Bonghjornu ognunu!
Oghje vogliu parlà di a suluzione cloud per a ricerca è l'analisi di vulnerabilità Qualys Vulnerability Management, nantu à quale unu di i nostri .
Sottu vi mustrarà cumu u scanning stessu hè urganizatu è quale infurmazione nantu à i vulnerabili ponu esse truvati nantu à i risultati.
Chì pò esse scansatu
servizii esterni. Per scansà i servizii chì anu accessu à Internet, u cliente ci furnisce i so indirizzi IP è credenziali (se hè necessariu una scansione cù autentificazione). Scannemu i servizii cù u cloud Qualys è mandemu un rapportu basatu annantu à i risultati.
servizii internu. In questu casu, u scanner cerca vulnerabilità in i servitori internu è l'infrastruttura di rete. Utilizendu una tale scansione, pudete inventarià e versioni di sistemi operativi, applicazioni, porti aperti è servizii daretu à elli.
Un scanner Qualys hè stallatu per scansà in l'infrastruttura di u cliente. A nuvola di Qualys serve cum'è u centru di cummandu per questu scanner quì.
In più di u servitore internu cù Qualys, l'agenti (Cloud Agent) ponu esse installati nantu à l'uggetti scannati. Raccoglienu infurmazione nantu à u sistema in u locu è ùn creanu quasi nisuna carica nantu à a reta o l'ospiti nantu à quale operanu. L'infurmazione ricevuta hè mandata à u nuvulu.
Ci sò trè punti impurtanti quì: l'autentificazione è a selezzione di l'uggetti da scansà.
- Utilizà l'autentificazione. Certi clienti dumandanu a scansione di scatula nera, in particulare per i servizii esterni: ci danu una varietà di indirizzi IP senza specificà u sistema è dicenu "esse cum'è un pirate". Ma i pirate raramente agiscenu cecu. Quandu si tratta di attaccà (micca di ricunniscenza), sanu ciò chì pirate.
A cecità, Qualys pò sbattà nantu à banner di decoy è scansà invece di u sistema di destinazione. È senza capisce ciò chì esattamente serà scansatu, hè faciule per mancà i paràmetri di u scanner è "attache" u serviziu verificatu.
U scanning serà più benefiziu se fate cuntrolli di autentificazione davanti à i sistemi chì sò scannati (whitebox). In questu modu, u scanner capisce da induve vene, è riceverete dati cumpleti nantu à e vulnerabilità di u sistema di destinazione.
Qualys hà parechje opzioni di autentificazione. - Assi di u gruppu. Sè avete principiatu à scanning tuttu in una volta è indiscriminately, ci hà da piglià assai tempu è creà una carica inutile nantu à i sistemi. Hè megliu di raggruppà l'ospiti è i servizii in gruppi basatu annantu à l'impurtanza, u locu, a versione OS, a criticità di l'infrastruttura è altre caratteristiche (in Qualys sò chjamati Asset Groups and Asset Tags) è selezziunate un gruppu specificu quandu scanning.
- Selezziunà una finestra tecnicu à scanning. Ancu s'è avete pensatu è preparatu, u scanning crea un stress addiziale in u sistema. Ùn hà micca bisognu di a degradazione di u serviziu, ma hè megliu di sceglie un certu tempu per questu, cum'è per una copia di salvezza o rollover di l'aghjurnamenti.
Chì pudete amparà da i rapporti?
Basatu nantu à i risultati di scansione, u cliente riceve un rapportu chì cuntene micca solu una lista di tutti i vulnerabili truvati, ma ancu cunsiglii basi per eliminà: aghjurnamenti, patches, etc. Qualys hà assai rapporti: ci sò mudelli predeterminati, è pudete creà u vostru propiu. Per ùn avè micca cunfunditu in tutta a diversità, hè megliu prima decide per sè stessu nantu à i seguenti punti:
- Quale vi vede stu rapportu: un manager o un specialistu tecnicu ?
- chì infurmazione vulete ottene da i risultati di scansione? Per esempiu, sè vo vulete sapè s'ellu sò stallati tutti i patch necessarii è cumu u travagliu hè fattu per eliminà e vulnerabilità truvate prima, questu hè un rapportu. Sè solu bisognu di piglià un inventariu di tutti l'ospiti, allora un altru.
