Saluton ĉiuj!
Hodiaŭ mi volas paroli pri la nuba solvo por serĉi kaj analizi vundeblecojn Qualys Vulnerability Management, sur kiu unu el niaj .
Malsupre mi montros kiel la skanado mem estas organizita kaj kiaj informoj pri vundeblecoj troveblas surbaze de la rezultoj.
Kio povas esti skanita
Eksteraj servoj. Por skani servojn, kiuj havas aliron al Interreto, la kliento provizas al ni iliajn IP-adresojn kaj akreditaĵojn (se necesas skanado kun aŭtentikigo). Ni skanas servojn uzante la Qualys-nubon kaj sendas raporton bazitan sur la rezultoj.
Internaj servoj. En ĉi tiu kazo, la skanilo serĉas vundeblecojn en internaj serviloj kaj retaj infrastrukturoj. Uzante tian skanadon, vi povas inventari la versiojn de operaciumoj, aplikoj, malfermitaj havenoj kaj servoj malantaŭ ili.
Qualys-skanilo estas instalita por skani ene de la infrastrukturo de la kliento. La Qualys-nubo funkcias kiel la komanda centro por ĉi tiu skanilo ĉi tie.
Krom la interna servilo kun Qualys, agentoj (Cloud Agent) povas esti instalitaj sur skanitaj objektoj. Ili kolektas informojn pri la sistemo loke kaj kreas preskaŭ neniun ŝarĝon sur la reto aŭ la gastigantoj sur kiuj ili funkcias. La ricevita informo estas sendita al la nubo.
Estas tri gravaj punktoj ĉi tie: aŭtentikigo kaj elekto de objektoj por skani.
- Uzante Aŭtentikigon. Iuj klientoj petas skanadon de nigra skatolo, precipe por eksteraj servoj: ili donas al ni gamon da IP-adresoj sen specifi la sistemon kaj diras "esti kiel retpirato". Sed hakistoj malofte agas blinde. Kiam temas pri atako (ne rekonado), ili scias, kion ili hakas.
Blinde, Qualys povas trafi forlogajn standardojn kaj skani ilin anstataŭ la celsistemo. Kaj sen kompreni kio precize estos skanita, estas facile maltrafi la skanilajn agordojn kaj "alligi" la servon kontrolitan.
Skanado estos pli utila se vi plenumas aŭtentikajn kontrolojn antaŭ la skanitaj sistemoj (blankkesto). Tiel la skanilo komprenos de kie ĝi venis, kaj vi ricevos kompletajn datumojn pri la vundeblecoj de la cela sistemo.
Qualys havas multajn aŭtentigajn elektojn. - Grupaj aktivoj. Se vi komencas skani ĉion samtempe kaj sendistinge, ĝi daŭros longan tempon kaj kreos nenecesan ŝarĝon sur la sistemoj. Pli bone estas grupigi gastigantojn kaj servojn en grupojn laŭ graveco, loko, OS-versio, infrastrukturkritikeco kaj aliaj trajtoj (en Qualys ili nomiĝas Asset Groups kaj Asset Tags) kaj elektu specifan grupon dum skanado.
- Elektu teknikan fenestron por skani. Eĉ se vi pensis kaj prepariĝis, skanado kreas plian streson sur la sistemo. Ĝi ne nepre kaŭzos degeneron de la servo, sed estas pli bone elekti certan tempon por ĝi, kiel por sekurkopio aŭ transdono de ĝisdatigoj.
Kion vi povas lerni el la raportoj?
Surbaze de la skanrezultoj, la kliento ricevas raporton, kiu enhavos ne nur liston de ĉiuj vundeblecoj trovitaj, sed ankaŭ bazajn rekomendojn por forigi ilin: ĝisdatigojn, flikojn, ktp. Qualys havas multajn raportojn: ekzistas defaŭltaj ŝablonoj, kaj vi povas krei vian propran. Por ne konfuziĝi pri la tuta diverseco, estas pli bone unue decidi mem pri la sekvaj punktoj:
- Kiu rigardos ĉi tiun raporton: manaĝero aŭ teknika specialisto?
- kiajn informojn vi volas ricevi de la skanaj rezultoj? Ekzemple, se vi volas ekscii, ĉu ĉiuj necesaj diakiloj estas instalitaj kaj kiel laboro estas farita por forigi antaŭe trovitajn vundeblecojn, tiam ĉi tiu estas unu raporto. Se vi nur bezonas fari inventaron de ĉiuj gastigantoj, tiam alia.
