Pozdrav svima!
Danas želim govoriti o cloud rješenju za pretraživanje i analizu ranjivosti Qualys Vulnerability Management, na kojem je jedan od naših .
U nastavku ću pokazati kako je organizovano samo skeniranje i koje informacije o ranjivostima se mogu pronaći na osnovu rezultata.
Šta se može skenirati
Eksterne usluge. Za skeniranje usluga koje imaju pristup Internetu, klijent nam daje njihove IP adrese i vjerodajnice (ako je potrebno skeniranje s autentifikacijom). Skeniramo usluge koristeći Qualys oblak i šaljemo izvještaj na osnovu rezultata.
Interne usluge. U ovom slučaju, skener traži ranjivosti na internim serverima i mrežnoj infrastrukturi. Koristeći takvo skeniranje, možete inventarizirati verzije operativnih sistema, aplikacija, otvorenih portova i usluga iza njih.
Qualys skener je instaliran za skeniranje unutar klijentove infrastrukture. Qualys oblak ovdje služi kao komandni centar za ovaj skener.
Pored internog servera sa Qualysom, agenti (Cloud Agent) se mogu instalirati na skenirane objekte. Lokalno prikupljaju informacije o sistemu i praktično ne stvaraju opterećenje na mreži ili hostovima na kojima rade. Primljene informacije se šalju u oblak.
Ovdje postoje tri važne točke: autentifikacija i odabir objekata za skeniranje.
- Korištenje autentifikacije. Neki klijenti traže skeniranje crne kutije, posebno za eksterne usluge: daju nam niz IP adresa bez navođenja sistema i kažu „budi kao haker“. Ali hakeri retko deluju na slepo. Kada je u pitanju napad (ne izviđanje), oni znaju šta hakuju.
Naslepo, Qualys može naići na transparente za mamce i skenirati ih umesto ciljnog sistema. A bez razumijevanja šta će se točno skenirati, lako je propustiti postavke skenera i "prikačiti" uslugu koja se provjerava.
Skeniranje će biti korisnije ako izvršite provjere autentičnosti ispred sistema koji se skenira (bijeli okvir). Na taj način će skener shvatiti odakle je došao, a vi ćete dobiti potpune podatke o ranjivosti ciljnog sistema.
Qualys ima mnogo opcija za autentifikaciju. - Grupna imovina. Ako počnete da skenirate sve odjednom i neselektivno, to će potrajati dugo i stvoriti nepotrebno opterećenje na sistemima. Bolje je grupirati hostove i usluge u grupe na osnovu važnosti, lokacije, verzije OS-a, kritičnosti infrastrukture i drugih karakteristika (u Qualysu se zovu Asset Groups i Asset Tags) i odabrati određenu grupu prilikom skeniranja.
- Odaberite tehnički prozor za skeniranje. Čak i ako ste razmislili i pripremili se, skeniranje stvara dodatni stres za sistem. To neće nužno uzrokovati degradaciju usluge, ali je bolje odabrati određeno vrijeme za to, kao što je sigurnosna kopija ili prebacivanje ažuriranja.
Šta možete naučiti iz izvještaja?
Na osnovu rezultata skeniranja, klijent dobija izveštaj koji će sadržati ne samo listu svih pronađenih ranjivosti, već i osnovne preporuke za njihovo eliminisanje: ažuriranja, zakrpe, itd. Qualys ima mnogo izveštaja: postoje podrazumevani šabloni i možete kreirati svoje. Kako se ne biste zbunili u svoj raznolikosti, bolje je prvo sami odlučiti o sljedećim točkama:
- Ko će pregledati ovaj izvještaj: menadžer ili tehnički stručnjak?
- koje informacije želite dobiti iz rezultata skeniranja? Na primjer, ako želite saznati da li su instalirane sve potrebne zakrpe i kako se radi na uklanjanju prethodno pronađenih ranjivosti, onda je ovo jedan izvještaj. Ako samo trebate popisati sve hostove, onda još jedan.
