چگونه آسیب پذیر شدم: اسکن زیرساخت فناوری اطلاعات با استفاده از Qualys

خوش آمدید!

امروز می‌خواهم در مورد راه‌حل ابری برای جستجو و تجزیه و تحلیل آسیب‌پذیری‌ها Qualys Vulnerability Management صحبت کنم که یکی از ما خدمات.

در زیر نشان خواهم داد که چگونه خود اسکن سازماندهی شده است و بر اساس نتایج چه اطلاعاتی در مورد آسیب پذیری ها می توان یافت.

چه چیزی را می توان اسکن کرد

خدمات خارجی. برای اسکن سرویس هایی که به اینترنت دسترسی دارند، مشتری آدرس IP و اعتبار خود را در اختیار ما قرار می دهد (در صورت نیاز به اسکن با احراز هویت). ما خدمات را با استفاده از ابر Qualys اسکن می کنیم و گزارشی را بر اساس نتایج ارسال می کنیم.

خدمات داخلی در این مورد، اسکنر به دنبال آسیب پذیری در سرورهای داخلی و زیرساخت شبکه می گردد. با استفاده از چنین اسکنی، می‌توانید نسخه‌های سیستم‌عامل، برنامه‌ها، پورت‌های باز و سرویس‌های پشت آن‌ها را فهرست کنید.

یک اسکنر Qualys برای اسکن در زیرساخت مشتری نصب شده است. ابر Qualys به عنوان مرکز فرماندهی این اسکنر در اینجا عمل می کند.

علاوه بر سرور داخلی با Qualys، Agents (Cloud Agent) را می توان بر روی اشیاء اسکن شده نصب کرد. آنها اطلاعات مربوط به سیستم را به صورت محلی جمع آوری می کنند و عملاً هیچ باری در شبکه یا میزبان هایی که روی آنها کار می کنند ایجاد نمی کنند. اطلاعات دریافتی به ابر ارسال می شود.

سه نکته مهم در اینجا وجود دارد: احراز هویت و انتخاب اشیاء برای اسکن.

1. با استفاده از احراز هویت. برخی از مشتریان برای اسکن جعبه سیاه، به ویژه برای خدمات خارجی درخواست می‌کنند: آنها طیفی از آدرس‌های IP را بدون مشخص کردن سیستم به ما می‌دهند و می‌گویند «مثل یک هکر باش». اما هکرها به ندرت کورکورانه عمل می کنند. وقتی صحبت از حمله می شود (نه شناسایی)، آنها می دانند که چه چیزی را هک می کنند. 

   کورکورانه، Qualys ممکن است به بنرهای فریب برخورد کند و آنها را به جای سیستم هدف اسکن کند. و بدون درک اینکه دقیقاً چه چیزی اسکن می شود، به راحتی می توان تنظیمات اسکنر را از دست داد و سرویس در حال بررسی را "ضمیمه" کرد. 

   اگر در مقابل سیستم های در حال اسکن (جعبه سفید) بررسی های احراز هویت را انجام دهید، اسکن سودمندتر خواهد بود. به این ترتیب اسکنر متوجه می شود که از کجا آمده است و شما اطلاعات کاملی در مورد آسیب پذیری های سیستم هدف دریافت خواهید کرد.

   
   Qualys گزینه های احراز هویت بسیاری دارد.

2. دارایی های گروه. اگر شروع به اسکن کردن همه چیز به یکباره و بی رویه کنید، زمان زیادی طول می کشد و بار غیر ضروری روی سیستم ها ایجاد می شود. بهتر است هاست ها و سرویس ها را بر اساس اهمیت، موقعیت مکانی، نسخه سیستم عامل، بحرانی بودن زیرساخت و سایر ویژگی ها به گروه هایی گروه بندی کنید (در Qualys به آن ها Asset Groups و Asset Tags گفته می شود) و هنگام اسکن گروه خاصی را انتخاب کنید.
3. یک پنجره فنی را برای اسکن انتخاب کنید. حتی اگر فکر کرده باشید و آماده باشید، اسکن استرس بیشتری را روی سیستم ایجاد می کند. لزوماً باعث تخریب سرویس نمی شود، اما بهتر است زمان مشخصی را برای آن انتخاب کنید، مانند پشتیبان گیری یا جابجایی به روز رسانی ها.

چه چیزی می توانید از گزارش ها یاد بگیرید؟

بر اساس نتایج اسکن، مشتری گزارشی دریافت می‌کند که نه تنها فهرستی از تمام آسیب‌پذیری‌های یافت شده، بلکه توصیه‌های اساسی برای از بین بردن آن‌ها را نیز شامل می‌شود: به‌روزرسانی‌ها، وصله‌ها و غیره. Qualys گزارش‌های زیادی دارد: قالب‌های پیش‌فرض وجود دارد، و شما می توانید خود را ایجاد کنید برای اینکه در این همه تنوع گیج نشوید، بهتر است ابتدا خودتان در مورد نکات زیر تصمیم بگیرید: 

• چه کسی این گزارش را مشاهده خواهد کرد: یک مدیر یا یک متخصص فنی؟
• چه اطلاعاتی می خواهید از نتایج اسکن به دست آورید؟ برای مثال، اگر می‌خواهید بدانید که آیا تمام وصله‌های لازم نصب شده‌اند یا خیر و چگونه کار برای از بین بردن آسیب‌پذیری‌هایی که قبلاً پیدا شده‌اند انجام می‌شود، این یک گزارش است. اگر فقط نیاز به فهرستی از همه هاست دارید، دیگری.