Se u vostru compitu hè di mustrà una stampa brevi ma chjara à a gestione, pudete formà Rapportu esecutivu. Tutte e vulnerabilità seranu classificate in scaffali, livelli di criticità, grafici è diagrammi. Per esempiu, i 10 vulnerabili più critichi o i vulnerabili più cumuni.
Per un tecnicu ci hè Rapportu Tecnicu cù tutti i dettagli è i dettagli. I seguenti rapporti ponu esse generati:
Rapportu di l'ospiti. Una cosa utile quandu avete bisognu di piglià un inventariu di a vostra infrastruttura è uttene una stampa cumpleta di e vulnerabilità di l'ospiti.
Questu hè ciò chì a lista di l'ospiti analizati pare, chì indica u SO chì funziona nantu à elli.
Apertemu l'ospiti d'interessu è vede una lista di 219 vulnerabili truvate, partendu da u più criticu, livellu cinque:
Allora pudete vede i dettagli per ogni vulnerabilità. Quì si vede:
- quandu a vulnerabilità hè stata rilevata per a prima è l'ultima volta,
- numeri di vulnerabilità industriale,
- patch per eliminà a vulnerabilità,
- ci sò prublemi cù u rispettu di PCI DSS, NIST, etc.,
- ci hè un sfruttamentu è malware per sta vulnerabilità,
- hè una vulnerabilità rilevata durante a scansione cù / senza autentificazione in u sistema, etc.
Se questu ùn hè micca a prima scansione - iè, avete bisognu di scansà regularmente 🙂 - allora cù l'aiutu Rapportu di tendenza Pudete traccia a dinamica di travaglià cù vulnerabili. U statutu di e vulnerabilità serà mostratu in paragunà cù l'scansione precedente: i vulnerabili chì sò stati trovati prima è chjusi seranu marcati cum'è fissi, unclosed - attivu, novi - novi.
Rapportu di vulnerabilità. In questu rapportu, Qualys hà da custruisce una lista di vulnerabili, cuminciendu cù i più critichi, chì indicanu quale host per catturà sta vulnerabilità. U rapportu serà utile se decide di capisce immediatamente, per esempiu, tutte e vulnerabilità di u quintu livellu.
Pudete ancu fà un rapportu separatu solu nantu à e vulnerabilità di u quartu è u quintu livellu.
Rapportu di patch. Quì pudete vede una lista completa di patch chì deve esse installatu per eliminà e vulnerabilità truvate. Per ogni patch ci hè una spiegazione di quali vulnerabilità corregge, nantu à quale host / sistema deve esse installatu, è un ligame di scaricamentu direttu.
Rapportu di Conformità PCI DSS. U standard PCI DSS richiede sistemi di infurmazione di scanning è applicazioni accessibili da Internet ogni 90 ghjorni. Dopu a scansione, pudete generà un rapportu chì mostrarà ciò chì l'infrastruttura ùn risponde micca à i requisiti di u standard.
Rapporti di Remediazione di Vulnerabilità. Qualys pò esse integratu cù u serviziu di serviziu, è allora tutte e vulnerabilità truvate saranu automaticamente tradutte in biglietti. Utilizendu stu rapportu, pudete seguità u prugressu nantu à i biglietti cumpleti è e vulnerabilità risolte.
Apertura rapporti portu. Quì pudete uttene infurmazioni nantu à i porti aperti è i servizii chì funzionanu nantu à elli:
o generà un rapportu di vulnerabilità in ogni portu:
Quessi sò solu mudelli di rapportu standard. Pudete creà u vostru propiu per compiti specifichi, per esempiu, mostra solu vulnerabili micca più bassu di u quintu livellu di criticità. Tutti i rapporti sò dispunibili. Formatu di rapportu: CSV, XML, HTML, PDF è docx.
È arricurdatevi: A sicurità ùn hè micca un risultatu, ma un prucessu. Una scansione una volta aiuta à vede i prublemi in u mumentu, ma ùn si tratta micca di un prucessu di gestione di vulnerabilità cumpletu.
Per fà più faciule per voi di decide nantu à stu travagliu regulare, avemu creatu un serviziu basatu in Qualys Vulnerability Management.
Ci hè una promozione per tutti i lettori di Habr: Quandu urdinate un serviziu di scanning per un annu, dui mesi di scans sò liberi. L'applicazioni ponu esse lasciate , in u campu "Comment" scrivite Habr.
Source: www.habr.com