Tere kõigile!
Täna tahan rääkida turvaaukude otsimise ja analüüsimise pilvelahendusest Qualys Vulnerability Management, mille kohta üks meie
Allpool näitan, kuidas on skannimine ise korraldatud ja millist infot tulemuste põhjal turvaaukude kohta leiab.
Mida saab skannida
Välisteenused. Interneti-juurdepääsu omavate teenuste skannimiseks annab klient meile oma IP-aadressid ja mandaadid (kui on vaja autentimisega skannimist). Skaneerime teenuseid Qualy pilve abil ja saadame tulemuste põhjal raporti.
Siseteenused. Sel juhul otsib skanner haavatavusi sisemistes serverites ja võrguinfrastruktuuris. Sellist skannimist kasutades saate inventeerida nende taga olevate operatsioonisüsteemide, rakenduste, avatud portide ja teenuste versioonid.
Kliendi infrastruktuuris skannimiseks on installitud Qualys-skanner. Qualysi pilv toimib siin selle skanneri käsukeskusena.
Lisaks Qualysiga sisemisele serverile saab skannitud objektidele installida agente (Cloud Agent). Nad koguvad teavet süsteemi kohta kohapeal ega tekita praktiliselt mingit koormust võrgule ega hostidele, millel nad töötavad. Saadud teave saadetakse pilve.
Siin on kolm olulist punkti: autentimine ja skannitavate objektide valimine.
- Autentimise kasutamine. Mõned kliendid nõuavad musta kasti skannimist, eriti välisteenuste puhul: nad annavad meile hulga IP-aadresse ilma süsteemi täpsustamata ja ütlevad: "olge nagu häkker". Kuid häkkerid tegutsevad harva pimesi. Rünnaku (mitte luure) puhul teavad nad, mida häkivad.
Pimesi võib Qualys komistada peibutusbännerite otsa ja neid sihtsüsteemi asemel skannida. Ja ilma aru saamata, mida täpselt skannitakse, on lihtne skanneri seadetest märkamata jääda ja kontrollitav teenus "kinnitada".
Skannimine on kasulikum, kui teete autentimiskontrollid skannitavate süsteemide ees (valge kast). Nii saab skanner aru, kust see tuli, ja saate täielikud andmed sihtsüsteemi haavatavuste kohta.
Qualys on palju autentimisvõimalusi. - Grupi varad. Kui hakkate kõike korraga ja valimatult skannima, võtab see kaua aega ja tekitab süsteemidele asjatut koormust. Parem on hostid ja teenused rühmitada rühmadesse tähtsuse, asukoha, OS-i versiooni, infrastruktuuri kriitilisuse ja muude omaduste alusel (Qualysis nimetatakse neid vararühmadeks ja varade siltideks) ning valida skannimisel konkreetne rühm.
- Valige skannimiseks tehniline aken. Isegi kui olete mõelnud ja valmistunud, tekitab skannimine süsteemile lisapingeid. See ei pruugi põhjustada teenuse halvenemist, kuid parem on valida selle jaoks kindel aeg, näiteks värskenduste varundamiseks või ülekandmiseks.
Mida saate aruannetest õppida?
Skaneerimise tulemuste põhjal saab klient aruande, mis sisaldab mitte ainult kõigi leitud haavatavuste loendit, vaid ka põhilisi soovitusi nende kõrvaldamiseks: värskendused, paigad jne. Qualysil on palju aruandeid: on olemas vaikemalle ja saate luua oma. Selleks, et mitte segadusse sattuda kogu mitmekesisuses, on parem kõigepealt ise otsustada järgmiste punktide üle:
- Kes seda aruannet vaatab: juht või tehniline spetsialist?
- millist teavet soovite skannimistulemustest saada? Näiteks kui soovite teada saada, kas kõik vajalikud paigad on paigaldatud ja kuidas toimub töö varem leitud haavatavuste kõrvaldamiseks, siis see on üks raport. Kui teil on vaja lihtsalt kõik hostid inventeerida, siis teine.
