خوش آمدید!
امروز میخواهم در مورد راهحل ابری برای جستجو و تجزیه و تحلیل آسیبپذیریها Qualys Vulnerability Management صحبت کنم که یکی از ما
در زیر نشان خواهم داد که چگونه خود اسکن سازماندهی شده است و بر اساس نتایج چه اطلاعاتی در مورد آسیب پذیری ها می توان یافت.
چه چیزی را می توان اسکن کرد
خدمات خارجی. برای اسکن سرویس هایی که به اینترنت دسترسی دارند، مشتری آدرس IP و اعتبار خود را در اختیار ما قرار می دهد (در صورت نیاز به اسکن با احراز هویت). ما خدمات را با استفاده از ابر Qualys اسکن می کنیم و گزارشی را بر اساس نتایج ارسال می کنیم.
خدمات داخلی در این مورد، اسکنر به دنبال آسیب پذیری در سرورهای داخلی و زیرساخت شبکه می گردد. با استفاده از چنین اسکنی، میتوانید نسخههای سیستمعامل، برنامهها، پورتهای باز و سرویسهای پشت آنها را فهرست کنید.
یک اسکنر Qualys برای اسکن در زیرساخت مشتری نصب شده است. ابر Qualys به عنوان مرکز فرماندهی این اسکنر در اینجا عمل می کند.
علاوه بر سرور داخلی با Qualys، Agents (Cloud Agent) را می توان بر روی اشیاء اسکن شده نصب کرد. آنها اطلاعات مربوط به سیستم را به صورت محلی جمع آوری می کنند و عملاً هیچ باری در شبکه یا میزبان هایی که روی آنها کار می کنند ایجاد نمی کنند. اطلاعات دریافتی به ابر ارسال می شود.
سه نکته مهم در اینجا وجود دارد: احراز هویت و انتخاب اشیاء برای اسکن.
- با استفاده از احراز هویت. برخی از مشتریان برای اسکن جعبه سیاه، به ویژه برای خدمات خارجی درخواست میکنند: آنها طیفی از آدرسهای IP را بدون مشخص کردن سیستم به ما میدهند و میگویند «مثل یک هکر باش». اما هکرها به ندرت کورکورانه عمل می کنند. وقتی صحبت از حمله می شود (نه شناسایی)، آنها می دانند که چه چیزی را هک می کنند.
کورکورانه، Qualys ممکن است به بنرهای فریب برخورد کند و آنها را به جای سیستم هدف اسکن کند. و بدون درک اینکه دقیقاً چه چیزی اسکن می شود، به راحتی می توان تنظیمات اسکنر را از دست داد و سرویس در حال بررسی را "ضمیمه" کرد.
اگر در مقابل سیستم های در حال اسکن (جعبه سفید) بررسی های احراز هویت را انجام دهید، اسکن سودمندتر خواهد بود. به این ترتیب اسکنر متوجه می شود که از کجا آمده است و شما اطلاعات کاملی در مورد آسیب پذیری های سیستم هدف دریافت خواهید کرد.
Qualys گزینه های احراز هویت بسیاری دارد. - دارایی های گروه. اگر شروع به اسکن کردن همه چیز به یکباره و بی رویه کنید، زمان زیادی طول می کشد و بار غیر ضروری روی سیستم ها ایجاد می شود. بهتر است هاست ها و سرویس ها را بر اساس اهمیت، موقعیت مکانی، نسخه سیستم عامل، بحرانی بودن زیرساخت و سایر ویژگی ها به گروه هایی گروه بندی کنید (در Qualys به آن ها Asset Groups و Asset Tags گفته می شود) و هنگام اسکن گروه خاصی را انتخاب کنید.
- یک پنجره فنی را برای اسکن انتخاب کنید. حتی اگر فکر کرده باشید و آماده باشید، اسکن استرس بیشتری را روی سیستم ایجاد می کند. لزوماً باعث تخریب سرویس نمی شود، اما بهتر است زمان مشخصی را برای آن انتخاب کنید، مانند پشتیبان گیری یا جابجایی به روز رسانی ها.
چه چیزی می توانید از گزارش ها یاد بگیرید؟
بر اساس نتایج اسکن، مشتری گزارشی دریافت میکند که نه تنها فهرستی از تمام آسیبپذیریهای یافت شده، بلکه توصیههای اساسی برای از بین بردن آنها را نیز شامل میشود: بهروزرسانیها، وصلهها و غیره. Qualys گزارشهای زیادی دارد: قالبهای پیشفرض وجود دارد، و شما می توانید خود را ایجاد کنید برای اینکه در این همه تنوع گیج نشوید، بهتر است ابتدا خودتان در مورد نکات زیر تصمیم بگیرید:
- چه کسی این گزارش را مشاهده خواهد کرد: یک مدیر یا یک متخصص فنی؟
- چه اطلاعاتی می خواهید از نتایج اسکن به دست آورید؟ برای مثال، اگر میخواهید بدانید که آیا تمام وصلههای لازم نصب شدهاند یا خیر و چگونه کار برای از بین بردن آسیبپذیریهایی که قبلاً پیدا شدهاند انجام میشود، این یک گزارش است. اگر فقط نیاز به فهرستی از همه هاست دارید، دیگری.
