Ahoj všichni!
Dnes chci hovořit o cloudovém řešení pro vyhledávání a analýzu zranitelností Qualys Vulnerability Management, na kterém je jeden z našich .
Níže ukážu, jak je organizováno samotné skenování a jaké informace o zranitelnostech lze na základě výsledků zjistit.
Co lze skenovat
Externí služby. Pro kontrolu služeb, které mají přístup k internetu, nám klient poskytne své IP adresy a přihlašovací údaje (pokud je potřeba kontrola s ověřením). Služby skenujeme pomocí cloudu Qualys a na základě výsledků odesíláme zprávu.
Interní služby. V tomto případě skener hledá zranitelná místa v interních serverech a síťové infrastruktuře. Pomocí takového skenování můžete inventarizovat verze operačních systémů, aplikací, otevřených portů a služeb za nimi.
Pro skenování v rámci infrastruktury klienta je nainstalován skener Qualys. Cloud Qualys zde slouží jako velitelské centrum pro tento skener.
Kromě interního serveru s Qualys lze na skenované objekty instalovat agenty (Cloud Agent). Shromažďují informace o systému lokálně a prakticky nezatěžují síť ani hostitele, na kterých pracují. Přijaté informace jsou odesílány do cloudu.
Jsou zde tři důležité body: ověřování a výběr objektů ke kontrole.
- Použití ověřování. Někteří klienti požadují skenování blackboxů, zejména pro externí služby: dávají nám řadu IP adres, aniž by specifikovali systém, a říkají „buď jako hacker“. Hackeři však zřídka jednají slepě. Pokud jde o útok (ne průzkum), vědí, co hackují.
Naslepo může Qualys narazit na návnady a naskenovat je místo cílového systému. A aniž byste pochopili, co přesně bude skenováno, je snadné přehlédnout nastavení skeneru a „připojit“ kontrolovanou službu.
Skenování bude výhodnější, pokud budete provádět kontroly autentizace před skenovanými systémy (whitebox). Skener tak pochopí, odkud pochází, a vy získáte kompletní data o zranitelnostech cílového systému.
Qualys má mnoho možností ověřování. - Skupinová aktiva. Pokud začnete skenovat vše najednou a bez rozdílu, bude to trvat dlouho a vytvoří to zbytečné zatížení systémů. Je lepší seskupit hostitele a služby do skupin podle důležitosti, umístění, verze OS, kritičnosti infrastruktury a dalších charakteristik (v Qualys se nazývají Asset Groups a Asset Tags) a při skenování vybrat konkrétní skupinu.
- Vyberte technické okno, které chcete skenovat. I když jste přemýšleli a připravili se, skenování vytváří další zátěž pro systém. Nemusí to nutně způsobit degradaci služby, ale je lepší si pro to vybrat určitý čas, například pro zálohu nebo obnovení aktualizací.
Co se můžete ze zpráv naučit?
Na základě výsledků skenování klient obdrží zprávu, která bude obsahovat nejen seznam všech nalezených zranitelností, ale také základní doporučení pro jejich odstranění: aktualizace, záplaty atd. Qualys má spoustu zpráv: existují výchozí šablony, můžete si vytvořit vlastní. Abyste se ve vší rozmanitosti nezmátli, je lepší se nejprve rozhodnout pro následující body:
- Kdo uvidí tuto zprávu: manažer nebo technický specialista?
- jaké informace chcete z výsledků skenování získat? Pokud chcete například zjistit, zda jsou nainstalovány všechny potřebné záplaty a jak se pracuje na odstranění dříve nalezených zranitelností, pak je toto jedna zpráva. Pokud potřebujete provést inventuru všech hostitelů, pak další.
Pokud je vaším úkolem ukázat vedení stručný, ale jasný obrázek, pak můžete tvořit Výkonná zpráva. Všechny zranitelnosti budou seřazeny do polic, úrovní kritičnosti, grafů a diagramů. Například 10 nejkritičtějších zranitelností nebo nejčastější zranitelnosti.
