Kuinka minusta tuli haavoittuva: IT-infrastruktuurin skannaus Qualysilla

Hei kaikille!

Tänään haluan puhua pilviratkaisusta haavoittuvuuksien etsimiseen ja analysointiin Qualys Vulnerability Management, jossa yksi palveluista.

Alla näytän kuinka itse skannaus on järjestetty ja mitä tietoa haavoittuvuuksista tulosten perusteella löytyy.

Mitä voidaan skannata

Ulkoiset palvelut. Skannataksemme palveluita, joilla on pääsy Internetiin, asiakas toimittaa meille IP-osoitteensa ja tunnistetietonsa (jos tarvitaan tarkistus todennuksella). Skannaamme palvelut Qualy-pilven avulla ja lähetämme tulosten perusteella raportin.

Sisäiset palvelut. Tässä tapauksessa skanneri etsii haavoittuvuuksia sisäisistä palvelimista ja verkkoinfrastruktuurista. Sellaisen tarkistuksen avulla voit inventoida niiden takana olevat käyttöjärjestelmien, sovellusten, avoimien porttien ja palvelujen versiot.

Qualys-skanneri on asennettu skannaamaan asiakkaan infrastruktuurissa. Qualys-pilvi toimii tämän skannerin komentokeskuksena täällä.

Sisäisen Qualys-palvelimen lisäksi skannattuihin objekteihin voidaan asentaa agentteja (Cloud Agent). Ne keräävät tietoa järjestelmästä paikallisesti eivätkä käytännössä kuormita verkkoa tai isäntiä, joissa ne toimivat. Vastaanotetut tiedot lähetetään pilveen.

Tässä on kolme tärkeää asiaa: todennus ja skannattavien kohteiden valinta.

1. Todennuksen käyttäminen. Jotkut asiakkaat pyytävät blackbox-skannausta, erityisesti ulkoisten palvelujen osalta: he antavat meille IP-osoitteita määrittelemättä järjestelmää ja sanovat "ole kuin hakkeri". Mutta hakkerit toimivat harvoin sokeasti. Kun on kyse hyökkäyksestä (ei tiedustelusta), he tietävät, mitä hakkeroivat. 

   Sokeasti Qualys saattaa törmätä houkutusbannereihin ja skannata niitä kohdejärjestelmän sijaan. Ja ymmärtämättä, mitä tarkalleen tarkistetaan, on helppo jättää skannerin asetukset huomioimatta ja "liittää" tarkistettava palvelu. 

   Skannauksesta on hyötyä, jos teet todennustarkistuksia tarkistettavien järjestelmien edessä (valkoinen laatikko). Tällä tavalla skanneri ymmärtää, mistä se on peräisin, ja saat täydelliset tiedot kohdejärjestelmän haavoittuvuuksista.

   
   Qualysilla on monia todennusvaihtoehtoja.

2. Ryhmän varat. Jos suoritat tarkistuksen kaikelle kerralla ja umpimähkäisesti, se kestää kauan ja kuormittaa järjestelmiä tarpeettomasti. On parempi ryhmitellä isännät ja palvelut ryhmiin tärkeyden, sijainnin, käyttöjärjestelmäversion, infrastruktuurin kriittisyyden ja muiden ominaisuuksien perusteella (Qualysissa niitä kutsutaan Asset Groupiksi ja Asset Tagsiksi) ja valita tietty ryhmä skannauksen yhteydessä.
3. Valitse skannattava tekninen ikkuna. Vaikka olet miettinyt ja valmistautunut, skannaus lisää järjestelmään stressiä. Se ei välttämättä aiheuta palvelun heikkenemistä, mutta on parempi valita sille tietty aika, kuten päivitysten varmuuskopiointia tai kierrätystä varten.

Mitä voit oppia raporteista?

Skannaustulosten perusteella asiakas saa raportin, joka sisältää paitsi luettelon kaikista löydetyistä haavoittuvuuksista, myös perussuosituksia niiden poistamiseksi: päivitykset, korjaustiedostot jne. Qualysilla on paljon raportteja: on oletusmalleja, ja voit luoda oman. Jotta et joutuisi hämmentymään kaikessa monimuotoisuudessa, on parempi päättää ensin itse seuraavista kohdista: 

• Kuka näkee tämän raportin: johtaja vai tekninen asiantuntija?
• mitä tietoja haluat saada skannaustuloksista? Jos esimerkiksi haluat selvittää, onko kaikki tarvittavat korjaustiedostot asennettu ja miten työskennellään aiemmin löydettyjen haavoittuvuuksien poistamiseksi, tämä on yksi raportti. Jos sinun täytyy vain tehdä luettelo kaikista isännistä, niin toinen.

