Hello!
Ma a sebezhetőségek keresésére és elemzésére szolgáló felhőmegoldásról szeretnék beszélni, a Qualys Vulnerability Managementről, amelyen az egyik
Az alábbiakban bemutatom, hogyan szerveződik maga a szkennelés, és az eredmények alapján milyen információk találhatók a sebezhetőségekről.
Mit lehet szkennelni
Külső szolgáltatások. Az internet-hozzáféréssel rendelkező szolgáltatások ellenőrzéséhez az ügyfél megadja nekünk IP-címét és hitelesítő adatait (ha szükséges a hitelesítéssel végzett vizsgálat). A Qualy felhő segítségével szkenneljük a szolgáltatásokat, és az eredmények alapján jelentést küldünk.
Belső szolgáltatások. Ebben az esetben a szkenner a belső szervereken és a hálózati infrastruktúrában keresi a sebezhetőséget. Egy ilyen vizsgálat segítségével leltározhatja a mögöttük lévő operációs rendszerek, alkalmazások, nyitott portok és szolgáltatások verzióit.
A Qualys szkenner telepítve van az ügyfél infrastruktúráján belüli vizsgálathoz. A Qualys felhő szolgál a szkenner vezérlőközpontjaként.
A Qualys belső kiszolgálón kívül ügynökök (Cloud Agent) is telepíthetők a szkennelt objektumokra. Helyi információkat gyűjtenek a rendszerről, és gyakorlatilag nem terhelik a hálózatot vagy a gazdagépeket, amelyeken működnek. A kapott információ a felhőbe kerül.
Három fontos pont van itt: hitelesítés és a vizsgálandó objektumok kiválasztása.
- A hitelesítés használata. Egyes ügyfelek feketedoboz-ellenőrzést kérnek, különösen külső szolgáltatások esetén: IP-címek tartományát adják meg a rendszer meghatározása nélkül, és azt mondják: „Légy olyan, mint egy hacker”. De a hackerek ritkán cselekszenek vakon. Ha támadásról van szó (nem felderítésről), tudják, mit hackelnek.
A Qualy vakon csalóka bannerekre bukkanhat, és a célrendszer helyett azokat szkennelheti. Anélkül pedig, hogy megértené, hogy pontosan mit kell vizsgálni, könnyen elmulasztja a szkenner beállításait, és „csatolja” az ellenőrzött szolgáltatást.
A szkennelés előnyösebb, ha hitelesítési ellenőrzéseket végez a vizsgált rendszerek előtt (fehér doboz). Így a szkenner megérti, honnan származik, és teljes körű adatokat kap a célrendszer sebezhetőségeiről.
A Qualys számos hitelesítési lehetőséget kínál. - Csoport eszközei. Ha mindent egyszerre és válogatás nélkül kezd el átvizsgálni, az sokáig tart, és feleslegesen megterheli a rendszereket. Jobb, ha a gazdagépeket és a szolgáltatásokat fontosság, hely, operációs rendszer verzió, infrastruktúra-kritikusság és egyéb jellemzők alapján csoportokba csoportosítjuk (a Qualysban ezeket eszközcsoportoknak és eszközcímkéknek nevezik), és szkenneléskor válasszon ki egy adott csoportot.
- Válasszon egy műszaki ablakot a vizsgálathoz. Még ha átgondolta és felkészült is, a szkennelés további stresszt okoz a rendszerben. Ez nem feltétlenül a szolgáltatás romlását okozza, de jobb, ha egy bizonyos időpontot választunk, például biztonsági mentéshez vagy frissítések átgörgetéséhez.
Mit tanulhatsz a jelentésekből?
A vizsgálat eredménye alapján a kliens egy olyan jelentést kap, amely nem csak az összes talált sebezhetőség listáját tartalmazza, hanem az alapvető ajánlásokat is azok megszüntetésére: frissítések, javítások stb. A Qualys rengeteg jelentést tartalmaz: vannak alapértelmezett sablonok, ill. létrehozhatja a sajátját. Annak érdekében, hogy ne keveredjen össze a sokféleségben, jobb, ha először maga dönt a következő pontokról:
- Ki fogja megnézni ezt a jelentést: vezető vagy műszaki szakember?
- milyen információkat szeretne kapni a vizsgálati eredményekből? Például, ha meg szeretné tudni, hogy az összes szükséges javítás telepítve van-e, és hogyan folyik a munka a korábban talált sebezhetőségek kiküszöbölése érdekében, akkor ez egy jelentés. Ha csak leltárt kell készítenie az összes gazdagépről, akkor egy másikat.
