Pozdrav!
Danas želim govoriti o rješenju u oblaku za pretraživanje i analizu ranjivosti Qualys Vulnerability Management, na kojem je jedan od naših .
U nastavku ću pokazati kako je organizirano samo skeniranje i koje se informacije o ranjivostima mogu pronaći na temelju rezultata.
Što se može skenirati
Vanjske usluge. Za skeniranje servisa koji imaju pristup Internetu, klijent nam daje svoje IP adrese i vjerodajnice (ako je potrebno skeniranje s autentifikacijom). Usluge skeniramo putem Qualys oblaka i na temelju rezultata šaljemo izvješće.
Interne usluge. U tom slučaju skener traži ranjivosti u internim poslužiteljima i mrežnoj infrastrukturi. Pomoću takvog skeniranja možete popisivati verzije operativnih sustava, aplikacija, otvorenih portova i usluga iza njih.
Instaliran je Qualys skener za skeniranje unutar klijentove infrastrukture. Qualys oblak ovdje služi kao naredbeni centar za ovaj skener.
Osim internog poslužitelja s Qualysom, na skenirane objekte mogu se instalirati agenti (Cloud Agent). Prikupljaju informacije o sustavu lokalno i praktički ne opterećuju mrežu ili hostove na kojima rade. Primljene informacije šalju se u oblak.
Ovdje postoje tri važne točke: provjera autentičnosti i odabir objekata za skeniranje.
- Korištenje provjere autentičnosti. Neki klijenti traže skeniranje crne kutije, posebno za vanjske usluge: daju nam niz IP adresa bez navođenja sustava i kažu "budite poput hakera". Ali hakeri rijetko djeluju slijepo. Što se tiče napada (ne izviđanja), znaju što hakiraju.
Naslijepo, Qualys može naići na bannere mamce i skenirati ih umjesto ciljanog sustava. I bez razumijevanja što će se točno skenirati, lako je propustiti postavke skenera i "priložiti" uslugu koja se provjerava.
Skeniranje će biti korisnije ako provodite provjere autentičnosti ispred sustava koji se skeniraju (bijeli okvir). Na taj način skener će shvatiti odakle je došao, a vi ćete dobiti potpune podatke o ranjivostima ciljanog sustava.
Qualys ima mnogo opcija autentifikacije. - Sredstva grupe. Ako počnete skenirati sve odjednom i neselektivno, to će trajati dugo i stvoriti nepotrebno opterećenje sustava. Bolje je grupirati hostove i usluge u grupe na temelju važnosti, lokacije, verzije OS-a, kritičnosti infrastrukture i drugih karakteristika (u Qualysu se zovu Asset Groups i Asset Tags) i odabrati određenu grupu prilikom skeniranja.
- Odaberite tehnički prozor za skeniranje. Čak i ako ste razmišljali i pripremili se, skeniranje dodatno opterećuje sustav. To neće nužno prouzročiti degradaciju usluge, ali bolje je odabrati određeno vrijeme za to, poput sigurnosne kopije ili vraćanja ažuriranja.
Što možete naučiti iz izvješća?
Na temelju rezultata skeniranja, klijent dobiva izvješće koje će sadržavati ne samo popis svih pronađenih ranjivosti, već i osnovne preporuke za njihovo uklanjanje: ažuriranja, zakrpe itd. Qualys ima puno izvješća: postoje zadani predlošci i možete stvoriti vlastitu. Kako se ne biste zbunili u svoj raznolikosti, bolje je prvo sami odlučiti o sljedećim točkama:
- Tko će vidjeti ovo izvješće: voditelj ili tehnički stručnjak?
- koje informacije želite dobiti iz rezultata skeniranja? Na primjer, ako želite saznati jesu li sve potrebne zakrpe instalirane i kako se radi na uklanjanju prethodno pronađenih ranjivosti, onda je ovo jedno izvješće. Ako samo trebate napraviti popis svih domaćina, onda još jedan.
