Hvordan jeg blev sårbar: scanning af it-infrastruktur ved hjælp af Qualys

Hej alle!

I dag vil jeg tale om cloud-løsningen til at søge og analysere sårbarheder Qualys Vulnerability Management, hvor en af ​​vores tjenester.

Nedenfor vil jeg vise, hvordan selve scanningen er organiseret, og hvilke oplysninger om sårbarheder, der kan findes baseret på resultaterne.

Hvad kan scannes

Eksterne tjenester. For at scanne tjenester, der har adgang til internettet, giver klienten os deres IP-adresser og legitimationsoplysninger (hvis en scanning med godkendelse er nødvendig). Vi scanner tjenester ved hjælp af Qualys-skyen og sender en rapport baseret på resultaterne.

Interne tjenester. I dette tilfælde leder scanneren efter sårbarheder i interne servere og netværksinfrastruktur. Ved at bruge en sådan scanning kan du opgøre versionerne af operativsystemer, applikationer, åbne porte og tjenester bag dem.

En Qualys scanner er installeret til at scanne i klientens infrastruktur. Qualys-skyen fungerer som kommandocenter for denne scanner her.

Ud over den interne server med Qualys kan agenter (Cloud Agent) installeres på scannede objekter. De indsamler information om systemet lokalt og skaber stort set ingen belastning på netværket eller de værter, som de opererer på. De modtagne oplysninger sendes til skyen.

Der er tre vigtige punkter her: autentificering og udvælgelse af objekter, der skal scannes.

1. Brug af godkendelse. Nogle klienter beder om blackbox-scanning, især for eksterne tjenester: de giver os en række IP-adresser uden at specificere systemet og siger "vær som en hacker." Men hackere handler sjældent i blinde. Når det kommer til angreb (ikke rekognoscering), ved de, hvad de hacker. 

   I blinde kan Qualys falde over lokkebannere og scanne dem i stedet for målsystemet. Og uden at forstå, hvad der præcist vil blive scannet, er det nemt at gå glip af scannerindstillingerne og "vedhæfte" tjenesten, der kontrolleres. 

   Scanning vil være mere fordelagtigt, hvis du udfører autentificeringstjek foran de systemer, der scannes (whitebox). På denne måde vil scanneren forstå, hvor den kom fra, og du vil modtage fuldstændige data om sårbarhederne i målsystemet.

   
   Qualys har mange autentificeringsmuligheder.

2. Koncernens aktiver. Hvis du begynder at scanne alt på én gang og vilkårligt, vil det tage lang tid og skabe en unødvendig belastning af systemerne. Det er bedre at gruppere værter og tjenester i grupper baseret på vigtighed, placering, OS-version, infrastrukturkriticitet og andre karakteristika (i Qualys kaldes de Asset Groups og Asset Tags) og vælge en specifik gruppe ved scanning.
3. Vælg et teknisk vindue for at scanne. Selvom du har tænkt og forberedt dig, skaber scanning yderligere stress på systemet. Det vil ikke nødvendigvis forårsage forringelse af tjenesten, men det er bedre at vælge et bestemt tidspunkt for det, som for en backup eller rollover af opdateringer.

Hvad kan du lære af rapporterne?

Baseret på scanningsresultaterne modtager klienten en rapport, der ikke kun vil indeholde en liste over alle fundne sårbarheder, men også grundlæggende anbefalinger til at fjerne dem: opdateringer, patches osv. Qualys har en masse rapporter: der er standardskabeloner, og du kan oprette din egen. For ikke at blive forvirret i al mangfoldigheden, er det bedre først at bestemme selv på følgende punkter: 

• Hvem vil se denne rapport: en leder eller en teknisk specialist?
• hvilken information ønsker du at få fra scanningsresultaterne? For eksempel, hvis du vil finde ud af, om alle de nødvendige patches er installeret, og hvordan der arbejdes på at eliminere tidligere fundne sårbarheder, så er dette én rapport. Hvis du bare skal have en opgørelse over alle værter, så en anden.

