Hogyan lettem sebezhető: IT-infrastruktúra vizsgálata a Qualys segítségével

Hello!

Ma a sebezhetőségek keresésére és elemzésére szolgáló felhőmegoldásról szeretnék beszélni, a Qualys Vulnerability Managementről, amelyen az egyik szolgáltatások.

Az alábbiakban bemutatom, hogyan szerveződik maga a szkennelés, és az eredmények alapján milyen információk találhatók a sebezhetőségekről.

Mit lehet szkennelni

Külső szolgáltatások. Az internet-hozzáféréssel rendelkező szolgáltatások ellenőrzéséhez az ügyfél megadja nekünk IP-címét és hitelesítő adatait (ha szükséges a hitelesítéssel végzett vizsgálat). A Qualy felhő segítségével szkenneljük a szolgáltatásokat, és az eredmények alapján jelentést küldünk.

Belső szolgáltatások. Ebben az esetben a szkenner a belső szervereken és a hálózati infrastruktúrában keresi a sebezhetőséget. Egy ilyen vizsgálat segítségével leltározhatja a mögöttük lévő operációs rendszerek, alkalmazások, nyitott portok és szolgáltatások verzióit.

A Qualys szkenner telepítve van az ügyfél infrastruktúráján belüli vizsgálathoz. A Qualys felhő szolgál a szkenner vezérlőközpontjaként.

A Qualys belső kiszolgálón kívül ügynökök (Cloud Agent) is telepíthetők a szkennelt objektumokra. Helyi információkat gyűjtenek a rendszerről, és gyakorlatilag nem terhelik a hálózatot vagy a gazdagépeket, amelyeken működnek. A kapott információ a felhőbe kerül.

Három fontos pont van itt: hitelesítés és a vizsgálandó objektumok kiválasztása.

1. A hitelesítés használata. Egyes ügyfelek feketedoboz-ellenőrzést kérnek, különösen külső szolgáltatások esetén: IP-címek tartományát adják meg a rendszer meghatározása nélkül, és azt mondják: „Légy olyan, mint egy hacker”. De a hackerek ritkán cselekszenek vakon. Ha támadásról van szó (nem felderítésről), tudják, mit hackelnek. 

   A Qualy vakon csalóka bannerekre bukkanhat, és a célrendszer helyett azokat szkennelheti. Anélkül pedig, hogy megértené, hogy pontosan mit kell vizsgálni, könnyen elmulasztja a szkenner beállításait, és „csatolja” az ellenőrzött szolgáltatást. 

   A szkennelés előnyösebb, ha hitelesítési ellenőrzéseket végez a vizsgált rendszerek előtt (fehér doboz). Így a szkenner megérti, honnan származik, és teljes körű adatokat kap a célrendszer sebezhetőségeiről.

   
   A Qualys számos hitelesítési lehetőséget kínál.

2. Csoport eszközei. Ha mindent egyszerre és válogatás nélkül kezd el átvizsgálni, az sokáig tart, és feleslegesen megterheli a rendszereket. Jobb, ha a gazdagépeket és a szolgáltatásokat fontosság, hely, operációs rendszer verzió, infrastruktúra-kritikusság és egyéb jellemzők alapján csoportokba csoportosítjuk (a Qualysban ezeket eszközcsoportoknak és eszközcímkéknek nevezik), és szkenneléskor válasszon ki egy adott csoportot.
3. Válasszon egy műszaki ablakot a vizsgálathoz. Még ha átgondolta és felkészült is, a szkennelés további stresszt okoz a rendszerben. Ez nem feltétlenül a szolgáltatás romlását okozza, de jobb, ha egy bizonyos időpontot választunk, például biztonsági mentéshez vagy frissítések átgörgetéséhez.

Mit tanulhatsz a jelentésekből?

A vizsgálat eredménye alapján a kliens egy olyan jelentést kap, amely nem csak az összes talált sebezhetőség listáját tartalmazza, hanem az alapvető ajánlásokat is azok megszüntetésére: frissítések, javítások stb. A Qualys rengeteg jelentést tartalmaz: vannak alapértelmezett sablonok, ill. létrehozhatja a sajátját. Annak érdekében, hogy ne keveredjen össze a sokféleségben, jobb, ha először maga dönt a következő pontokról: 

• Ki fogja megnézni ezt a jelentést: vezető vagy műszaki szakember?
• milyen információkat szeretne kapni a vizsgálati eredményekből? Például, ha meg szeretné tudni, hogy az összes szükséges javítás telepítve van-e, és hogyan folyik a munka a korábban talált sebezhetőségek kiküszöbölése érdekében, akkor ez egy jelentés. Ha csak leltárt kell készítenie az összes gazdagépről, akkor egy másikat.