Kui teie ülesanne on näidata juhtkonnale lühikest, kuid selget pilti, saate moodustada Tegevusaruanne. Kõik haavatavused sorteeritakse riiulite, kriitilisuse tasemete, graafikute ja diagrammide järgi. Näiteks 10 kõige kriitilisemat turvaauku või levinumaid haavatavusi.
Tehniku jaoks on olemas Tehniline aruanne koos kõigi detailide ja detailidega. Saate koostada järgmisi aruandeid:
Võõrustajate aruanne. Kasulik asi, kui peate oma infrastruktuuri inventuuri tegema ja hosti haavatavustest täieliku ülevaate saama.
Selline näeb välja analüüsitud hostide loend, mis näitab nendes töötavat OS-i.
Avame huvipakkuva hosti ja vaatame loendit 219 leitud haavatavusest, alustades kõige kriitilisemast, viiendast tasemest:
Seejärel näete iga haavatavuse üksikasju. Siin näeme:
- kui haavatavus avastati esimest ja viimast korda,
- tööstuslikud haavatavuse numbrid,
- plaaster haavatavuse kõrvaldamiseks,
- kas PCI DSS-i, NIST-i jne järgimisega on probleeme,
- kas selle haavatavuse jaoks on ärakasutamine ja pahavara,
- on haavatavus, mis tuvastatakse süsteemis autentimisega/ilma autentimiseta skannimisel jne.
Kui see pole esimene skaneerimine - jah, peate regulaarselt skaneerima 🙂 - siis abiga Trendiaruanne Saate jälgida haavatavustega töötamise dünaamikat. Haavatavuste olek kuvatakse võrreldes eelmise kontrolliga: varem leitud ja suletud haavatavused märgitakse parandatuks, sulgemata - aktiivsed, uued - uued.
Haavatavuse aruanne. Selles aruandes koostab Qualys haavatavuste loendi, alustades kõige kriitilisemast, näidates, millisel hostil see haavatavus kinni püüda. Aruanne on kasulik, kui otsustate kohe aru saada näiteks kõigist viienda taseme haavatavustest.
Eraldi aruande saate teha ka ainult neljanda ja viienda taseme haavatavuste kohta.
Plaastri aruanne. Siin näete täielikku loendit paikadest, mis tuleb leitud haavatavuste kõrvaldamiseks installida. Iga plaastri juures on selgitus selle kohta, milliseid turvaauke see parandab, millisesse hosti/süsteemi tuleb see installida, ja otsene allalaadimislink.
PCI DSS-i vastavusaruanne. PCI DSS-standard nõuab Internetist ligipääsetavate infosüsteemide ja rakenduste skannimist iga 90 päeva tagant. Pärast skannimist saate genereerida aruande, mis näitab, mis infrastruktuur standardi nõuetele ei vasta.
Haavatavuse parandamise aruanded. Qualysid saab integreerida teeninduslauaga ja seejärel tõlgitakse kõik leitud haavatavused automaatselt piletiteks. Selle aruande abil saate jälgida lõpetatud piletite ja lahendatud turvaaukude edenemist.
Ava pordiaruanded. Siit saate teavet avatud portide ja neis töötavate teenuste kohta:
või koostage aruanne iga pordi haavatavuste kohta:
Need on lihtsalt standardsed aruandemallid. Saate luua konkreetsete ülesannete jaoks oma, näiteks kuvada ainult turvaauke, mis ei ole madalamad kui viienda kriitilisuse tase. Kõik aruanded on saadaval. Aruande formaat: CSV, XML, HTML, PDF ja docx.
Ja pidage meeles: Ohutus ei ole tulemus, vaid protsess. Ühekordne skannimine aitab näha probleeme hetkel, kuid siin pole tegemist täiemahulise haavatavuse haldamise protsessiga.
Et teil oleks lihtsam selle tavatöö üle otsustada, oleme loonud Qualys Vulnerability Managementil põhineva teenuse.
Kõigile Habri lugejatele on pakkumine: Kui tellite skaneerimisteenuse aastaks, on kaks kuud skaneerimist tasuta. Taotlused võib jätta
Allikas: www.habr.com