Hvis din opgave er at vise et kort, men klart billede til ledelsen, så kan du danne dig Executive Report. Alle sårbarheder vil blive sorteret i hylder, kritiske niveauer, grafer og diagrammer. For eksempel de 10 mest kritiske sårbarheder eller de mest almindelige sårbarheder.

For en tekniker er der Teknisk rapport med alle detaljer og detaljer. Følgende rapporter kan genereres:

Værter rapporterer. En nyttig ting, når du skal tage en opgørelse over din infrastruktur og få et komplet billede af værtssårbarheder. 

Sådan ser listen over analyserede værter ud, hvilket indikerer, hvilket operativsystem der kører på dem.

Lad os åbne værten af ​​interesse og se en liste over 219 fundne sårbarheder, startende fra det mest kritiske niveau fem:

Så kan du se detaljerne for hver sårbarhed. Her ser vi:

• når sårbarheden blev opdaget for første og sidste gang,
• industrielle sårbarhedstal,
• patch for at eliminere sårbarheden,
• er der problemer med overholdelse af PCI DSS, NIST osv.,
• er der en udnyttelse og malware for denne sårbarhed,
• er en sårbarhed opdaget ved scanning med/uden autentificering i systemet mv.

Hvis det ikke er den første scanning - ja, du skal scanne regelmæssigt 🙂 - så med hjælp Trendrapport Du kan spore dynamikken i at arbejde med sårbarheder. Status for sårbarheder vil blive vist i sammenligning med den tidligere scanning: sårbarheder, der blev fundet tidligere og lukket, vil blive markeret som faste, ulukkede - aktive, nye - nye.

Sårbarhedsrapport. I denne rapport vil Qualys opbygge en liste over sårbarheder, begyndende med de mest kritiske, som angiver, hvilken vært denne sårbarhed skal fanges på. Rapporten vil være nyttig, hvis du beslutter dig for straks at forstå, for eksempel alle sårbarhederne på det femte niveau.

Du kan også lave en separat rapport kun om sårbarheder på fjerde og femte niveau.

Patch rapport. Her kan du se en komplet liste over patches, der skal installeres for at eliminere de fundne sårbarheder. For hver patch er der en forklaring på hvilke sårbarheder den retter, på hvilken host/system den skal installeres, og et direkte downloadlink.

PCI DSS overholdelsesrapport. PCI DSS-standarden kræver scanning af informationssystemer og applikationer, der er tilgængelige fra internettet hver 90. dag. Efter scanningen kan du generere en rapport, der viser, hvad infrastrukturen ikke opfylder kravene i standarden.

Rapporter om udbedring af sårbarhed. Qualys kan integreres med servicedesk, og så vil alle fundne sårbarheder automatisk blive oversat til billetter. Ved at bruge denne rapport kan du spore fremskridt på færdiggjorte billetter og løste sårbarheder.

Åbn port rapporter. Her kan du få information om åbne porte og tjenester, der kører på dem:

eller generer en rapport om sårbarheder på hver port:

Disse er blot standardrapportskabeloner. Du kan oprette din egen til specifikke opgaver, for eksempel, vis kun sårbarheder, der ikke er lavere end det femte kritiske niveau. Alle rapporter er tilgængelige. Rapportformat: CSV, XML, HTML, PDF og docx.

Og husk: Sikkerhed er ikke et resultat, men en proces. En engangsscanning hjælper med at se problemer i øjeblikket, men der er ikke tale om en fuldgyldig sårbarhedshåndteringsproces.
For at gøre det nemmere for dig at tage stilling til dette almindelige arbejde, har vi lavet en service baseret på Qualys Vulnerability Management.

Der er en kampagne for alle Habr-læsere: Når du bestiller en scanningstjeneste i et år, er to måneders scanninger gratis. Ansøgninger kan efterlades her, i "Kommentar"-feltet skriv Habr.

Kilde: www.habr.com