Pro technika existuje Technické hlášení se všemi detaily a detaily. Lze generovat následující přehledy:
Hostitelé hlásí. Užitečná věc, když potřebujete udělat inventuru vaší infrastruktury a získat úplný obrázek o zranitelnosti hostitele.
Takto vypadá seznam analyzovaných hostitelů s uvedením operačního systému, který na nich běží.
Pojďme otevřít hostitele zájmu a podívat se na seznam 219 nalezených zranitelností, počínaje nejkritičtější úrovní pět:
Poté můžete zobrazit podrobnosti o každé zranitelnosti. Zde vidíme:
- kdy byla zranitelnost poprvé a naposledy zjištěna,
- čísla průmyslové zranitelnosti,
- patch k odstranění zranitelnosti,
- jsou nějaké problémy s dodržováním PCI DSS, NIST atd.,
- existuje exploit a malware pro tuto chybu zabezpečení,
- je zranitelnost zjištěná při skenování s/bez ověřování v systému atd.
Pokud to není první sken - ano, je potřeba skenovat pravidelně 🙂 - tak s pomocí Zpráva o trendech Můžete sledovat dynamiku práce se zranitelnostmi. Zobrazí se stav zranitelnosti v porovnání s předchozí kontrolou: zranitelnosti, které byly nalezeny dříve a uzavřeny, budou označeny jako opravené, neuzavřené - aktivní, nové - nové.
Zpráva o zranitelnosti. V této zprávě Qualys sestaví seznam zranitelností, počínaje nejkritičtějšími, s uvedením, na kterém hostiteli má tuto zranitelnost zachytit. Zpráva bude užitečná, pokud se rozhodnete okamžitě pochopit například všechny zranitelnosti páté úrovně.
Můžete také vytvořit samostatnou zprávu pouze o zranitelnostech čtvrté a páté úrovně.
Patch report. Zde se můžete podívat na kompletní seznam oprav, které je třeba nainstalovat, aby se odstranila nalezená zranitelnost. U každého patche je vysvětlení, jaké zranitelnosti opravuje, na který hostitel/systém je potřeba jej nainstalovat a odkaz na přímé stažení.
Zpráva o shodě PCI DSS. Standard PCI DSS vyžaduje skenování informačních systémů a aplikací přístupných z internetu každých 90 dní. Po skenování můžete vygenerovat zprávu, která ukáže, jaká infrastruktura nesplňuje požadavky normy.
Zprávy o nápravě zranitelnosti. Qualys lze integrovat do servisního pultu a poté budou všechny nalezené zranitelnosti automaticky převedeny na vstupenky. Pomocí tohoto přehledu můžete sledovat průběh dokončených tiketů a vyřešených zranitelností.
Otevřít sestavy portů. Zde můžete získat informace o otevřených portech a službách, které na nich běží:
nebo vygenerujte zprávu o zranitelnostech na každém portu:
Toto jsou pouze standardní šablony zpráv. Můžete si vytvořit vlastní pro konkrétní úkoly, například zobrazit pouze zranitelnosti, které nejsou nižší než pátá úroveň kritičnosti. Všechny zprávy jsou k dispozici. Formát zprávy: CSV, XML, HTML, PDF a docx.
A pamatujte: Bezpečnost není výsledek, ale proces. Jednorázová kontrola pomáhá vidět problémy v daném okamžiku, ale nejedná se o plnohodnotný proces správy zranitelnosti.
Abychom vám usnadnili rozhodování o této pravidelné práci, vytvořili jsme službu založenou na Qualys Vulnerability Management.
Pro všechny čtenáře Habr je připravena akce: Když si objednáte službu skenování na rok, dva měsíce skenování jsou zdarma. Aplikace lze ponechat , do pole “Komentář” napište Habr.
Zdroj: www.habr.com