Hallo an alle!
Heute möchte ich über die Cloud-Lösung zum Suchen und Analysieren von Schwachstellen Qualys Vulnerability Management sprechen, auf der einer unserer .
Im Folgenden zeige ich, wie das Scannen selbst organisiert ist und welche Informationen zu Schwachstellen sich anhand der Ergebnisse finden lassen.
Was kann gescannt werden?
Externe Dienste. Um Dienste zu scannen, die Zugriff auf das Internet haben, stellt uns der Client seine IP-Adressen und Anmeldeinformationen zur Verfügung (falls ein Scan mit Authentifizierung erforderlich ist). Wir scannen Dienste mithilfe der Qualys-Cloud und senden einen Bericht basierend auf den Ergebnissen.
Interne Dienstleistungen. In diesem Fall sucht der Scanner nach Schwachstellen in internen Servern und der Netzwerkinfrastruktur. Mithilfe eines solchen Scans können Sie die Versionen von Betriebssystemen, Anwendungen, offenen Ports und dahinter stehenden Diensten inventarisieren.
Zum Scannen innerhalb der Infrastruktur des Kunden ist ein Qualys-Scanner installiert. Als Kommandozentrale für diesen Scanner dient hier die Qualys-Cloud.
Zusätzlich zum internen Server mit Qualys können Agenten (Cloud Agent) auf gescannten Objekten installiert werden. Sie sammeln lokal Informationen über das System und belasten das Netzwerk oder die Hosts, auf denen sie laufen, praktisch nicht. Die empfangenen Informationen werden an die Cloud gesendet.
Hier gibt es drei wichtige Punkte: Authentifizierung und Auswahl der zu scannenden Objekte.
- Authentifizierung verwenden. Einige Kunden verlangen Blackbox-Scanning, insbesondere für externe Dienste: Sie geben uns eine Reihe von IP-Adressen ohne Angabe des Systems und sagen: „Seien Sie wie ein Hacker.“ Aber Hacker agieren selten blind. Wenn es um Angriffe geht (nicht um Aufklärung), wissen sie, was sie hacken.
Qualys kann blind auf Täuschungsbanner stoßen und diese statt des Zielsystems scannen. Und ohne zu wissen, was genau gescannt wird, übersieht man leicht die Scannereinstellungen und „hängt“ den zu prüfenden Dienst an.
Das Scannen ist vorteilhafter, wenn Sie Authentifizierungsprüfungen vor den gescannten Systemen durchführen (Whitebox). Auf diese Weise erkennt der Scanner, woher es stammt, und Sie erhalten vollständige Daten über die Schwachstellen des Zielsystems.
Qualys bietet viele Authentifizierungsoptionen. - Gruppenvermögen. Wenn Sie anfangen, alles auf einmal und wahllos zu scannen, wird das lange dauern und die Systeme unnötig belasten. Es ist besser, Hosts und Dienste nach Wichtigkeit, Standort, Betriebssystemversion, Infrastrukturkritikalität und anderen Merkmalen in Gruppen zu gruppieren (in Qualys werden sie Asset-Gruppen und Asset-Tags genannt) und beim Scannen eine bestimmte Gruppe auszuwählen.
- Wählen Sie ein technisches Fenster zum Scannen aus. Selbst wenn Sie darüber nachgedacht und vorbereitet haben, führt das Scannen zu einer zusätzlichen Belastung des Systems. Dies führt nicht unbedingt zu einer Verschlechterung des Dienstes, es ist jedoch besser, einen bestimmten Zeitpunkt dafür zu wählen, beispielsweise für eine Sicherung oder einen Rollover von Updates.
Was können Sie aus den Berichten lernen?
Basierend auf den Scan-Ergebnissen erhält der Kunde einen Bericht, der nicht nur eine Liste aller gefundenen Schwachstellen enthält, sondern auch grundlegende Empfehlungen zu deren Beseitigung: Updates, Patches usw. Qualys verfügt über viele Berichte: Es gibt Standardvorlagen und Sie können Ihr eigenes erstellen. Um sich bei all der Vielfalt nicht zu verwirren, ist es besser, zunächst selbst über folgende Punkte zu entscheiden:
- Wer wird diesen Bericht sehen: ein Manager oder ein technischer Spezialist?
- Welche Informationen möchten Sie aus den Scanergebnissen erhalten? Wenn Sie beispielsweise herausfinden möchten, ob alle notwendigen Patches installiert sind und wie daran gearbeitet wird, zuvor gefundene Schwachstellen zu beseitigen, dann ist dies ein Bericht. Wenn Sie nur eine Bestandsaufnahme aller Hosts durchführen müssen, dann noch eine.
