Ola a todos!
Hoxe quero falar da solución na nube para buscar e analizar vulnerabilidades Qualys Vulnerability Management, sobre a que un dos nosos .
A continuación mostrarei como se organiza a dixitalización en si e que información sobre vulnerabilidades se pode atopar en función dos resultados.
O que se pode escanear
Servizos externos. Para analizar servizos que teñan acceso a Internet, o cliente proporciónanos os seus enderezos IP e credenciais (se é necesario realizar unha dixitalización con autenticación). Analizamos servizos usando a nube Qualys e enviamos un informe baseado nos resultados.
Servizos internos. Neste caso, o escáner busca vulnerabilidades nos servidores internos e na infraestrutura de rede. Usando tal dixitalización, pode inventariar as versións dos sistemas operativos, aplicacións, portos abertos e servizos detrás deles.
Un escáner Qualys está instalado para escanear dentro da infraestrutura do cliente. A nube Qualys serve como centro de comando para este escáner aquí.
Ademais do servidor interno con Qualys, pódense instalar axentes (Cloud Agent) en obxectos dixitalizados. Recollen información sobre o sistema localmente e practicamente non crean carga na rede nin nos hosts nos que operan. A información recibida envíase á nube.
Aquí hai tres puntos importantes: autenticación e selección de obxectos para escanear.
- Usando autenticación. Algúns clientes piden dixitalización de caixas negras, especialmente para servizos externos: dannos unha serie de enderezos IP sen especificar o sistema e din "ser como un hacker". Pero os hackers raramente actúan a cegas. Cando se trata de atacar (non de recoñecemento), saben o que están pirateando.
A cegas, Qualys pode tropezar con banners de señuelo e escanealos en lugar do sistema de destino. E sen entender o que se dixitalizará exactamente, é fácil perderse a configuración do escáner e "anexar" o servizo que se está a comprobar.
A dixitalización será máis beneficiosa se realiza comprobacións de autenticación diante dos sistemas que se están a dixitalizar (caixa branca). Deste xeito, o escáner entenderá de onde veu e recibirá datos completos sobre as vulnerabilidades do sistema de destino.
Qualys ten moitas opcións de autenticación. - Activos do grupo. Se comeza a escanear todo á vez e indistintamente, levará moito tempo e creará unha carga innecesaria nos sistemas. É mellor agrupar hosts e servizos en grupos en función da importancia, localización, versión do SO, criticidade da infraestrutura e outras características (en Qualys chámanse grupos de activos e etiquetas de activos) e seleccionar un grupo específico ao escanear.
- Seleccione unha xanela técnica para escanear. Aínda que teña pensado e preparado, a dixitalización crea un estrés adicional no sistema. Non necesariamente provocará a degradación do servizo, pero é mellor escoller un momento determinado para iso, como para facer unha copia de seguridade ou transferir actualizacións.
Que podes aprender dos informes?
En función dos resultados da exploración, o cliente recibe un informe que conterá non só unha lista de todas as vulnerabilidades atopadas, senón tamén recomendacións básicas para eliminalas: actualizacións, parches, etc. Qualys ten moitos informes: hai modelos predeterminados e podes crear o teu propio. Para non confundirse con toda a diversidade, primeiro é mellor decidir por si mesmo sobre os seguintes puntos:
- Quen verá este informe: un xestor ou un técnico especialista?
- que información quere obter dos resultados da exploración? Por exemplo, se queres saber se están instalados todos os parches necesarios e como se está a traballar para eliminar as vulnerabilidades atopadas anteriormente, este é un informe. Se só precisa facer un inventario de todos os hosts, entón outro.
Se a túa tarefa é mostrar unha imaxe breve pero clara á dirección, podes formar Informe Executivo. Todas as vulnerabilidades clasificaranse en estantes, niveis de criticidade, gráficos e diagramas. Por exemplo, as 10 vulnerabilidades máis críticas ou as vulnerabilidades máis comúns.
Para un técnico hai Informe técnico con todos os detalles e detalles. Pódense xerar os seguintes informes:
Informe dos anfitrións. Unha cousa útil cando precisa facer un inventario da súa infraestrutura e obter unha imaxe completa das vulnerabilidades do host.
Este é o aspecto da lista de hosts analizados, indicando o SO que se executa neles.
Abramos o anfitrión de interese e vexamos unha lista de 219 vulnerabilidades atopadas, comezando pola máis crítica, nivel cinco:
Despois podes ver os detalles de cada vulnerabilidade. Aquí vemos:
- cando se detectou a vulnerabilidade por primeira e última vez,
- números de vulnerabilidade industrial,
- parche para eliminar a vulnerabilidade,
- hai algún problema co cumprimento de PCI DSS, NIST, etc.,
- existe algún exploit e malware para esta vulnerabilidade,
- é unha vulnerabilidade detectada ao dixitalizar con/sen autenticación no sistema, etc.
Se esta non é a primeira dixitalización - si, cómpre escanear regularmente 🙂 - entón coa axuda Informe de tendencias Podes rastrexar a dinámica do traballo con vulnerabilidades. O estado das vulnerabilidades mostrarase en comparación coa análise anterior: as vulnerabilidades que se atoparon anteriormente e pechadas marcaranse como fixas, as non pechadas - activas, novas - novas.
Informe de vulnerabilidade. Neste informe, Qualys creará unha lista de vulnerabilidades, comezando polas máis críticas, indicando en que host detectar esta vulnerabilidade. O informe será útil se decides comprender inmediatamente, por exemplo, todas as vulnerabilidades do quinto nivel.
Tamén podes facer un informe separado só sobre vulnerabilidades dos niveis cuarto e quinto.
Informe de parche. Aquí podes ver unha lista completa de parches que hai que instalar para eliminar as vulnerabilidades atopadas. Para cada parche hai unha explicación de que vulnerabilidades soluciona, en que host/sistema debe instalarse e unha ligazón de descarga directa.
Informe de conformidade con PCI DSS. O estándar PCI DSS esixe sistemas de información de dixitalización e aplicacións accesibles desde Internet cada 90 días. Despois da exploración, pode xerar un informe que mostrará o que a infraestrutura non cumpre cos requisitos da norma.
Informes de corrección de vulnerabilidades. Qualys pódese integrar coa mesa de servizo e, a continuación, todas as vulnerabilidades atopadas traduciranse automaticamente en tickets. Usando este informe, podes seguir o progreso dos tickets completados e das vulnerabilidades resoltas.
Informes de porto aberto. Aquí podes obter información sobre os portos abertos e os servizos que se executan neles:
ou xerar un informe sobre vulnerabilidades en cada porto:
Estes son só modelos de informes estándar. Podes crear o teu propio para tarefas específicas, por exemplo, mostrar só vulnerabilidades non inferiores ao quinto nivel de criticidade. Todos os informes están dispoñibles. Formato de informe: CSV, XML, HTML, PDF e docx.
E recorda: A seguridade non é un resultado, senón un proceso. Unha exploración única axuda a ver os problemas no momento, pero non se trata dun proceso completo de xestión de vulnerabilidades.
Para facilitarche a túa decisión sobre este traballo habitual, creamos un servizo baseado en Qualys Vulnerability Management.
Hai unha promoción para todos os lectores de Habr: Cando solicita un servizo de dixitalización durante un ano, dous meses de dixitalización son gratuítos. As solicitudes pódense deixar , no campo "Comentario" escriba Habr.
Fonte: www.habr.com