Ha az a feladata, hogy rövid, de világos képet mutasson a vezetőségnek, akkor formálhat Vezetői jelentés. Az összes sérülékenység polcokra, kritikussági szintekre, grafikonokra és diagramokra lesz rendezve. Például a 10 legkritikusabb biztonsági rést vagy a leggyakoribb sebezhetőséget.

Egy technikusnak van Technikai jelentés minden részlettel és részlettel. A következő jelentések készíthetők:

A házigazdák jelentése. Hasznos dolog, ha leltárt kell készítenie az infrastruktúráról, és teljes képet kell kapnia a gazdagép sebezhetőségeiről. 

Így néz ki az elemzett gazdagépek listája, amely jelzi a rajtuk futó operációs rendszert.

Nyissuk meg az érdeklődési kört, és nézzük meg a 219 talált sebezhetőség listáját, a legkritikusabb, ötödik szinttől kezdve:

Ezután megtekintheti az egyes sebezhetőségek részleteit. Itt látjuk:

• amikor a sérülékenységet először és utoljára észlelték,
• ipari sebezhetőség száma,
• javítás a sebezhetőség megszüntetésére,
• van-e probléma a PCI DSS, NIST stb. megfeleléssel,
• létezik-e a biztonsági rés kihasználása és rosszindulatú programja,
• a rendszerben történő hitelesítéssel/hitelesítés nélkül végzett szkennelés során észlelt sebezhetőség stb.

Ha nem ez az első szkennelés - igen, rendszeresen kell szkennelni 🙂 - akkor a segítséggel Trend jelentés Nyomon követheti a sérülékenységekkel való munka dinamikáját. A sérülékenységek állapota az előző vizsgálathoz képest fog megjelenni: a korábban talált és lezárt sebezhetőségeket javítottnak, le nem zártnak - aktívnak, újnak - újnak jelöljük.

Sebezhetőségi jelentés. Ebben a jelentésben a Qualys összeállítja a sebezhetőségek listáját, a legkritikusabbakkal kezdve, jelezve, hogy melyik gazdagépen kell elkapni ezt a sérülékenységet. A jelentés akkor lesz hasznos, ha úgy dönt, hogy azonnal megérti például az ötödik szint összes sebezhetőségét.

Csak a negyedik és ötödik szint sebezhetőségeiről külön jelentést is készíthet.

Patch jelentés. Itt láthatja azon javítások teljes listáját, amelyeket telepíteni kell a talált sebezhetőségek kiküszöböléséhez. Minden javításhoz magyarázat tartozik, hogy milyen sebezhetőségeket javít ki, melyik gazdagépre/rendszerre kell telepíteni, valamint egy közvetlen letöltési hivatkozás.

PCI DSS megfelelőségi jelentés. A PCI DSS szabvány 90 naponként megköveteli az internetről elérhető információs rendszerek és alkalmazások szkennelését. A vizsgálat után jelentést készíthet, amely megmutatja, hogy az infrastruktúra mi nem felel meg a szabvány követelményeinek.

Sebezhetőség-elhárítási jelentések. A Qualys integrálható a szervizpulttal, majd az összes talált sebezhetőséget automatikusan jegyekké fordítják. Ezzel a jelentéssel nyomon követheti az elkészült jegyek és a kijavított sebezhetőségek előrehaladását.

Nyissa meg a portjelentéseket. Itt tájékozódhat a nyitott portokról és a rajtuk futó szolgáltatásokról:

vagy készítsen jelentést az egyes portokon található sebezhetőségekről:

Ezek csak szabványos jelentéssablonok. Adott feladatokhoz létrehozhat sajátot, például csak az ötödik kritikussági szintnél nem alacsonyabb sebezhetőségeket jelenítse meg. Minden jelentés elérhető. Jelentés formátuma: CSV, XML, HTML, PDF és docx.

És emlékezz: A biztonság nem eredmény, hanem folyamat. Az egyszeri vizsgálat segít a pillanatnyi problémák felismerésében, de itt nem egy teljes értékű sebezhetőség-kezelési folyamatról van szó.
Annak érdekében, hogy könnyebben dönthessen e szokásos munkáról, létrehoztunk egy szolgáltatást, amely a Qualys Vulnerability Management alapú.

Van egy promóció minden Habr olvasó számára: Ha egy évre rendel egy szkennelési szolgáltatást, két hónapig ingyenes a szkennelés. A jelentkezéseket el lehet hagyni itt, a „Megjegyzés” mezőbe írja be a Habr.

Forrás: will.com