Hola a todos!
Hoy quiero hablaros de la solución en la nube para buscar y analizar vulnerabilidades Qualys Vulnerability Management, en cuál de nuestros .
A continuación mostraré cómo se organiza el escaneo en sí y qué información sobre vulnerabilidades se puede encontrar en función de los resultados.
¿Qué se puede escanear?
Servicios externos. Para escanear servicios que tienen acceso a Internet, el cliente nos proporciona sus direcciones IP y credenciales (si es necesario un escaneo con autenticación). Escaneamos servicios utilizando la nube de Qualys y enviamos un informe basado en los resultados.
Servicios internos. En este caso, el escáner busca vulnerabilidades en los servidores internos y la infraestructura de red. Con dicho análisis, puede inventariar las versiones de los sistemas operativos, las aplicaciones, los puertos abiertos y los servicios detrás de ellos.
Se instala un escáner Qualys para escanear dentro de la infraestructura del cliente. La nube Qualys sirve aquí como centro de mando para este escáner.
Además del servidor interno con Qualys, se pueden instalar agentes (Cloud Agent) en los objetos escaneados. Recopilan información sobre el sistema localmente y prácticamente no generan carga en la red ni en los hosts en los que operan. La información recibida se envía a la nube.
Aquí hay tres puntos importantes: autenticación y selección de objetos a escanear.
- Usando autenticación. Algunos clientes piden escaneo de caja negra, especialmente para servicios externos: nos dan un rango de direcciones IP sin especificar el sistema y nos dicen “sé como un hacker”. Pero los piratas informáticos rara vez actúan a ciegas. Cuando se trata de ataque (no de reconocimiento), saben lo que están pirateando.
A ciegas, Qualys puede tropezar con pancartas señuelo y escanearlas en lugar del sistema objetivo. Y sin comprender qué se escaneará exactamente, es fácil pasar por alto la configuración del escáner y "adjuntar" el servicio que se está verificando.
El escaneo será más beneficioso si realiza comprobaciones de autenticación frente a los sistemas que se escanean (caja blanca). De esta manera, el escáner entenderá de dónde viene y usted recibirá datos completos sobre las vulnerabilidades del sistema de destino.
Qualys tiene muchas opciones de autenticación. - Activos del grupo. Si comienza a escanear todo a la vez y de forma indiscriminada, llevará mucho tiempo y creará una carga innecesaria en los sistemas. Es mejor agrupar hosts y servicios en grupos según su importancia, ubicación, versión del sistema operativo, criticidad de la infraestructura y otras características (en Qualys se denominan grupos de activos y etiquetas de activos) y seleccionar un grupo específico al escanear.
- Seleccione una ventana técnica para escanear. Incluso si lo ha pensado y preparado, el escaneo genera una tensión adicional en el sistema. No necesariamente causará la degradación del servicio, pero es mejor elegir un momento determinado para ello, como para una copia de seguridad o una transferencia de actualizaciones.
¿Qué puedes aprender de los informes?
Según los resultados del análisis, el cliente recibe un informe que contendrá no solo una lista de todas las vulnerabilidades encontradas, sino también recomendaciones básicas para eliminarlas: actualizaciones, parches, etc. Qualys tiene muchos informes: hay plantillas predeterminadas y puedes crear el tuyo propio. Para no confundirse con toda la diversidad, es mejor primero decidir por sí mismo sobre los siguientes puntos:
- ¿Quién verá este informe: un gerente o un especialista técnico?
- ¿Qué información desea obtener de los resultados del escaneo? Por ejemplo, si desea saber si se han instalado todos los parches necesarios y cómo se está trabajando para eliminar las vulnerabilidades encontradas anteriormente, este es un informe. Si sólo necesita hacer un inventario de todos los hosts, entonces otro.
Si su tarea es mostrar una imagen breve pero clara a la gerencia, entonces puede formar Reporte ejecutivo. Todas las vulnerabilidades se clasificarán en estantes, niveles de criticidad, gráficos y diagramas. Por ejemplo, las 10 vulnerabilidades más críticas o las vulnerabilidades más comunes.
Para un técnico hay Reporte técnico con todos los detalles y detalles. Se pueden generar los siguientes informes:
Informe de anfitriones. Algo útil cuando necesita hacer un inventario de su infraestructura y obtener una imagen completa de las vulnerabilidades del host.
Así es como se ve la lista de hosts analizados, indicando el sistema operativo que se ejecuta en ellos.
Abramos el host de interés y veamos una lista de 219 vulnerabilidades encontradas, comenzando por la más crítica, el nivel cinco:
Luego podrá ver los detalles de cada vulnerabilidad. Aquí vemos:
- cuando se detectó la vulnerabilidad por primera y última vez,
- cifras de vulnerabilidad industrial,
- parche para eliminar la vulnerabilidad,
- ¿Hay algún problema con el cumplimiento de PCI DSS, NIST, etc.?
- ¿Existe algún exploit y malware para esta vulnerabilidad?
- es una vulnerabilidad detectada al escanear con/sin autenticación en el sistema, etc.
Si este no es el primer escaneo (sí, debe escanear regularmente 🙂), entonces con la ayuda Informe de tendencias Puede rastrear la dinámica de trabajar con vulnerabilidades. El estado de las vulnerabilidades se mostrará en comparación con el escaneo anterior: las vulnerabilidades que se encontraron anteriormente y se cerraron se marcarán como fijas, las no cerradas - activas, las nuevas - nuevas.
Informe de vulnerabilidad. En este informe, Qualys creará una lista de vulnerabilidades, comenzando con las más críticas, indicando en qué host detectar esta vulnerabilidad. El informe será útil si decide comprender de inmediato, por ejemplo, todas las vulnerabilidades del quinto nivel.
También puede realizar un informe separado solo sobre las vulnerabilidades del cuarto y quinto nivel.
Informe de parche. Aquí puede ver una lista completa de parches que deben instalarse para eliminar las vulnerabilidades encontradas. Para cada parche hay una explicación de qué vulnerabilidades corrige, en qué host/sistema debe instalarse y un enlace de descarga directa.
Informe de cumplimiento de PCI DSS. El estándar PCI DSS requiere escanear sistemas de información y aplicaciones accesibles desde Internet cada 90 días. Después del escaneo, puede generar un informe que mostrará qué infraestructura no cumple con los requisitos del estándar.
Informes de corrección de vulnerabilidades. Qualys se puede integrar con la mesa de servicio y luego todas las vulnerabilidades encontradas se traducirán automáticamente en tickets. Con este informe, puede realizar un seguimiento del progreso de los tickets completados y las vulnerabilidades resueltas.
Informes de puerto abierto. Aquí puede obtener información sobre los puertos abiertos y los servicios que se ejecutan en ellos:
o generar un informe de vulnerabilidades en cada puerto:
Estas son sólo plantillas de informes estándar. Puede crear el suyo propio para tareas específicas, por ejemplo, mostrar solo vulnerabilidades no inferiores al quinto nivel de criticidad. Todos los informes están disponibles. Formato de informe: CSV, XML, HTML, PDF y docx.
Y recuerda: La seguridad no es un resultado, sino un proceso. Un análisis único ayuda a ver los problemas en el momento, pero no se trata de un proceso completo de gestión de vulnerabilidades.
Para que le resulte más fácil decidirse por este trabajo habitual, hemos creado un servicio basado en Qualys Vulnerability Management.
Hay una promoción para todos los lectores de Habr: Cuando solicita un servicio de escaneo por un año, dos meses de escaneos son gratis. Las solicitudes se pueden dejar , en el campo “Comentario” escriba Habr.
Fuente: habr.com