اگر وظیفه شما این است که یک تصویر مختصر اما واضح به مدیریت نشان دهید، می توانید شکل دهید گزارش اجرایی. تمام آسیبپذیریها در قفسهها، سطوح بحرانی، نمودارها و نمودارها طبقهبندی میشوند. به عنوان مثال، 10 آسیب پذیری مهم یا رایج ترین آسیب پذیری ها.
برای یک تکنسین وجود دارد گزارش فنی با تمام جزئیات و جزئیات گزارش های زیر را می توان تولید کرد:
میزبان ها گزارش می دهند. زمانی که باید از زیرساخت های خود فهرستی تهیه کنید و تصویری کامل از آسیب پذیری هاست دریافت کنید، یک چیز مفید است.
این همان چیزی است که لیست میزبان های تجزیه و تحلیل شده به نظر می رسد که نشان دهنده سیستم عامل در حال اجرا بر روی آنها است.
بیایید میزبان مورد علاقه را باز کنیم و لیستی از 219 آسیب پذیری پیدا شده را ببینیم، که از بحرانی ترین، سطح پنج شروع می شود:
سپس می توانید جزئیات هر آسیب پذیری را مشاهده کنید. در اینجا می بینیم:
- زمانی که آسیب پذیری برای اولین و آخرین بار شناسایی شد،
- اعداد آسیب پذیری صنعتی،
- پچ برای از بین بردن آسیب پذیری،
- آیا در انطباق با PCI DSS، NIST و غیره مشکلی وجود دارد،
- آیا سوء استفاده و بدافزاری برای این آسیب پذیری وجود دارد،
- یک آسیب پذیری است که هنگام اسکن با/بدون احراز هویت در سیستم و غیره شناسایی می شود.
اگر این اولین اسکن نیست - بله، باید به طور مرتب اسکن کنید 🙂 - پس با کمک گزارش روند شما می توانید پویایی کار با آسیب پذیری ها را ردیابی کنید. وضعیت آسیبپذیریها در مقایسه با اسکن قبلی نشان داده میشود: آسیبپذیریهایی که قبلاً پیدا شده و بسته شدهاند بهعنوان ثابت، بسته نشده - فعال، جدید - جدید علامتگذاری میشوند.
گزارش آسیب پذیری در این گزارش، Qualys لیستی از آسیبپذیریها را ایجاد میکند که با مهمترین آنها شروع میشود، که نشان میدهد کدام میزبان باید این آسیبپذیری را پیدا کند. اگر تصمیم بگیرید که فوراً به عنوان مثال، تمام آسیب پذیری های سطح پنجم را درک کنید، گزارش مفید خواهد بود.
همچنین می توانید گزارش جداگانه ای فقط در مورد آسیب پذیری های سطح چهارم و پنجم تهیه کنید.
گزارش پچ در اینجا می توانید لیست کاملی از وصله هایی را که برای از بین بردن آسیب پذیری های یافت شده باید نصب شوند، مشاهده کنید. برای هر وصله توضیحی درباره آسیبپذیریهایی که برطرف میکند، روی کدام میزبان/سیستم باید نصب شود و یک لینک دانلود مستقیم وجود دارد.
گزارش انطباق PCI DSS. استاندارد PCI DSS مستلزم اسکن سیستم های اطلاعاتی و برنامه های کاربردی قابل دسترسی از اینترنت هر 90 روز است. پس از اسکن، میتوانید گزارشی ایجاد کنید که نشان میدهد زیرساختهای مورد نیاز استاندارد را برآورده نمیکنند.
گزارش های رفع آسیب پذیری. Qualys را می توان با میز خدمات ادغام کرد و سپس تمام آسیب پذیری های یافت شده به طور خودکار به بلیط ترجمه می شوند. با استفاده از این گزارش می توانید پیشرفت بلیط های تکمیل شده و آسیب پذیری های رفع شده را پیگیری کنید.
گزارش های پورت را باز کنید. در اینجا میتوانید اطلاعاتی درباره پورتهای باز و سرویسهایی که روی آنها اجرا میشوند را دریافت کنید:
یا گزارشی در مورد آسیب پذیری های هر پورت ایجاد کنید:
اینها فقط الگوهای گزارش استاندارد هستند. شما می توانید کارهای خود را برای کارهای خاص ایجاد کنید، به عنوان مثال، فقط آسیب پذیری هایی را نشان دهید که کمتر از سطح پنجم بحرانی نیستند. همه گزارش ها موجود است فرمت گزارش: CSV، XML، HTML، PDF و docx.
و بخاطر داشته باش: ایمنی یک نتیجه نیست، بلکه یک فرآیند است. یک اسکن یک بار به دیدن مشکلات در لحظه کمک می کند، اما این در مورد یک فرآیند مدیریت آسیب پذیری کامل نیست.
برای سهولت در تصمیم گیری در مورد این کار معمولی، ما یک سرویس مبتنی بر مدیریت آسیب پذیری Qualys ایجاد کرده ایم.
یک تبلیغ برای همه خوانندگان Habr وجود دارد: هنگامی که یک سرویس اسکن را برای یک سال سفارش می دهید، دو ماه اسکن رایگان است. برنامه ها را می توان رها کرد
منبع: www.habr.com