агенти (Cloud Agent) могат да бъдат инсталирани на сканирани обекти. Те събират информация за системата локално и практически не натоварват мрежата или хостовете, на които работят. Получената информация се изпраща в облака.

Тук има три важни точки: удостоверяване и избор на обекти за сканиране.

Използване на удостоверяване. Някои клиенти искат сканиране на черна кутия, особено за външни услуги: те ни дават диапазон от IP адреси, без да посочват системата и казват „бъди като хакер“. Но хакерите рядко действат сляпо. Когато става въпрос за атака (не за разузнаване), те знаят какво хакват.
На сляпо Qualys може да се натъкне на банери-примамки и да ги сканира вместо целевата система. И без да разберете какво точно ще бъде сканирано, лесно е да пропуснете настройките на скенера и да „прикачите“ проверяваната услуга.

Сканирането ще бъде по-полезно, ако извършвате проверки за удостоверяване пред сканираните системи (бяла кутия). По този начин скенерът ще разбере откъде идва и ще получите пълна информация за уязвимостите на целевата система.

Qualys има много опции за удостоверяване.
Групови активи. Ако започнете да сканирате всичко наведнъж и безразборно, това ще отнеме много време и ще създаде ненужно натоварване на системите. По-добре е да групирате хостове и услуги в групи въз основа на важност, местоположение, версия на операционната система, критичност на инфраструктурата и други характеристики (в Qualys те се наричат Групи активи и Тагове на активи) и да изберете конкретна група при сканиране.
Изберете технически прозорец за сканиране. Дори и да сте помислили и да сте се подготвили, сканирането създава допълнително натоварване на системата. Това не е задължително да доведе до влошаване на услугата, но е по-добре да изберете определено време за това, като например за архивиране или преобръщане на актуализации.

Какво можете да научите от докладите?

Въз основа на резултатите от сканирането клиентът получава отчет, който ще съдържа не само списък на всички открити уязвимости, но и основни препоръки за премахването им: актуализации, корекции и т.н. Qualys има много отчети: има шаблони по подразбиране и можете да създадете свой собствен. За да не се объркате в цялото разнообразие, по-добре е първо да решите сами по следните точки:

Кой ще види този отчет: мениджър или технически специалист?
каква информация искате да получите от резултатите от сканирането? Например, ако искате да разберете дали всички необходими корекции са инсталирани и как се работи за премахване на открити преди това уязвимости, тогава това е един доклад. Ако просто трябва да направите опис на всички хостове, тогава друг.

Ако задачата ви е да покажете кратка, но ясна картина на ръководството, тогава можете да формирате Изпълнителен отчет. Всички уязвимости ще бъдат сортирани по рафтове, нива на критичност, графики и диаграми. Например топ 10 на най-критичните уязвимости или най-често срещаните уязвимости.

За техник има Технически доклад с всички подробности и подробности. Могат да се генерират следните отчети:

Доклад на домакините. Полезно нещо, когато трябва да направите инвентаризация на вашата инфраструктура и да получите пълна картина на уязвимостите на хоста.

Ето как изглежда списъкът с анализирани хостове, показващ операционната система, работеща на тях.

Нека отворим хоста, който ни интересува, и да видим списък с 219 открити уязвимости, започвайки от най-критичната, ниво пет:

След това можете да видите подробностите за всяка уязвимост. Тук виждаме:

когато уязвимостта е открита за първи и последен път,
числа на индустриална уязвимост,
корекция за премахване на уязвимостта,
има ли проблеми със съответствието с PCI DSS, NIST и т.н.,
има ли експлойт и злонамерен софтуер за тази уязвимост,
открита ли е уязвимост при сканиране с/без удостоверяване в системата и др.

Ако това не е първото сканиране - да, трябва да сканирате редовно 🙂 - тогава с помощта Доклад за тенденции Можете да проследите динамиката на работа с уязвимости. Състоянието на уязвимостите ще бъде показано в сравнение с предишното сканиране: уязвимостите, които са открити по-рано и затворени, ще бъдат маркирани като фиксирани, незатворените - активни, новите - нови.

Доклад за уязвимост. В този доклад Qualys ще състави списък с уязвимости, като започне с най-критичните, като посочи кой хост да хване тази уязвимост. Докладът ще бъде полезен, ако решите веднага да разберете, например, всички уязвимости на петото ниво.

Можете също така да направите отделен отчет само за уязвимости на четвърто и пето ниво.

Доклад за корекция. Тук можете да видите пълен списък с пачове, които трябва да бъдат инсталирани, за да се премахнат откритите уязвимости. За всяка корекция има обяснение какви уязвимости поправя, на кой хост/система трябва да се инсталира и директна връзка за изтегляне.

Доклад за съответствие с PCI DSS. Стандартът PCI DSS изисква сканиране на информационни системи и приложения, достъпни от Интернет на всеки 90 дни. След сканирането можете да генерирате отчет, който ще покаже каква инфраструктура не отговаря на изискванията на стандарта.

Доклади за отстраняване на уязвимости. Qualys може да бъде интегриран със сервизното бюро и след това всички открити уязвимости ще бъдат автоматично преведени в билети. Използвайки този отчет, можете да проследите напредъка на завършените билети и разрешените уязвимости.

Отворете отчетите за портовете. Тук можете да получите информация за отворени портове и услуги, работещи на тях:

или генерирайте отчет за уязвимости на всеки порт:

Това са само стандартни шаблони за отчети. Можете да създадете свои собствени за конкретни задачи, например да показвате само уязвимости не по-ниски от петото ниво на критичност. Всички доклади са налични. Формат на отчета: CSV, XML, HTML, PDF и docx.

И помнете: Безопасността не е резултат, а процес. Еднократното сканиране помага да се видят проблемите в момента, но не става дума за пълноценен процес на управление на уязвимостите.
За да ви улесним да вземете решение за тази редовна работа, ние създадохме услуга, базирана на управление на уязвимости на Qualys.

Има промоция за всички читатели на Habr: Когато поръчате услуга за сканиране за една година, два месеца сканиране са безплатни. Могат да се оставят заявления тук, в полето „Коментар“ напишете Habr.

Източник: www.habr.com

Как станах уязвим: сканиране на ИТ инфраструктура с помощта на Qualys

Какво може да се сканира

Какво можете да научите от докладите?

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар