Hallo zusammen!
Heute möchte ich Ihnen die Cloud-Lösung zur Schwachstellensuche und -analyse Qualys Vulnerability Management vorstellen, auf der eines unserer .
Im Folgenden zeige ich, wie das Scannen organisiert ist und welche Informationen zu den Schwachstellen am Ende verfügbar sind.

Was kann gescannt werden
Externe Dienste. Für die Scannen von Diensten mit Internetzugang stellt der Kunde uns die IP-Adressen und Zugangsdaten (wenn eine Authentifizierung erforderlich ist) zur Verfügung. Wir scannen die Dienste über die Qualys-Cloud und senden anschließend den Bericht.

Interne Dienste. In diesem Fall sucht der Scanner nach Schwachstellen auf internen Servern und in der Netzwerk-Infrastruktur. Durch ein solches Scannen können Inventuren von Betriebssystemversionen, Anwendungen, offenen Ports und dahinter befindlichen Diensten durchgeführt werden.
Für das Scannen innerhalb der Infrastruktur des Kunden wird der Qualys-Scanner installiert. Die Qualys-Cloud fungiert hier als Befehlszentrale für diesen Scanner.
Zusätzlich zu einem internen Server mit Qualys können Agenten (Cloud Agent) auf die Scanning-Objekte installiert werden. Diese sammeln lokal Informationen über das System, verursachen praktisch keine Netzwerklast und belasten die Hosts, auf denen sie laufen, kaum. Die gesammelten Informationen werden an die Cloud gesendet.

Hier sind drei wichtige Punkte: Authentifizierung und Auswahl der zu scannenden Objekte.
- Verwendung der Authentifizierung. Einige Kunden verlangen ein Blackbox-Scanning, insbesondere für externe Dienste: Sie geben uns einen IP-Adressbereich ohne Angabe des Systems und sagen: "Verhalten Sie sich wie ein Hacker." Aber Hacker handeln selten blind. Wenn es zu einem Angriff kommt (nicht zur Reconnaissance), wissen sie, was sie angreifen.
Blind kann Qualys auf Phishing-Banner stoßen und diese anstelle des Zielsystems scannen. Zudem ist es ohne Verständnis dessen, was genau gescannt werden soll, einfach, bei den Scanner-Einstellungen daneben zu liegen und den zu überprüfenden Dienst zu ignorieren.
Das Scannen wird effektiver sein, wenn die Überprüfungen mit Authentifizierung vor den zu scannenden Systemen (Whitebox) durchgeführt werden. Auf diese Weise versteht der Scanner, wo er sich befindet, und Sie erhalten umfassende Informationen über die Schwachstellen des Zielsystems.

Qualys bietet zahlreiche Authentifizierungsoptionen. - Assets gruppieren. Wenn das Scannen alle gleichzeitig und ohne gezielte Auswahl erfolgt, kann das lange dauern und unnötige Last auf den Systemen erzeugen. Hosts und Services sollten besser in Gruppen nach Wichtigkeit, Standort, OS-Version, Kritikalität der Infrastruktur und anderen Eigenschaften (bei Qualys als Asset Groups und Asset Tags bezeichnet) zusammengefasst werden, um bei der Durchführung von Scans eine bestimmte Gruppe auszuwählen.
- Ein technisches Zeitfenster für das Scannen auswählen. Selbst wenn Sie alles berücksichtigt und sich vorbereitet haben, verursacht das Scannen zusätzliche Belastungen für das System. Es wird nicht unbedingt zu einer Servicebeeinträchtigung führen, aber es ist besser, dafür einen bestimmten Zeitraum zu wählen, ähnlich wie bei einem Backup oder bei der Installation von Updates.
Was kann aus den Berichten abgeleitet werden?
Nach dem Scannen erhält der Kunde einen Bericht, der nicht nur eine Liste aller gefundenen Schwachstellen enthält, sondern auch grundlegende Empfehlungen zu deren Behebung: Updates, Patches usw. Bei Qualys gibt es viele verschiedene Berichte: Standardvorlagen sowie die Möglichkeit, eigene zu erstellen. Um nicht in der Vielfalt der Berichte den Überblick zu verlieren, ist es ratsam, sich zunächst zu folgenden Punkten zu orientieren:
- Wer wird diesen Bericht ansehen: der Manager oder der technische Spezialist?
- Welche Informationen möchten Sie aus dem Scan erhalten? Wenn Sie herausfinden wollen, ob alle notwendigen Patches installiert sind und wie der Fortschritt bei der Behebung zuvor gefundener Schwachstellen verläuft, ist das ein Bericht. Wenn Sie lediglich eine Inventarisierung aller Hosts durchführen möchten, ist das ein anderer.
Wenn Sie die Aufgabe haben, der Geschäftsführung eine kurze, aber anschauliche Übersicht zu präsentieren, dann können Sie Executive Reporterstellen. Alle Schwachstellen werden nach Dringlichkeit, Kategorien, Grafiken und Diagrammen aufgeschlüsselt. Zum Beispiel eine Liste der zehn kritischsten Schwachstellen oder die am häufigsten auftretenden Schwachstellen.


