Hello everyone!
Hjoed wol ik prate oer de wolkoplossing foar it sykjen en analysearjen fan kwetsberens Qualys Vulnerability Management, wêrop ien fan ús .
Hjirûnder sil ik sjen litte hoe't it skennen sels organisearre is en hokker ynformaasje oer kwetsberens te finen is op basis fan de resultaten.
Wat kin wurde skansearre
Eksterne tsjinsten. Om tsjinsten te scannen dy't tagong hawwe ta it ynternet, leveret de kliïnt ús har IP-adressen en referinsjes (as in scan mei autentikaasje nedich is). Wy scannen tsjinsten mei de Qualys-wolk en stjoere in rapport op basis fan de resultaten.
Ynterne tsjinsten. Yn dit gefal siket de scanner nei kwetsberens yn ynterne servers en netwurkynfrastruktuer. Mei sa'n scan kinne jo de ferzjes fan bestjoeringssystemen, applikaasjes, iepen havens en tsjinsten efter har ynventarisearje.
In Qualys-scanner is ynstalleare om te scannen binnen de ynfrastruktuer fan 'e kliïnt. De Qualys-wolk tsjinnet hjir as it kommandosintrum foar dizze scanner.
Neist de ynterne tsjinner mei Qualys, kinne aginten (Cloud Agent) ynstallearre wurde op skansearre objekten. Se sammelje ynformaasje oer it systeem lokaal en meitsje praktysk gjin lêst op it netwurk of de hosts wêrop se operearje. De ûntfongen ynformaasje wurdt stjoerd nei de wolk.
D'r binne hjir trije wichtige punten: autentikaasje en seleksje fan objekten om te scannen.
- Mei help fan ferifikaasje. Guon kliïnten freegje om blackbox-scannen, foaral foar eksterne tsjinsten: se jouwe ús in berik fan IP-adressen sûnder it systeem oan te jaan en sizze "wês as in hacker." Mar hackers hannelje selden blyn. As it giet om oanfal (net ferkenning), se witte wat se hacking.
Blinlik kin Qualys stroffelje op decoy banners en scan se ynstee fan it doelsysteem. En sûnder te begripen wat krekt sil wurde skansearre, is it maklik om de scannerynstellingen te missen en de tsjinst dy't wurdt kontrolearre "taheakje".
Scannen sil foardieliger wêze as jo autentikaasjekontrôles útfiere foar de skansearre systemen (whitebox). Op dizze manier sil de scanner begripe wêr't it weikomt, en jo krije folsleine gegevens oer de kwetsberens fan it doelsysteem.
Qualys hat in protte autentikaasje opsjes. - Groep aktiva. As jo begjinne te skennen alles yn ien kear en undiscriminately, it sil duorje in lange tiid en meitsje in ûnnedige lading op de systemen. It is better om hosts en tsjinsten te groepearjen yn groepen basearre op belang, lokaasje, OS-ferzje, ynfrastruktuerkritykens en oare skaaimerken (yn Qualys wurde se Asset Groups en Asset Tags neamd) en selektearje in spesifike groep by it scannen.
- Selektearje in technysk finster om te scannen. Sels as jo hawwe tocht en taret, skennen soarget foar ekstra stress op it systeem. It sil net needsaaklik degradaasje fan 'e tsjinst feroarsaakje, mar it is better om in bepaalde tiid foar te kiezen, lykas foar in reservekopy of rollover fan updates.
Wat kinne jo leare út de rapporten?
Op grûn fan 'e scanresultaten krijt de kliïnt in rapport dat net allinich in list befettet fan alle fûne kwetsberens, mar ek basisoanbefellings foar it eliminearjen fan dizze: updates, patches, ensfh. Qualys hat in protte rapporten: der binne standert sjabloanen, en jo kinne jo eigen meitsje. Om net betize te wurden yn al it ferskaat, is it better om earst sels te besluten oer de folgjende punten:
- Wa sil dit rapport besjen: in manager of in technysk spesjalist?
- hokker ynformaasje wolle jo krije fan 'e scanresultaten? As jo bygelyks wolle útfine oft alle nedige patches ynstalleare binne en hoe't wurk dien wurdt om earder fûne kwetsberens te eliminearjen, dan is dit ien rapport. As jo gewoan in ynventarisaasje fan alle hosts moatte nimme, dan in oare.
