Bonjour à tous!
Aujourd'hui, je souhaite parler de la solution cloud de recherche et d'analyse des vulnérabilités Qualys Vulnerability Management, sur laquelle l'un de nos .
Ci-dessous, je montrerai comment l'analyse elle-même est organisée et quelles informations sur les vulnérabilités peuvent être trouvées sur la base des résultats.
Que peut-on scanner
Prestations externes. Pour analyser les services ayant accès à Internet, le client nous fournit ses adresses IP et ses informations d'identification (si une analyse avec authentification est nécessaire). Nous analysons les services à l'aide du cloud Qualys et envoyons un rapport basé sur les résultats.
Services internes. Dans ce cas, le scanner recherche les vulnérabilités des serveurs internes et de l'infrastructure réseau. À l’aide d’une telle analyse, vous pouvez inventorier les versions des systèmes d’exploitation, des applications, des ports ouverts et des services qui les sous-tendent.
Un scanner Qualys est installé pour analyser au sein de l'infrastructure du client. Le cloud Qualys sert ici de centre de commande pour ce scanner.
En plus du serveur interne avec Qualys, des agents (Cloud Agent) peuvent être installés sur les objets analysés. Ils collectent localement des informations sur le système et ne créent pratiquement aucune charge sur le réseau ou les hôtes sur lesquels ils opèrent. Les informations reçues sont envoyées vers le cloud.
Il y a ici trois points importants : l'authentification et la sélection des objets à scanner.
- Utilisation de l'authentification. Certains clients demandent un scan blackbox, notamment pour les services externes : ils nous donnent une plage d’adresses IP sans préciser le système et nous disent « faites comme un hacker ». Mais les hackers agissent rarement aveuglément. Lorsqu’il s’agit d’attaque (et non de reconnaissance), ils savent ce qu’ils piratent.
À l'aveugle, Qualys peut tomber sur des bannières leurres et les analyser à la place du système cible. Et sans comprendre exactement ce qui sera analysé, il est facile de manquer les paramètres du scanner et de « joindre » le service en cours de vérification.
L'analyse sera plus bénéfique si vous effectuez des contrôles d'authentification devant les systèmes analysés (boîte blanche). De cette façon, le scanner comprendra d'où il vient et vous recevrez des données complètes sur les vulnérabilités du système cible.
Qualys propose de nombreuses options d'authentification. - Actifs du groupe. Si vous commencez à tout analyser en même temps et sans discernement, cela prendra beaucoup de temps et créera une charge inutile sur les systèmes. Il est préférable de regrouper les hôtes et les services en groupes en fonction de l'importance, de l'emplacement, de la version du système d'exploitation, de la criticité de l'infrastructure et d'autres caractéristiques (dans Qualys, ils sont appelés groupes d'actifs et étiquettes d'actifs) et de sélectionner un groupe spécifique lors de l'analyse.
- Sélectionnez une fenêtre technique à analyser. Même si vous avez réfléchi et préparé, l’analyse crée une pression supplémentaire sur le système. Cela n'entraînera pas nécessairement une dégradation du service, mais il est préférable de lui choisir une certaine heure, comme pour une sauvegarde ou un rollover des mises à jour.
Que pouvez-vous apprendre des rapports ?
Sur la base des résultats de l'analyse, le client reçoit un rapport qui contiendra non seulement une liste de toutes les vulnérabilités trouvées, mais également des recommandations de base pour les éliminer : mises à jour, correctifs, etc. Qualys propose de nombreux rapports : il existe des modèles par défaut, et vous pouvez créer le vôtre. Afin de ne pas se perdre dans toute la diversité, mieux vaut d'abord décider par vous-même des points suivants :
- Qui consultera ce rapport : un manager ou un spécialiste technique ?
- Quelles informations souhaitez-vous obtenir des résultats de l'analyse ? Par exemple, si vous souhaitez savoir si tous les correctifs nécessaires sont installés et comment les travaux sont effectués pour éliminer les vulnérabilités précédemment trouvées, il s'agit d'un seul rapport. Si vous avez juste besoin de faire un inventaire de tous les hôtes, alors un autre.