Für den technischen Spezialisten gibt es den Technical Report , der alle Details und Informationen enthält. Folgende Berichte können erstellt werden:
Host-Bericht. Nützlich, wenn eine Inventarisierung der Infrastruktur erforderlich ist, um ein vollständiges Bild der Schwachstellen der Hosts zu erhalten.
So sieht die Liste der analysierten Hosts mit den darauf laufenden Betriebssystemen aus.

Wir öffnen den interessierenden Host und sehen eine Liste von 219 gefundenen Schwachstellen, beginnend mit den kritischsten, der Stufe fünf:

Hier können Sie weitere Details zu jeder Schwachstelle einsehen. Wir sehen:
- wann die Schwachstelle zum ersten und letzten Mal verfolgt wurde,
- industrielle Schwachstellennummern,
- einen Patch zur Behebung der Schwachstelle,
- ob es Probleme mit der Einhaltung von Standards wie PCI DSS, NIST usw. gibt,
- ob Exploits und Malware für diese Schwachstelle existieren,
- ob die Schwachstelle beim Scannen mit/ohne Authentifizierung im System entdeckt wird usw.

Wenn dies nicht der erste Scan ist – ja, Scannen sollte regelmäßig erfolgen 🙂 – dann können Sie mit dem Trendbericht die Dynamik im Umgang mit Schwachstellen verfolgen. Der Status der Schwachstellen wird im Vergleich zum vorherigen Scan angezeigt: Schwachstellen, die bereits gefunden und geschlossen wurden, werden als fixed markiert, offene als active und neue als new.
Bericht über Schwachstellen. In diesem Bericht wird Qualys eine Liste der Schwachstellen erstellen, beginnend mit den kritischsten, mit Angabe, auf welchem Host diese Schwachstelle zu finden ist. Der Bericht ist nützlich, wenn Sie beispielsweise alle Schwachstellen der fünften Kategorie in diesem Moment bearbeiten möchten.
Es kann auch ein separater Bericht nur über Schwachstellen der vierten und fünften Kategorien erstellt werden.

Bericht über Patches. Hier erhalten Sie eine vollständige Liste der Patches, die erforderlich sind, um die gefundenen Sicherheitsanfälligkeiten zu beheben. Für jeden Patch sind Erläuterungen enthalten, welche Sicherheitsanfälligkeiten er behebt, auf welchem Host/System er installiert werden muss und ein direkter Link zum Download.


Bericht zur Einhaltung der PCI DSS-Standards. Der PCI DSS-Standard verlangt, dass alle 90 Tage Scans von Informationssystemen und Anwendungen durchgeführt werden, die über das Internet zugänglich sind. Nach dem Scan kann ein Bericht erstellt werden, der zeigt, dass die Infrastruktur den Anforderungen des Standards nicht entspricht.


Berichte zur Behebung von Sicherheitsanfälligkeiten. Qualys kann mit dem Servicedesk integriert werden, sodass alle gefundenen Sicherheitsanfälligkeiten automatisch in Tickets umgewandelt werden. Mit diesem Bericht kann der Fortschritt bei erledigten Tickets und behobenen Sicherheitsanfälligkeiten verfolgt werden.
Berichte über offene Ports. Hier erhalten Sie Informationen zu offenen Ports und den darauf laufenden Diensten:

oder einen Bericht über die Sicherheitsanfälligkeiten an jedem Port erstellen:

Dies sind lediglich standardisierte Berichtsvorlagen. Sie können Ihre eigenen für spezifische Aufgaben erstellen, zum Beispiel um nur Schwachstellen mit einer Kritikalitätsstufe von fünf oder höher anzuzeigen. Alle Berichte sind verfügbar. Berichtsformate: CSV, XML, HTML, PDF und docx.

Und denken Sie daran: Sicherheit ist kein Ergebnis, sondern ein Prozess. Ein einmaliger Scan hilft, Probleme im Moment zu erkennen, aber es geht nicht um einen umfassenden Schwachstellenmanagementprozess.
Um Ihnen die Entscheidung für diese regelmäßige Aufgabe leichter zu machen, haben wir einen Service auf Basis von Qualys Vulnerability Management entwickelt.
Für alle Leser von Habr gibt es eine Aktion: bei Bestellung des Scan-Service für ein Jahr sind die ersten zwei Monate Scans kostenlos. Anfragen können eingereicht werden , im Feld "Kommentar" schreiben Sie Habr.
Quelle: habr.com