As jo taak is om in koart, mar dúdlik byld te sjen oan it management, dan kinne jo foarmje Executive Report. Alle kwetsberens sille wurde sortearre yn planken, nivo's fan krityk, grafiken en diagrammen. Bygelyks de top 10 meast krityske kwetsberens as de meast foarkommende kwetsberens.
Foar in technikus is der Technysk rapport mei alle details en details. De folgjende rapporten kinne wurde generearre:
Hosts rapportearje. In nuttich ding as jo in ynventarisaasje fan jo ynfrastruktuer moatte nimme en in folslein byld krije fan kwetsberens fan hosts.
Dit is hoe't de list mei analysearre hosts derút sjocht, wat oanjout dat it OS op har rint.
Litte wy de gasthear fan belang iepenje en in list sjen mei 219 kwetsberens fûn, begjinnend fan it meast krityske nivo fiif:
Dan kinne jo de details sjen foar elke kwetsberens. Hjir sjogge wy:
- doe't de kwetsberens foar de earste en lêste kear waard ûntdutsen,
- yndustriële kwetsberensnûmers,
- patch om de kwetsberens te eliminearjen,
- binne d'r problemen mei it neilibjen fan PCI DSS, NIST, ensfh.,
- is d'r in eksploitaasje en malware foar dizze kwetsberens,
- is in kwetsberens ûntdutsen by skennen mei/sûnder autentikaasje yn it systeem, ensfh.
As dit net de earste scan is - ja, jo moatte regelmjittich scannen 🙂 - dan mei help Trendrapport Jo kinne de dynamyk fan wurkjen mei kwetsberens trace. De status fan kwetsberens sil te sjen wêze yn ferliking mei de foarige scan: kwetsberens dy't earder fûn en sluten binne, wurde markearre as fêste, net-sletten - aktyf, nije - nij.
Kwetsberens rapport. Yn dit rapport sil Qualys in list fan kwetsberens bouwe, begjinnend mei de meast krityske, oan te jaan op hokker host dizze kwetsberens te fangen. It rapport sil nuttich wêze as jo beslute om fuortendaliks te begripen, bygelyks alle kwetsberens fan it fyfde nivo.
Jo kinne ek in apart rapport allinich meitsje oer kwetsberens fan it fjirde en fyfde nivo.
Patch ferslach. Hjir kinne jo in folsleine list sjen mei patches dy't moatte wurde ynstalleare om de fûne kwetsberens te eliminearjen. Foar elke patch is d'r in útlis oer hokker kwetsberens it reparearret, op hokker host / systeem it ynstalleare moat, en in direkte downloadlink.
PCI DSS Compliance Report. De PCI DSS-standert fereasket skennen fan ynformaasjesystemen en applikaasjes dy't elke 90 dagen tagonklik binne fan it ynternet. Nei de scan kinne jo in rapport generearje dat sil sjen litte wat de ynfrastruktuer net foldocht oan de easken fan 'e standert.
Kwetsberens Remediation Reports. Qualys kin wurde yntegrearre mei de service desk, en dan alle fûn kwetsberens wurde automatysk oerset yn kaartsjes. Mei dit rapport kinne jo de foarútgong folgje op foltôge kaartsjes en oploste kwetsberens.
Iepen haven rapporten. Hjir kinne jo ynformaasje krije oer iepen havens en tsjinsten dy't derop rinne:
of generearje in rapport oer kwetsberens op elke haven:
Dit binne gewoan standert rapportsjabloanen. Jo kinne jo eigen meitsje foar spesifike taken, bygelyks allinich kwetsberens sjen litte net leger as it fyfde nivo fan kritikaliteit. Alle rapporten binne beskikber. Rapportformaat: CSV, XML, HTML, PDF en docx.
En tink derom: Feiligens is gjin resultaat, mar in proses. In ienmalige scan helpt om problemen op it stuit te sjen, mar dit giet net oer in folweardich proses foar kwetsberensbehear.
Om it makliker foar jo om te besluten oer dit reguliere wurk, hawwe wy in tsjinst makke basearre op Qualys Vulnerability Management.
D'r is in promoasje foar alle Habr-lêzers: As jo in scantsjinst foar in jier bestelle, binne twa moannen scans fergees. Oanfragen kinne oerbleaun wurde , yn it "Kommentaar" fjild skriuw Habr.
Boarne: www.habr.com