اگر وظیفه شما این است که یک تصویر مختصر اما واضح به مدیریت نشان دهید، می توانید شکل دهید گزارش اجرایی. تمام آسیب‌پذیری‌ها در قفسه‌ها، سطوح بحرانی، نمودارها و نمودارها طبقه‌بندی می‌شوند. به عنوان مثال، 10 آسیب پذیری مهم یا رایج ترین آسیب پذیری ها.

برای یک تکنسین وجود دارد گزارش فنی با تمام جزئیات و جزئیات گزارش های زیر را می توان تولید کرد:

میزبان ها گزارش می دهند. زمانی که باید از زیرساخت های خود فهرستی تهیه کنید و تصویری کامل از آسیب پذیری هاست دریافت کنید، یک چیز مفید است. 

این همان چیزی است که لیست میزبان های تجزیه و تحلیل شده به نظر می رسد که نشان دهنده سیستم عامل در حال اجرا بر روی آنها است.

بیایید میزبان مورد علاقه را باز کنیم و لیستی از 219 آسیب پذیری پیدا شده را ببینیم، که از بحرانی ترین، سطح پنج شروع می شود:

سپس می توانید جزئیات هر آسیب پذیری را مشاهده کنید. در اینجا می بینیم:

• زمانی که آسیب پذیری برای اولین و آخرین بار شناسایی شد،
• اعداد آسیب پذیری صنعتی،
• پچ برای از بین بردن آسیب پذیری،
• آیا در انطباق با PCI DSS، NIST و غیره مشکلی وجود دارد،
• آیا سوء استفاده و بدافزاری برای این آسیب پذیری وجود دارد،
• یک آسیب پذیری است که هنگام اسکن با/بدون احراز هویت در سیستم و غیره شناسایی می شود.

اگر این اولین اسکن نیست - بله، باید به طور مرتب اسکن کنید 🙂 - پس با کمک گزارش روند شما می توانید پویایی کار با آسیب پذیری ها را ردیابی کنید. وضعیت آسیب‌پذیری‌ها در مقایسه با اسکن قبلی نشان داده می‌شود: آسیب‌پذیری‌هایی که قبلاً پیدا شده و بسته شده‌اند به‌عنوان ثابت، بسته نشده - فعال، جدید - جدید علامت‌گذاری می‌شوند.

گزارش آسیب پذیری در این گزارش، Qualys لیستی از آسیب‌پذیری‌ها را ایجاد می‌کند که با مهم‌ترین آنها شروع می‌شود، که نشان می‌دهد کدام میزبان باید این آسیب‌پذیری را پیدا کند. اگر تصمیم بگیرید که فوراً به عنوان مثال، تمام آسیب پذیری های سطح پنجم را درک کنید، گزارش مفید خواهد بود.

همچنین می توانید گزارش جداگانه ای فقط در مورد آسیب پذیری های سطح چهارم و پنجم تهیه کنید.

گزارش پچ در اینجا می توانید لیست کاملی از وصله هایی را که برای از بین بردن آسیب پذیری های یافت شده باید نصب شوند، مشاهده کنید. برای هر وصله توضیحی درباره آسیب‌پذیری‌هایی که برطرف می‌کند، روی کدام میزبان/سیستم باید نصب شود و یک لینک دانلود مستقیم وجود دارد.

گزارش انطباق PCI DSS. استاندارد PCI DSS مستلزم اسکن سیستم های اطلاعاتی و برنامه های کاربردی قابل دسترسی از اینترنت هر 90 روز است. پس از اسکن، می‌توانید گزارشی ایجاد کنید که نشان می‌دهد زیرساخت‌های مورد نیاز استاندارد را برآورده نمی‌کنند.

گزارش های رفع آسیب پذیری. Qualys را می توان با میز خدمات ادغام کرد و سپس تمام آسیب پذیری های یافت شده به طور خودکار به بلیط ترجمه می شوند. با استفاده از این گزارش می توانید پیشرفت بلیط های تکمیل شده و آسیب پذیری های رفع شده را پیگیری کنید.

گزارش های پورت را باز کنید. در اینجا می‌توانید اطلاعاتی درباره پورت‌های باز و سرویس‌هایی که روی آن‌ها اجرا می‌شوند را دریافت کنید:

یا گزارشی در مورد آسیب پذیری های هر پورت ایجاد کنید:

اینها فقط الگوهای گزارش استاندارد هستند. شما می توانید کارهای خود را برای کارهای خاص ایجاد کنید، به عنوان مثال، فقط آسیب پذیری هایی را نشان دهید که کمتر از سطح پنجم بحرانی نیستند. همه گزارش ها موجود است فرمت گزارش: CSV، XML، HTML، PDF و docx.

و بخاطر داشته باش: ایمنی یک نتیجه نیست، بلکه یک فرآیند است. یک اسکن یک بار به دیدن مشکلات در لحظه کمک می کند، اما این در مورد یک فرآیند مدیریت آسیب پذیری کامل نیست.
برای سهولت در تصمیم گیری در مورد این کار معمولی، ما یک سرویس مبتنی بر مدیریت آسیب پذیری Qualys ایجاد کرده ایم.

یک تبلیغ برای همه خوانندگان Habr وجود دارد: هنگامی که یک سرویس اسکن را برای یک سال سفارش می دهید، دو ماه اسکن رایگان است. برنامه ها را می توان رها کرد اینجا، در قسمت "نظر" بنویسید Habr.

منبع: www.habr.com