Ha az a feladata, hogy rövid, de világos képet mutasson a vezetőségnek, akkor formálhat Vezetői jelentés. Az összes sérülékenység polcokra, kritikussági szintekre, grafikonokra és diagramokra lesz rendezve. Például a 10 legkritikusabb biztonsági rést vagy a leggyakoribb sebezhetőséget.
Egy technikusnak van Technikai jelentés minden részlettel és részlettel. A következő jelentések készíthetők:
A házigazdák jelentése. Hasznos dolog, ha leltárt kell készítenie az infrastruktúráról, és teljes képet kell kapnia a gazdagép sebezhetőségeiről.
Így néz ki az elemzett gazdagépek listája, amely jelzi a rajtuk futó operációs rendszert.
Nyissuk meg az érdeklődési kört, és nézzük meg a 219 talált sebezhetőség listáját, a legkritikusabb, ötödik szinttől kezdve:
Ezután megtekintheti az egyes sebezhetőségek részleteit. Itt látjuk:
- amikor a sérülékenységet először és utoljára észlelték,
- ipari sebezhetőség száma,
- javítás a sebezhetőség megszüntetésére,
- van-e probléma a PCI DSS, NIST stb. megfeleléssel,
- létezik-e a biztonsági rés kihasználása és rosszindulatú programja,
- a rendszerben történő hitelesítéssel/hitelesítés nélkül végzett szkennelés során észlelt sebezhetőség stb.
Ha nem ez az első szkennelés - igen, rendszeresen kell szkennelni 🙂 - akkor a segítséggel Trend jelentés Nyomon követheti a sérülékenységekkel való munka dinamikáját. A sérülékenységek állapota az előző vizsgálathoz képest fog megjelenni: a korábban talált és lezárt sebezhetőségeket javítottnak, le nem zártnak - aktívnak, újnak - újnak jelöljük.
Sebezhetőségi jelentés. Ebben a jelentésben a Qualys összeállítja a sebezhetőségek listáját, a legkritikusabbakkal kezdve, jelezve, hogy melyik gazdagépen kell elkapni ezt a sérülékenységet. A jelentés akkor lesz hasznos, ha úgy dönt, hogy azonnal megérti például az ötödik szint összes sebezhetőségét.
Csak a negyedik és ötödik szint sebezhetőségeiről külön jelentést is készíthet.
Patch jelentés. Itt láthatja azon javítások teljes listáját, amelyeket telepíteni kell a talált sebezhetőségek kiküszöböléséhez. Minden javításhoz magyarázat tartozik, hogy milyen sebezhetőségeket javít ki, melyik gazdagépre/rendszerre kell telepíteni, valamint egy közvetlen letöltési hivatkozás.
PCI DSS megfelelőségi jelentés. A PCI DSS szabvány 90 naponként megköveteli az internetről elérhető információs rendszerek és alkalmazások szkennelését. A vizsgálat után jelentést készíthet, amely megmutatja, hogy az infrastruktúra mi nem felel meg a szabvány követelményeinek.
Sebezhetőség-elhárítási jelentések. A Qualys integrálható a szervizpulttal, majd az összes talált sebezhetőséget automatikusan jegyekké fordítják. Ezzel a jelentéssel nyomon követheti az elkészült jegyek és a kijavított sebezhetőségek előrehaladását.
Nyissa meg a portjelentéseket. Itt tájékozódhat a nyitott portokról és a rajtuk futó szolgáltatásokról:
vagy készítsen jelentést az egyes portokon található sebezhetőségekről:
Ezek csak szabványos jelentéssablonok. Adott feladatokhoz létrehozhat sajátot, például csak az ötödik kritikussági szintnél nem alacsonyabb sebezhetőségeket jelenítse meg. Minden jelentés elérhető. Jelentés formátuma: CSV, XML, HTML, PDF és docx.
És emlékezz: A biztonság nem eredmény, hanem folyamat. Az egyszeri vizsgálat segít a pillanatnyi problémák felismerésében, de itt nem egy teljes értékű sebezhetőség-kezelési folyamatról van szó.
Annak érdekében, hogy könnyebben dönthessen e szokásos munkáról, létrehoztunk egy szolgáltatást, amely a Qualys Vulnerability Management alapú.
Van egy promóció minden Habr olvasó számára: Ha egy évre rendel egy szkennelési szolgáltatást, két hónapig ingyenes a szkennelés. A jelentkezéseket el lehet hagyni
Forrás: will.com