Wenn Ihre Aufgabe darin besteht, dem Management ein kurzes, aber klares Bild zu vermitteln, können Sie ein Formular erstellen Geschäftsbericht. Alle Schwachstellen werden nach Regalen, Kritikalitätsstufen, Grafiken und Diagrammen sortiert. Zum Beispiel die Top 10 der kritischsten Schwachstellen oder die häufigsten Schwachstellen.
Für einen Techniker gibt es Technischer Bericht mit allen Details und Details. Folgende Berichte können generiert werden:
Gastgeber berichten. Eine nützliche Sache, wenn Sie eine Bestandsaufnahme Ihrer Infrastruktur durchführen und sich ein vollständiges Bild der Host-Schwachstellen machen müssen.
So sieht die Liste der analysierten Hosts mit Angabe des darauf laufenden Betriebssystems aus.
Öffnen wir den Host von Interesse und sehen wir uns eine Liste der 219 gefundenen Schwachstellen an, beginnend mit der kritischsten, Stufe fünf:
Anschließend können Sie die Details zu jeder Schwachstelle einsehen. Hier sehen wir:
- wann die Schwachstelle zum ersten und letzten Mal entdeckt wurde,
- Zahlen zur industriellen Gefährdung,
- Patch zur Beseitigung der Schwachstelle,
- Gibt es Probleme mit der Einhaltung von PCI DSS, NIST usw.?
- Gibt es einen Exploit und Malware für diese Sicherheitslücke?
- ist eine Schwachstelle, die beim Scannen mit/ohne Authentifizierung im System usw. erkannt wird.
Wenn dies nicht der erste Scan ist – ja, Sie müssen regelmäßig scannen 🙂 – dann mit der Hilfe Trendbericht Sie können die Dynamik der Arbeit mit Schwachstellen verfolgen. Der Status der Schwachstellen wird im Vergleich zum vorherigen Scan angezeigt: Früher gefundene und geschlossene Schwachstellen werden als behoben, nicht geschlossene – aktiv, neue – neu markiert.
Schwachstellenbericht. In diesem Bericht erstellt Qualys eine Liste der Schwachstellen, beginnend mit der kritischsten, und gibt an, auf welchem Host diese Schwachstelle erkannt werden soll. Der Bericht ist nützlich, wenn Sie beispielsweise alle Schwachstellen der fünften Ebene sofort verstehen möchten.
Sie können auch einen separaten Bericht nur für Schwachstellen der vierten und fünften Ebene erstellen.
Patch-Bericht. Hier sehen Sie eine vollständige Liste der Patches, die installiert werden müssen, um die gefundenen Schwachstellen zu beseitigen. Zu jedem Patch gibt es eine Erläuterung, welche Schwachstellen er behebt, auf welchem Host/System er installiert werden muss und einen direkten Download-Link.
PCI-DSS-Konformitätsbericht. Der PCI DSS-Standard verlangt, dass Informationssysteme und Anwendungen, auf die über das Internet zugegriffen werden kann, alle 90 Tage gescannt werden müssen. Nach dem Scan können Sie einen Bericht erstellen, der zeigt, welche Infrastruktur nicht den Anforderungen des Standards entspricht.
Berichte zur Behebung von Sicherheitslücken. Qualys kann in den Service Desk integriert werden und dann werden alle gefundenen Schwachstellen automatisch in Tickets übersetzt. Mithilfe dieses Berichts können Sie den Fortschritt abgeschlossener Tickets und behobener Schwachstellen verfolgen.
Offene Portberichte. Hier erhalten Sie Informationen zu offenen Ports und darauf laufenden Diensten:
oder einen Bericht über Schwachstellen an jedem Port erstellen:
Dabei handelt es sich lediglich um Standardberichtsvorlagen. Sie können Ihre eigenen für bestimmte Aufgaben erstellen und beispielsweise nur Schwachstellen anzeigen, die nicht niedriger als die fünfte Kritikalitätsstufe sind. Alle Berichte sind verfügbar. Berichtsformat: CSV, XML, HTML, PDF und docx.
Und denken Sie daran: Sicherheit ist kein Ergebnis, sondern ein Prozess. Ein einmaliger Scan hilft, Probleme sofort zu erkennen, es handelt sich hierbei jedoch nicht um einen umfassenden Schwachstellenmanagementprozess.
Um Ihnen die Entscheidung für diese regelmäßige Arbeit zu erleichtern, haben wir einen Service auf Basis von Qualys Vulnerability Management erstellt.
Für alle Habr-Leser gibt es eine Aktion: Wenn Sie einen Scan-Service für ein Jahr bestellen, sind die Scans für zwei Monate kostenlos. Bewerbungen können hinterlassen werden , in das Feld „Kommentar“ schreiben Sie Habr.
Source: habr.com