Γεια σε όλους!
Σήμερα θέλω να μιλήσω για τη λύση cloud για την αναζήτηση και την ανάλυση τρωτών σημείων Qualys Vulnerability Management, στην οποία ένα από τα .
Παρακάτω θα δείξω πώς οργανώνεται η ίδια η σάρωση και ποιες πληροφορίες σχετικά με τα τρωτά σημεία μπορούν να βρεθούν με βάση τα αποτελέσματα.
Τι μπορεί να σαρωθεί
Εξωτερικές υπηρεσίες. Για τη σάρωση υπηρεσιών που έχουν πρόσβαση στο Διαδίκτυο, ο πελάτης μας παρέχει τις διευθύνσεις IP και τα διαπιστευτήριά του (εάν απαιτείται σάρωση με έλεγχο ταυτότητας). Σαρώνουμε υπηρεσίες χρησιμοποιώντας το Qualys cloud και στέλνουμε μια αναφορά με βάση τα αποτελέσματα.
Εσωτερικές υπηρεσίες. Σε αυτήν την περίπτωση, ο σαρωτής αναζητά τρωτά σημεία σε εσωτερικούς διακομιστές και υποδομή δικτύου. Χρησιμοποιώντας μια τέτοια σάρωση, μπορείτε να κάνετε απογραφή των εκδόσεων λειτουργικών συστημάτων, εφαρμογών, ανοιχτών θυρών και υπηρεσιών πίσω από αυτά.
Ένας σαρωτής Qualys εγκαθίσταται για σάρωση στην υποδομή του πελάτη. Το σύννεφο Qualys χρησιμεύει ως το κέντρο εντολών για αυτόν τον σαρωτή εδώ.
Εκτός από τον εσωτερικό διακομιστή με Qualys, μπορούν να εγκατασταθούν πράκτορες (Cloud Agent) σε σαρωμένα αντικείμενα. Συλλέγουν πληροφορίες για το σύστημα τοπικά και ουσιαστικά δεν δημιουργούν φορτίο στο δίκτυο ή στους κεντρικούς υπολογιστές στους οποίους λειτουργούν. Οι πληροφορίες που λαμβάνονται αποστέλλονται στο cloud.
Υπάρχουν τρία σημαντικά σημεία εδώ: έλεγχος ταυτότητας και επιλογή αντικειμένων για σάρωση.
- Χρήση ελέγχου ταυτότητας. Ορισμένοι πελάτες ζητούν σάρωση blackbox, ειδικά για εξωτερικές υπηρεσίες: μας δίνουν μια σειρά από διευθύνσεις IP χωρίς να προσδιορίζουν το σύστημα και λένε "γίνε σαν χάκερ". Αλλά οι χάκερ σπάνια ενεργούν στα τυφλά. Όταν πρόκειται για επίθεση (όχι για αναγνώριση), ξέρουν τι χακάρουν.
Τυφλά, ο Qualys μπορεί να σκοντάψει πάνω σε banners decoy και να τα σαρώσει αντί για το σύστημα στόχου. Και χωρίς να καταλαβαίνουμε τι ακριβώς θα σαρωθεί, είναι εύκολο να χάσετε τις ρυθμίσεις του σαρωτή και να "επισυνάψετε" την υπηρεσία που ελέγχεται.
Η σάρωση θα είναι πιο ωφέλιμη εάν εκτελείτε ελέγχους ελέγχου ταυτότητας μπροστά από τα συστήματα που σαρώνονται (λευκό κουτί). Με αυτόν τον τρόπο ο σαρωτής θα καταλάβει από πού προήλθε και θα λάβετε πλήρη δεδομένα σχετικά με τα τρωτά σημεία του συστήματος στόχου.
Το Qualys έχει πολλές επιλογές ελέγχου ταυτότητας. - Περιουσιακά στοιχεία του Ομίλου. Εάν αρχίσετε να σαρώνετε τα πάντα ταυτόχρονα και αδιακρίτως, θα πάρει πολύ χρόνο και θα δημιουργήσει περιττό φορτίο στα συστήματα. Είναι καλύτερο να ομαδοποιήσετε τους κεντρικούς υπολογιστές και τις υπηρεσίες σε ομάδες με βάση τη σημασία, την τοποθεσία, την έκδοση του λειτουργικού συστήματος, την κρισιμότητα της υποδομής και άλλα χαρακτηριστικά (στο Qualys ονομάζονται ομάδες στοιχείων και ετικέτες στοιχείων) και να επιλέξετε μια συγκεκριμένη ομάδα κατά τη σάρωση.