Si votre tâche est de montrer une image brève mais claire à la direction, vous pouvez alors former Rapport exécutif. Toutes les vulnérabilités seront classées par étagères, niveaux de criticité, graphiques et diagrammes. Par exemple, les 10 vulnérabilités les plus critiques ou les vulnérabilités les plus courantes.
Pour un technicien il y a Rapport technique avec tous les détails et détails. Les rapports suivants peuvent être générés :
Rapport des hôtes. Une chose utile lorsque vous devez faire un inventaire de votre infrastructure et obtenir une image complète des vulnérabilités de l’hôte.
Voici à quoi ressemble la liste des hôtes analysés, indiquant le système d'exploitation qui les exécute.
Ouvrons la liste des points d'intérêt et voyons une liste de 219 vulnérabilités trouvées, en commençant par la plus critique, le niveau cinq :
Ensuite, vous pouvez voir les détails de chaque vulnérabilité. Ici, nous voyons :
- lorsque la vulnérabilité a été détectée pour la première et la dernière fois,
- les numéros de vulnérabilité industrielle,
- patch pour éliminer la vulnérabilité,
- y a-t-il des problèmes de conformité avec PCI DSS, NIST, etc.,
- existe-t-il un exploit et un malware pour cette vulnérabilité,
- est une vulnérabilité détectée lors d'une analyse avec/sans authentification dans le système, etc.
Si ce n'est pas le premier scan - oui, vous devez scanner régulièrement 🙂 - alors avec l'aide Rapport de tendance Vous pouvez retracer la dynamique du travail avec les vulnérabilités. L'état des vulnérabilités sera affiché par rapport à l'analyse précédente : les vulnérabilités trouvées plus tôt et fermées seront marquées comme corrigées, non fermées - actives, nouvelles - nouvelles.
Rapport de vulnérabilité. Dans ce rapport, Qualys établira une liste de vulnérabilités, en commençant par la plus critique, en indiquant sur quel hôte détecter cette vulnérabilité. Le rapport sera utile si vous décidez de comprendre immédiatement, par exemple, toutes les vulnérabilités du cinquième niveau.
Vous pouvez également créer un rapport séparé uniquement sur les vulnérabilités des quatrième et cinquième niveaux.
Rapport de correctif. Ici vous pouvez voir une liste complète des correctifs qui doivent être installés pour éliminer les vulnérabilités trouvées. Pour chaque correctif, vous trouverez une explication des vulnérabilités qu'il corrige, sur quel hôte/système il doit être installé et un lien de téléchargement direct.
Rapport de conformité PCI DSS. La norme PCI DSS impose d'analyser les systèmes d'information et les applications accessibles depuis Internet tous les 90 jours. Après l'analyse, vous pouvez générer un rapport qui montrera ce que l'infrastructure ne répond pas aux exigences de la norme.
Rapports de correction des vulnérabilités. Qualys peut être intégré au service desk, et toutes les vulnérabilités trouvées seront alors automatiquement traduites en tickets. À l'aide de ce rapport, vous pouvez suivre la progression des tickets terminés et des vulnérabilités résolues.
Rapports sur les ports ouverts. Ici, vous pouvez obtenir des informations sur les ports ouverts et les services qui y sont exécutés :
ou générer un rapport sur les vulnérabilités sur chaque port :
Ce ne sont que des modèles de rapport standard. Vous pouvez créer le vôtre pour des tâches spécifiques, par exemple, afficher uniquement les vulnérabilités non inférieures au cinquième niveau de criticité. Tous les rapports sont disponibles. Format du rapport : CSV, XML, HTML, PDF et docx.
Et rappelez-vous: La sécurité n'est pas un résultat, mais un processus. Une analyse ponctuelle permet de détecter les problèmes sur le moment, mais il ne s'agit pas d'un processus de gestion des vulnérabilités à part entière.
Pour vous permettre de décider plus facilement de ces travaux réguliers, nous avons créé un service basé sur Qualys Vulnerability Management.
Il y a une promotion pour tous les lecteurs Habr : Lorsque vous commandez un service de numérisation pour un an, deux mois de numérisations sont gratuits. Les candidatures peuvent être laissées , dans le champ « Commentaire », écrivez Habr.
Source: habr.com