Hola a tots!
Avui vull parlar de la solució al núvol per a la recerca i anàlisi de vulnerabilitats Qualys Vulnerability Management, sobre la qual un dels nostres .
A continuació mostraré com s'organitza l'escaneig en si i quina informació sobre vulnerabilitats es pot trobar en funció dels resultats.
Què es pot escanejar
Serveis externs. Per escanejar serveis que tenen accés a Internet, el client ens facilita les seves adreces IP i credencials (si es necessita una exploració amb autenticació). Escanegem serveis mitjançant el núvol Qualys i enviem un informe basat en els resultats.
Serveis interns. En aquest cas, l'escàner busca vulnerabilitats als servidors interns i a la infraestructura de xarxa. Amb aquesta exploració, podeu inventariar les versions dels sistemes operatius, les aplicacions, els ports oberts i els serveis que hi ha darrere.
S'ha instal·lat un escàner Qualys per escanejar dins de la infraestructura del client. El núvol Qualys serveix aquí com a centre de comandaments per a aquest escàner.
A més del servidor intern amb Qualys, els agents (Cloud Agent) es poden instal·lar als objectes escanejats. Recopilen informació sobre el sistema localment i pràcticament no creen càrrega a la xarxa ni als hosts en què operen. La informació rebuda s'envia al núvol.
Aquí hi ha tres punts importants: l'autenticació i la selecció d'objectes per escanejar.
- Ús de l'autenticació. Alguns clients demanen escaneig de caixa negra, especialment per a serveis externs: ens donen un ventall d'adreces IP sense especificar el sistema i diuen "ser com un hacker". Però els pirates informàtics rarament actuen a cegues. Quan es tracta d'atacar (no de reconeixement), saben què estan piratejant.
A cegues, Qualys pot ensopegar amb pancartes d'engany i escanejar-los en lloc del sistema objectiu. I sense entendre què s'escanejarà exactament, és fàcil perdre la configuració de l'escàner i "adjuntar" el servei que s'està comprovant.
L'escaneig serà més beneficiós si feu comprovacions d'autenticació davant dels sistemes que s'escanegen (caixa blanca). D'aquesta manera, l'escàner entendrà d'on prové i rebrà dades completes sobre les vulnerabilitats del sistema objectiu.
Qualys té moltes opcions d'autenticació. - Patrimoni del grup. Si comenceu a escanejar-ho tot alhora i indistintament, trigarà molt de temps i crearà una càrrega innecessària als sistemes. És millor agrupar els amfitrions i els serveis en grups en funció de la importància, la ubicació, la versió del sistema operatiu, la criticitat de la infraestructura i altres característiques (a Qualys s'anomenen Asset Groups i Asset Tags) i seleccionar un grup específic en escanejar.
- Seleccioneu una finestra tècnica per escanejar. Fins i tot si heu pensat i preparat, l'escaneig crea una tensió addicional al sistema. No necessàriament provocarà la degradació del servei, però és millor triar-ne un temps determinat, com per a una còpia de seguretat o una transferència d'actualitzacions.
Què pots aprendre dels informes?
A partir dels resultats de l'anàlisi, el client rep un informe que contindrà no només una llista de totes les vulnerabilitats trobades, sinó també recomanacions bàsiques per eliminar-les: actualitzacions, pedaços, etc. Qualys té molts informes: hi ha plantilles per defecte, i pots crear el teu propi. Per no confondre's en tota la diversitat, és millor decidir primer per tu mateix els punts següents:
- Qui veurà aquest informe: un gerent o un tècnic especialista?
- quina informació voleu obtenir dels resultats de l'escaneig? Per exemple, si voleu esbrinar si tots els pegats necessaris estan instal·lats i com s'està treballant per eliminar les vulnerabilitats trobades anteriorment, aquest és un informe. Si només necessiteu fer un inventari de tots els amfitrions, un altre.