- Επιλέξτε ένα τεχνικό παράθυρο για σάρωση. Ακόμα κι αν έχετε σκεφτεί και προετοιμαστεί, η σάρωση δημιουργεί επιπλέον άγχος στο σύστημα. Δεν θα προκαλέσει απαραιτήτως υποβάθμιση της υπηρεσίας, αλλά είναι προτιμότερο να επιλέξετε μια συγκεκριμένη ώρα για αυτήν, όπως για ένα αντίγραφο ασφαλείας ή την αλλαγή ενημερώσεων.
Τι μπορείτε να μάθετε από τις αναφορές;
Με βάση τα αποτελέσματα σάρωσης, ο πελάτης λαμβάνει μια αναφορά που θα περιέχει όχι μόνο μια λίστα με όλα τα τρωτά σημεία που βρέθηκαν, αλλά και βασικές συστάσεις για την εξάλειψή τους: ενημερώσεις, ενημερώσεις κώδικα κ.λπ. Το Qualys έχει πολλές αναφορές: υπάρχουν προεπιλεγμένα πρότυπα και μπορείτε να δημιουργήσετε το δικό σας. Για να μην μπερδευτείτε σε όλη την ποικιλομορφία, είναι καλύτερα να αποφασίσετε πρώτα μόνοι σας για τα ακόλουθα σημεία:
- Ποιος θα δει αυτήν την αναφορά: ένας διευθυντής ή ένας τεχνικός ειδικός;
- ποιες πληροφορίες θέλετε να λάβετε από τα αποτελέσματα σάρωσης; Για παράδειγμα, εάν θέλετε να μάθετε εάν έχουν εγκατασταθεί όλες οι απαραίτητες ενημερώσεις κώδικα και πώς γίνεται η εργασία για την εξάλειψη των τρωτών σημείων που εντοπίστηκαν προηγουμένως, τότε αυτή είναι μία αναφορά. Εάν χρειάζεται απλώς να κάνετε μια απογραφή όλων των κεντρικών υπολογιστών, τότε ένα άλλο.
Εάν το καθήκον σας είναι να δείξετε μια σύντομη αλλά σαφή εικόνα στη διοίκηση, τότε μπορείτε να σχηματίσετε Εκτελεστική Έκθεση. Όλα τα τρωτά σημεία θα ταξινομηθούν σε ράφια, επίπεδα κρισιμότητας, γραφήματα και διαγράμματα. Για παράδειγμα, τα κορυφαία 10 πιο κρίσιμα τρωτά σημεία ή τα πιο κοινά τρωτά σημεία.
Για τεχνικό υπάρχει Τεχνική αναφορά με όλες τις λεπτομέρειες και λεπτομέρειες. Μπορούν να δημιουργηθούν οι ακόλουθες αναφορές:
Αναφορά οικοδεσποτών. Ένα χρήσιμο πράγμα όταν πρέπει να κάνετε μια απογραφή της υποδομής σας και να αποκτήσετε μια πλήρη εικόνα των τρωτών σημείων του κεντρικού υπολογιστή.
Αυτή είναι η λίστα των αναλυμένων κεντρικών υπολογιστών, υποδεικνύοντας το λειτουργικό σύστημα που εκτελείται σε αυτούς.
Ας ανοίξουμε το πλήθος ενδιαφέροντος και ας δούμε μια λίστα με 219 τρωτά σημεία που βρέθηκαν, ξεκινώντας από το πιο κρίσιμο, επίπεδο πέντε:
Στη συνέχεια, μπορείτε να δείτε τις λεπτομέρειες για κάθε ευπάθεια. Εδώ βλέπουμε:
- όταν η ευπάθεια εντοπίστηκε για πρώτη και τελευταία φορά,
- αριθμοί βιομηχανικής ευπάθειας,
- patch για την εξάλειψη της ευπάθειας,
- υπάρχουν προβλήματα με τη συμμόρφωση με το PCI DSS, το NIST κ.λπ.,
- υπάρχει εκμετάλλευση και κακόβουλο λογισμικό για αυτήν την ευπάθεια,
- είναι μια ευπάθεια που εντοπίζεται κατά τη σάρωση με/χωρίς έλεγχο ταυτότητας στο σύστημα κ.λπ.