Jos tehtäväsi on näyttää johdolle lyhyt mutta selkeä kuva, voit muodostaa Executive Report. Kaikki haavoittuvuudet lajitellaan hyllyihin, kriittisyystasoihin, kaavioihin ja kaavioihin. Esimerkiksi 10 kriittisintä haavoittuvuutta tai yleisintä haavoittuvuutta.

Teknikolle löytyy Tekninen raportti kaikilla yksityiskohdilla ja yksityiskohdilla. Seuraavat raportit voidaan luoda:

Isäntien raportti. Hyödyllinen asia, kun sinun täytyy tehdä luettelo infrastruktuuristasi ja saada täydellinen kuva isäntähaavoittuvuuksista. 

Tältä näyttää analysoitujen isäntien luettelo, joka osoittaa niillä olevan käyttöjärjestelmän.

Avataan kiinnostava isäntä ja katsotaan luettelo 219 löydetystä haavoittuvuudesta alkaen kriittisimmästä tasosta viisi:

Sitten näet kunkin haavoittuvuuden yksityiskohdat. Tässä näemme:

• kun haavoittuvuus havaittiin ensimmäisen ja viimeisen kerran,
• teollisuuden haavoittuvuusluvut,
• korjaustiedosto haavoittuvuuden poistamiseksi,
• onko ongelmia PCI DSS:n, NIST:n jne.
• onko tälle haavoittuvuudelle olemassa hyväksikäyttöä ja haittaohjelmia,
• on haavoittuvuus, joka havaitaan skannattaessa järjestelmän todennuksella tai ilman todennusta jne.

Jos tämä ei ole ensimmäinen skannaus - kyllä, sinun on skannattava säännöllisesti 🙂 - niin avulla Trendiraportti Voit jäljittää haavoittuvuuksien kanssa työskentelyn dynamiikkaa. Haavoittuvuuksien tila näytetään edelliseen tarkistukseen verrattuna: aiemmin löydetyt ja suljetut haavoittuvuudet merkitään kiinteiksi, sulkemattomiksi - aktiivisiksi, uudet - uusiksi.

Haavoittuvuusraportti. Tässä raportissa Qualys laatii luettelon haavoittuvuuksista alkaen kriittisimmistä ja ilmoittaa, mihin isäntään tämä haavoittuvuus on löydettävä. Raportista on hyötyä, jos päätät heti ymmärtää esimerkiksi kaikki viidennen tason haavoittuvuudet.

Voit myös tehdä erillisen raportin vain neljännen ja viidennen tason haavoittuvuuksista.

Patch-raportti. Täältä näet täydellisen luettelon korjauksista, jotka on asennettava löydettyjen haavoittuvuuksien poistamiseksi. Jokaisen korjaustiedoston kohdalla on selvitys siitä, mitä haavoittuvuuksia se korjaa, mihin isäntään/järjestelmään se on asennettava, ja suora latauslinkki.

PCI DSS -yhteensopivuusraportti. PCI DSS -standardi edellyttää Internetistä saatavilla olevien tietojärjestelmien ja sovellusten skannausta 90 päivän välein. Skannauksen jälkeen voit luoda raportin, joka näyttää, mikä infrastruktuuri ei täytä standardin vaatimuksia.

Haavoittuvuuden korjausraportit. Qualys voidaan integroida palvelupisteeseen, jolloin kaikki löydetyt haavoittuvuudet muunnetaan automaattisesti lipuiksi. Tämän raportin avulla voit seurata valmiiden lippujen ja korjattujen haavoittuvuuksien edistymistä.

Avaa porttiraportit. Täältä löydät tietoa avoimista porteista ja niissä toimivista palveluista:

tai luo raportti kunkin portin haavoittuvuuksista:

Nämä ovat vain tavallisia raporttimalleja. Voit luoda omia tiettyjä tehtäviä varten, esimerkiksi näyttää vain haavoittuvuuksia, jotka eivät ole alhaisempia kuin viidennen kriittisyyden taso. Kaikki raportit ovat saatavilla. Raportin muoto: CSV, XML, HTML, PDF ja docx.

Ja muista: Turvallisuus ei ole tulos, vaan prosessi. Kertaluonteinen tarkistus auttaa näkemään ongelmat hetkessä, mutta tässä ei ole kyse täysimittaisesta haavoittuvuuksien hallintaprosessista.
Jotta sinun olisi helpompi päättää tästä säännöllisestä työstä, olemme luoneet Qualys Vulnerability Managementiin perustuvan palvelun.

Kaikille Habrin lukijoille on tarjolla kampanja: Kun tilaat skannauspalvelun vuodeksi, kaksi kuukautta skannaukset ovat ilmaisia. Hakemukset voi jättää täällä, kirjoita "Kommentti"-kenttään Habr.

Lähde: will.com