Ako je vaš zadatak prikazati kratku, ali jasnu sliku menadžmentu, onda možete formirati Izvršno izvješće. Sve ranjivosti bit će razvrstane u police, razine kritičnosti, grafikone i dijagrame. Na primjer, prvih 10 najkritičnijih ranjivosti ili najčešćih ranjivosti.
Za tehničara postoji Tehnička Prijava sa svim detaljima i detaljima. Mogu se generirati sljedeća izvješća:
Izvješće domaćina. Korisna stvar kada trebate napraviti popis svoje infrastrukture i dobiti potpunu sliku ranjivosti glavnog računala.
Ovako izgleda popis analiziranih hostova, pokazujući operativni sustav na njima.
Otvorimo host od interesa i pogledajmo popis od 219 pronađenih ranjivosti, počevši od najkritičnije, razine pet:
Zatim možete vidjeti detalje za svaku ranjivost. Ovdje vidimo:
- kada je ranjivost otkrivena prvi i zadnji put,
- brojevi industrijske ranjivosti,
- zakrpa za uklanjanje ranjivosti,
- postoje li problemi s usklađenošću s PCI DSS, NIST, itd.,
- postoji li zlonamjerni softver za ovu ranjivost,
- je li ranjivost otkrivena prilikom skeniranja s/bez provjere autentičnosti u sustavu itd.
Ako ovo nije prvo skeniranje - da, trebate skenirati redovito 🙂 - onda uz pomoć Izvješće o trendu Možete pratiti dinamiku rada s ranjivostima. Prikazat će se status ranjivosti u usporedbi s prethodnim skeniranjem: ranjivosti koje su ranije pronađene i zatvorene bit će označene kao popravljene, nezatvorene - aktivne, nove - nove.
Izvješće o ranjivosti. U ovom izvješću Qualys će sastaviti popis ranjivosti, počevši od najkritičnijih, naznačujući na kojem se hostu ta ranjivost može otkriti. Izvješće će biti korisno ako odlučite odmah razumjeti, na primjer, sve ranjivosti pete razine.
Također možete napraviti zasebno izvješće samo o ranjivostima četvrte i pete razine.
Izvješće o zakrpi. Ovdje možete vidjeti potpuni popis zakrpa koje je potrebno instalirati kako bi se uklonile pronađene ranjivosti. Za svaku zakrpu postoji objašnjenje koje ranjivosti popravlja, na kojem hostu/sustavu je potrebno instalirati i izravna poveznica za preuzimanje.
Izvješće o usklađenosti s PCI DSS. PCI DSS standard zahtijeva skeniranje informacijskih sustava i aplikacija dostupnih s Interneta svakih 90 dana. Nakon skeniranja možete generirati izvješće koje će pokazati koja infrastruktura ne zadovoljava zahtjeve standarda.
Izvješća o otklanjanju ranjivosti. Qualys se može integrirati sa servisnim stolom, a zatim će se sve pronađene ranjivosti automatski prevesti u karte. Pomoću ovog izvješća možete pratiti napredak na dovršenim ulaznicama i riješenim ranjivostima.
Otvori izvješća o lukama. Ovdje možete dobiti informacije o otvorenim portovima i servisima koji rade na njima:
ili generirajte izvješće o ranjivostima na svakom portu:
Ovo su samo standardni predlošci izvješća. Možete izraditi vlastite za određene zadatke, na primjer, prikazati samo ranjivosti ne niže od pete razine kritičnosti. Svi izvještaji su dostupni. Format izvješća: CSV, XML, HTML, PDF i docx.
I zapamtite: Sigurnost nije rezultat, već proces. Jednokratno skeniranje pomaže uočiti probleme u trenutku, ali ne radi se o potpunom procesu upravljanja ranjivostima.
Kako bismo vam olakšali odluku o ovom redovnom poslu, kreirali smo uslugu temeljenu na Qualys Vulnerability Managementu.
Za sve čitatelje Habra postoji akcija: Kada naručite uslugu skeniranja na godinu dana, dva mjeseca skeniranja su gratis. Prijave se mogu ostaviti , u polje “Komentar” napišite Habr.
Izvor: www.habr.com