Εάν αυτή δεν είναι η πρώτη σάρωση - ναι, πρέπει να σαρώνετε τακτικά 🙂 - τότε με τη βοήθεια Αναφορά τάσης Μπορείτε να εντοπίσετε τη δυναμική της εργασίας με τρωτά σημεία. Η κατάσταση των τρωτών σημείων θα εμφανίζεται σε σύγκριση με την προηγούμενη σάρωση: τα τρωτά σημεία που βρέθηκαν νωρίτερα και έκλεισαν θα επισημαίνονται ως διορθωμένα, μη κλειστά - ενεργά, νέα - νέα.
Αναφορά ευπάθειας. Σε αυτήν την αναφορά, η Qualys θα δημιουργήσει μια λίστα ευπαθειών, ξεκινώντας από τις πιο κρίσιμες, υποδεικνύοντας σε ποιον κεντρικό υπολογιστή θα εντοπιστεί αυτή η ευπάθεια. Η αναφορά θα είναι χρήσιμη εάν αποφασίσετε να κατανοήσετε αμέσως, για παράδειγμα, όλα τα τρωτά σημεία του πέμπτου επιπέδου.
Μπορείτε επίσης να κάνετε ξεχωριστή αναφορά μόνο για τρωτά σημεία του τέταρτου και του πέμπτου επιπέδου.
Αναφορά ενημέρωσης κώδικα. Εδώ μπορείτε να δείτε μια πλήρη λίστα με ενημερώσεις κώδικα που πρέπει να εγκατασταθούν για να εξαλειφθούν τα τρωτά σημεία που βρέθηκαν. Για κάθε ενημερωμένη έκδοση κώδικα υπάρχει μια εξήγηση για τα τρωτά σημεία που διορθώνει, σε ποιον κεντρικό υπολογιστή/σύστημα πρέπει να εγκατασταθεί και ένας σύνδεσμος απευθείας λήψης.
Αναφορά συμμόρφωσης PCI DSS. Το πρότυπο PCI DSS απαιτεί σάρωση πληροφοριακών συστημάτων και εφαρμογών που είναι προσβάσιμες από το Διαδίκτυο κάθε 90 ημέρες. Μετά τη σάρωση, μπορείτε να δημιουργήσετε μια αναφορά που θα δείχνει τι η υποδομή δεν πληροί τις απαιτήσεις του προτύπου.
Αναφορές αποκατάστασης ευπάθειας. Το Qualys μπορεί να ενσωματωθεί στο γραφείο εξυπηρέτησης και, στη συνέχεια, όλες οι ευπάθειες που βρέθηκαν θα μεταφραστούν αυτόματα σε εισιτήρια. Χρησιμοποιώντας αυτήν την αναφορά, μπορείτε να παρακολουθείτε την πρόοδο σε ολοκληρωμένα εισιτήρια και επιλυμένα τρωτά σημεία.
Ανοίξτε τις αναφορές θύρας. Εδώ μπορείτε να λάβετε πληροφορίες για ανοιχτές θύρες και υπηρεσίες που εκτελούνται σε αυτές:
ή δημιουργήστε μια αναφορά σχετικά με τρωτά σημεία σε κάθε θύρα:
Αυτά είναι απλώς τυπικά πρότυπα αναφορών. Μπορείτε να δημιουργήσετε τη δική σας για συγκεκριμένες εργασίες, για παράδειγμα, να εμφανίσετε μόνο τρωτά σημεία όχι χαμηλότερα από το πέμπτο επίπεδο κρισιμότητας. Όλες οι αναφορές είναι διαθέσιμες. Μορφή αναφοράς: CSV, XML, HTML, PDF και docx.
Και θυμήσου: Η ασφάλεια δεν είναι αποτέλεσμα, αλλά διαδικασία. Μια εφάπαξ σάρωση βοηθά στην προβολή προβλημάτων στη στιγμή, αλλά δεν πρόκειται για μια ολοκληρωμένη διαδικασία διαχείρισης ευπάθειας.
Για να σας διευκολύνουμε να αποφασίσετε για αυτήν την τακτική εργασία, δημιουργήσαμε μια υπηρεσία που βασίζεται στη Διαχείριση ευπάθειας Qualys.
Υπάρχει μια προώθηση για όλους τους αναγνώστες του Habr: Όταν παραγγέλνετε μια υπηρεσία σάρωσης για ένα χρόνο, οι σαρώσεις δύο μηνών είναι δωρεάν. Οι εφαρμογές μπορούν να αφεθούν , στο πεδίο «Σχόλιο» γράψτε Habr.
Πηγή: www.habr.com