Se via tasko estas montri mallongan sed klaran bildon al administrado, tiam vi povas formi Plenuma Raporto. Ĉiuj vundeblecoj estos ordigitaj en bretoj, niveloj de kritikeco, grafikaĵoj kaj diagramoj. Ekzemple, la supraj 10 plej kritikaj vundeblecoj aŭ la plej oftaj vundeblecoj.
Por teknikisto ekzistas Teknika Raporto kun ĉiuj detaloj kaj detaloj. La sekvaj raportoj povas esti generitaj:
Gastigantoj raportas. Utila afero kiam vi devas fari inventaron de via infrastrukturo kaj akiri kompletan bildon de gastigaj vundeblecoj.
Jen kiel aspektas la listo de analizitaj gastigantoj, indikante la OS funkciantan sur ili.
Ni malfermu la interesan gastiganton kaj vidu liston de 219 vundeblecoj trovitaj, komencante de la plej kritika, nivelo kvin:
Tiam vi povas vidi la detalojn por ĉiu vundebleco. Jen ni vidas:
- kiam la vundebleco estis detektita por la unua kaj lasta fojo,
- industriaj vundeblaj nombroj,
- flikaĵo por forigi la vundeblecon,
- ĉu ekzistas problemoj kun konformeco kun PCI DSS, NIST, ktp.,
- ĉu ekzistas ekspluato kaj malware por ĉi tiu vundebleco,
- estas vundebleco detektita dum skanado kun/sen aŭtentigo en la sistemo, ktp.
Se ĉi tio ne estas la unua skanado - jes, vi devas regule skani 🙂 - tiam kun la helpo Tendenca Raporto Vi povas spuri la dinamikon labori kun vundeblecoj. La stato de vundeblecoj estos montrita kompare kun la antaŭa skanado: vundeblecoj kiuj estis trovitaj pli frue kaj fermitaj estos markitaj kiel fiksitaj, nefermitaj - aktivaj, novaj - novaj.
Raporto pri vundebleco. En ĉi tiu raporto, Qualys konstruos liston de vundeblecoj, komencante per la plej kritikaj, indikante sur kiu gastiganto kapti ĉi tiun vundeblecon. La raporto estos utila, se vi decidos tuj kompreni, ekzemple, ĉiujn vundeblecojn de la kvina nivelo.
Vi ankaŭ povas fari apartan raporton nur pri vundeblecoj de la kvara kaj kvina niveloj.
Flikilo raporto. Ĉi tie vi povas vidi kompletan liston de diakiloj, kiuj devas esti instalitaj por forigi la trovitajn vundeblecojn. Por ĉiu flikaĵo estas klarigo pri kiaj vundeblecoj ĝi riparas, sur kiu gastiganto/sistemo ĝi devas esti instalita, kaj rekta elŝuta ligilo.
PCI DSS-Konformo-Raporto. La normo PCI DSS postulas skanajn informsistemojn kaj aplikaĵojn alireblajn de la Interreto ĉiujn 90 tagojn. Post la skanado, vi povas generi raporton, kiu montros, kio la infrastrukturo ne plenumas la postulojn de la normo.
Vulnerability Remediation Raportoj. Qualys povas esti integrita kun la servotablo, kaj tiam ĉiuj trovitaj vundeblecoj estos aŭtomate tradukitaj en biletojn. Uzante ĉi tiun raporton, vi povas spuri progreson pri finitaj biletoj kaj solvitaj vundeblecoj.
Malfermu havenajn raportojn. Ĉi tie vi povas akiri informojn pri malfermaj havenoj kaj servoj funkcianta sur ili:
aŭ generi raporton pri vundeblecoj sur ĉiu haveno:
Ĉi tiuj estas nur normaj raportŝablonoj. Vi povas krei vian propran por specifaj taskoj, ekzemple, montri nur vundeblecojn ne pli malaltajn ol la kvina nivelo de kritiko. Ĉiuj raportoj haveblas. Formato de raporto: CSV, XML, HTML, PDF kaj docx.
Kaj memoru: Sekureco ne estas rezulto, sed procezo. Unufoja skanado helpas vidi problemojn en la momento, sed ĉi tio ne temas pri plenrajta administradprocezo de vundebleco.
Por faciligi al vi decidi pri ĉi tiu regula laboro, ni kreis servon bazitan sur Qualys Vulnerability Management.
Estas reklamo por ĉiuj Habr-legantoj: Kiam vi mendas skanan servon por jaro, du monatoj da skanado estas senpagaj. Aplikoj povas esti lasitaj , en la kampo "Komento" skribu Habr.
fonto: www.habr.com