Ako je vaš zadatak da menadžmentu pokažete kratku, ali jasnu sliku, onda možete formirati Izvršni izvještaj. Sve ranjivosti će biti razvrstane u police, nivoe kritičnosti, grafikone i dijagrame. Na primjer, prvih 10 najkritičnijih ranjivosti ili najčešćih ranjivosti.
Za tehničara postoji Tehničko izvješće sa svim detaljima i detaljima. Mogu se generisati sljedeći izvještaji:
Izvještavaju domaćini. Korisna stvar kada trebate napraviti inventar svoje infrastrukture i dobiti potpunu sliku ranjivosti hosta.
Ovako izgleda lista analiziranih hostova, što ukazuje na operativni sistem na njima.
Otvorimo host koji nas zanima i pogledajmo listu od 219 pronađenih ranjivosti, počevši od najkritičnijeg, petog nivoa:
Tada možete vidjeti detalje za svaku ranjivost. evo vidimo:
- kada je ranjivost otkrivena prvi i posljednji put,
- brojevi industrijskih ranjivosti,
- zakrpa za uklanjanje ranjivosti,
- ima li problema sa usklađenošću sa PCI DSS, NIST itd.,
- postoji li eksploatacija i zlonamjerni softver za ovu ranjivost,
- je ranjivost otkrivena prilikom skeniranja sa/bez autentifikacije u sistemu, itd.
Ako ovo nije prvo skeniranje - da, potrebno je redovno skenirati 🙂 - onda uz pomoć Trend Report Možete pratiti dinamiku rada sa ranjivostima. Status ranjivosti će biti prikazan u poređenju sa prethodnim skeniranjem: ranjivosti koje su ranije pronađene i zatvorene biće označene kao fiksne, nezatvorene - aktivne, nove - nove.
Izvještaj o ranjivosti. U ovom izvještaju, Qualys će napraviti listu ranjivosti, počevši od najkritičnijih, naznačujući na kojem hostu da uhvati ovu ranjivost. Izvještaj će biti koristan ako odlučite odmah razumjeti, na primjer, sve ranjivosti petog nivoa.
Takođe možete napraviti poseban izvještaj samo o ranjivosti četvrtog i petog nivoa.
Patch report. Ovdje možete vidjeti kompletnu listu zakrpa koje je potrebno instalirati da bi se eliminisale pronađene ranjivosti. Za svaku zakrpu postoji objašnjenje koje ranjivosti popravlja, na koji host/sistem treba biti instaliran i direktan link za preuzimanje.
PCI DSS izvještaj o usklađenosti. PCI DSS standard zahteva skeniranje informacionih sistema i aplikacija dostupnih sa Interneta svakih 90 dana. Nakon skeniranja možete generirati izvještaj koji će pokazati koja infrastruktura ne ispunjava zahtjeve standarda.
Izvještaji o sanaciji ranjivosti. Qualys se može integrirati sa servisnom službom, a zatim će se sve pronađene ranjivosti automatski prevesti u tikete. Koristeći ovaj izvještaj, možete pratiti napredak završenih tiketa i riješenih ranjivosti.
Otvorite izvještaje o portovima. Ovdje možete dobiti informacije o otvorenim portovima i servisima koji na njima rade:
ili generirajte izvještaj o ranjivosti na svakom portu:
Ovo su samo standardni šabloni izveštaja. Možete kreirati svoje za određene zadatke, na primjer, pokazati samo ranjivosti ne niže od petog nivoa kritičnosti. Svi izvještaji su dostupni. Format izvještaja: CSV, XML, HTML, PDF i docx.
I zapamtite: Sigurnost nije rezultat, već proces. Jednokratno skeniranje pomaže da se vide problemi u ovom trenutku, ali ne radi se o punopravnom procesu upravljanja ranjivostima.
Kako bismo vam olakšali odluku o ovom redovnom poslu, kreirali smo uslugu zasnovanu na Qualys Upravljanju ranjivostima.
Za sve čitaoce Habra postoji promocija: Kada naručite uslugu skeniranja na godinu dana, dva mjeseca skeniranja su besplatna. Prijave se mogu ostaviti , u polje “Komentar” upišite Habr.
izvor: www.habr.com