Si la vostra tasca és mostrar una imatge breu però clara a la direcció, podeu formar-vos Informe executiu. Totes les vulnerabilitats s'ordenaran en prestatgeries, nivells de criticitat, gràfics i diagrames. Per exemple, les 10 vulnerabilitats més crítiques o les vulnerabilitats més comunes.
Per a un tècnic n'hi ha Informe tècnic amb tots els detalls i detalls. Es poden generar els informes següents:
Informe dels amfitrions. Una cosa útil quan necessiteu fer un inventari de la vostra infraestructura i obtenir una imatge completa de les vulnerabilitats de l'amfitrió.
Així és la llista d'amfitrions analitzats, que indica el sistema operatiu que s'hi executa.
Obrim l'amfitrió d'interès i veiem una llista de 219 vulnerabilitats trobades, començant pel nivell cinc més crític:
A continuació, podeu veure els detalls de cada vulnerabilitat. Aquí veiem:
- quan es va detectar la vulnerabilitat per primera i última vegada,
- números de vulnerabilitat industrial,
- pegat per eliminar la vulnerabilitat,
- Hi ha algun problema amb el compliment de PCI DSS, NIST, etc.,
- hi ha algun exploit i programari maliciós per a aquesta vulnerabilitat,
- és una vulnerabilitat detectada en escanejar amb/sense autenticació al sistema, etc.
Si aquesta no és la primera exploració, sí, heu d'escanejar regularment 🙂, llavors amb l'ajuda Informe de tendències Podeu rastrejar la dinàmica de treball amb vulnerabilitats. L'estat de les vulnerabilitats es mostrarà en comparació amb l'anàlisi anterior: les vulnerabilitats que s'han trobat anteriorment i tancades es marcaran com a fixes, no tancades - actives, noves - noves.
Informe de vulnerabilitat. En aquest informe, Qualys crearà una llista de vulnerabilitats, començant per les més crítiques, indicant en quin host cal detectar aquesta vulnerabilitat. L'informe serà útil si decidiu entendre immediatament, per exemple, totes les vulnerabilitats del cinquè nivell.
També podeu fer un informe separat només sobre les vulnerabilitats del quart i cinquè nivell.
Informe del pegat. Aquí podeu veure una llista completa dels pegats que cal instal·lar per eliminar les vulnerabilitats trobades. Per a cada pedaç hi ha una explicació de quines vulnerabilitats soluciona, en quin host/sistema s'ha d'instal·lar i un enllaç de descàrrega directa.
Informe de compliment PCI DSS. L'estàndard PCI DSS requereix escanejar sistemes d'informació i aplicacions accessibles des d'Internet cada 90 dies. Després de l'escaneig, podeu generar un informe que mostrarà què la infraestructura no compleix els requisits de la norma.
Informes de correcció de vulnerabilitats. Qualys es pot integrar amb el taulell de serveis i, aleshores, totes les vulnerabilitats trobades es traduiran automàticament en bitllets. Amb aquest informe, podeu fer un seguiment del progrés de les entrades completades i de les vulnerabilitats resoltes.
Informes de port obert. Aquí podeu obtenir informació sobre els ports oberts i els serveis que s'hi executen:
o generar un informe de vulnerabilitats a cada port:
Aquestes són només plantilles d'informes estàndard. Podeu crear el vostre propi per a tasques específiques, per exemple, mostrar només vulnerabilitats no inferiors al cinquè nivell de criticitat. Tots els informes estan disponibles. Format d'informe: CSV, XML, HTML, PDF i docx.
I recorda: La seguretat no és un resultat, sinó un procés. Una exploració única ajuda a veure els problemes en aquest moment, però no es tracta d'un procés complet de gestió de vulnerabilitats.
Per facilitar-vos la decisió sobre aquest treball habitual, hem creat un servei basat en Qualys Vulnerability Management.
Hi ha una promoció per a tots els lectors d'Habr: Quan demaneu un servei d'escaneig durant un any, dos mesos d'escaneig són gratuïts. Les sol·licituds es poden deixar , al camp "Comentari" escriviu Habr.
Font: www.habr.com