Hello everyone!
Այսօր ես ուզում եմ խոսել ամպային լուծման մասին՝ խոցելիության որոնման և վերլուծության համար Qualys Vulnerability Management, որի վրա մեր .
Ստորև ես ցույց կտամ, թե ինչպես է կազմակերպվում սկանավորումը և ինչ տեղեկատվություն կարելի է գտնել խոցելիության վերաբերյալ արդյունքների հիման վրա:
Ինչ կարելի է սկանավորել
Արտաքին ծառայություններ. Ինտերնետ հասանելիություն ունեցող ծառայությունները սկանավորելու համար հաճախորդը մեզ տրամադրում է իրենց IP հասցեները և հավատարմագրերը (եթե անհրաժեշտ է նույնականացումով սկանավորում): Մենք սկանավորում ենք ծառայությունները՝ օգտագործելով Qualys ամպը և արդյունքների հիման վրա հաշվետվություն ենք ուղարկում:
Ներքին ծառայություններ. Այս դեպքում սկաները փնտրում է խոցելիություններ ներքին սերվերներում և ցանցային ենթակառուցվածքում: Օգտագործելով նման սկանավորում, դուք կարող եք գույքագրել օպերացիոն համակարգերի, հավելվածների, բաց նավահանգիստների և դրանց հետևում գտնվող ծառայությունների տարբերակները:
Հաճախորդի ենթակառուցվածքում սկանավորելու համար տեղադրված է Qualys սկաներ: Qualys ամպը այստեղ ծառայում է որպես այս սկաների հրամանատարական կենտրոն:
Բացի Qualys-ով ներքին սերվերից, գործակալներ (Cloud Agent) կարող են տեղադրվել սկանավորված օբյեկտների վրա: Նրանք հավաքում են տեղեկատվություն համակարգի մասին տեղական մակարդակում և գործնականում ոչ մի բեռ չեն ստեղծում ցանցի կամ հոսթների վրա, որոնց վրա նրանք աշխատում են: Ստացված տեղեկատվությունը ուղարկվում է ամպին:
Այստեղ երեք կարևոր կետ կա՝ նույնականացում և սկանավորվող օբյեկտների ընտրություն:
- Օգտագործելով վավերացում. Որոշ հաճախորդներ խնդրում են սկանավորել սև տուփը, հատկապես արտաքին ծառայությունների համար. նրանք մեզ տալիս են IP հասցեների մի շարք՝ չնշելով համակարգը և ասում են «եղիր հաքերի պես»: Սակայն հաքերները հազվադեպ են կուրորեն գործում: Երբ խոսքը վերաբերում է հարձակմանը (ոչ թե հետախուզությանը), նրանք գիտեն, թե ինչ են կոտրում:
Կուրորեն, Qualys-ը կարող է բախվել խաբեբաների վրա և սկանավորել դրանք թիրախային համակարգի փոխարեն: Եվ առանց հասկանալու, թե կոնկրետ ինչ է սկանավորվելու, հեշտ է բաց թողնել սկաների կարգավորումները և «կցել» ստուգվող ծառայությունը:
Սկանավորումն ավելի շահավետ կլինի, եթե սկանավորվող համակարգերի առջև կատարեք նույնականացման ստուգումներ (սպիտակ տուփ): Այս կերպ սկաները կհասկանա, թե որտեղից է այն եկել, և դուք կստանաք ամբողջական տվյալներ թիրախային համակարգի խոցելիության մասին:
Qualys-ն ունի նույնականացման բազմաթիվ տարբերակներ: - Խմբի ակտիվներ. Եթե դուք սկսեք սկանավորել ամեն ինչ միանգամից և անխտիր, դա երկար ժամանակ կպահանջի և ավելորդ ծանրաբեռնվածություն կստեղծի համակարգերի վրա: Ավելի լավ է հյուրընկալողներն ու ծառայությունները խմբավորել խմբերի` հիմնված կարևորության, գտնվելու վայրի, ՕՀ տարբերակի, ենթակառուցվածքի կարևորության և այլ բնութագրերի վրա (Qualys-ում դրանք կոչվում են Asset Groups և Asset Tags) և սկանավորելիս ընտրել որոշակի խումբ:
- Ընտրեք տեխնիկական պատուհան սկանավորման համար: Նույնիսկ եթե մտածել եք և պատրաստվել եք, սկանավորումը լրացուցիչ սթրես է ստեղծում համակարգի վրա: Դա պարտադիր չէ, որ առաջացնի ծառայության դեգրադացիա, բայց ավելի լավ է դրա համար որոշակի ժամանակ ընտրել, օրինակ՝ թարմացումների կրկնօրինակման կամ վերափոխման համար:
Ի՞նչ կարող եք սովորել զեկույցներից:
Սկանավորման արդյունքների հիման վրա հաճախորդը ստանում է հաշվետվություն, որը կպարունակի ոչ միայն հայտնաբերված բոլոր խոցելիությունների ցանկը, այլև դրանց վերացման հիմնական առաջարկությունները՝ թարմացումներ, պատչեր և այլն: Qualys-ն ունի բազմաթիվ հաշվետվություններ. կան լռելյայն ձևանմուշներ և դուք կարող եք ստեղծել ձեր սեփականը: Որպեսզի չշփոթվեք ամբողջ բազմազանության մեջ, ավելի լավ է նախ ինքներդ որոշեք հետևյալ կետերը.
- Ո՞վ է դիտելու այս հաշվետվությունը՝ մենեջե՞ր, թե տեխնիկական մասնագետ:
- ի՞նչ տեղեկատվություն եք ցանկանում ստանալ սկանավորման արդյունքներից: Օրինակ, եթե ցանկանում եք պարզել, թե արդյոք տեղադրված են բոլոր անհրաժեշտ կարկատանները և ինչպես են աշխատանքներ տարվում նախկինում հայտնաբերված խոցելիությունները վերացնելու համար, ապա սա մեկ զեկույց է: Եթե դուք պարզապես պետք է գույքագրեք բոլոր հյուրընկալողներին, ապա մեկ ուրիշը:
Եթե ձեր խնդիրն է կարճ, բայց հստակ պատկեր ցույց տալ ղեկավարությանը, ապա կարող եք ձևավորել Գործադիր հաշվետվություն. Բոլոր խոցելիությունները դասակարգվելու են դարակների, կրիտիկականության մակարդակների, գրաֆիկների և դիագրամների: Օրինակ՝ ամենակարևոր խոցելիության թոփ 10-ը կամ ամենատարածված խոցելիությունները:
Տեխնիկի համար կա Տեխնիկական հաշվետվություն բոլոր մանրամասներով և մանրամասներով։ Հետևյալ հաշվետվությունները կարող են ստեղծվել.
Հաղորդավարները հաղորդում են. Օգտակար բան, երբ անհրաժեշտ է գույքագրել ձեր ենթակառուցվածքը և ստանալ ամբողջական պատկերացում հյուրընկալողի խոցելիության մասին:
Ահա թե ինչ տեսք ունի վերլուծված հոսթերների ցանկը, որը ցույց է տալիս նրանց վրա աշխատող ՕՀ-ն։
Եկեք բացենք հետաքրքրությունների տիրույթը և տեսնենք հայտնաբերված 219 խոցելիության ցանկը, սկսած ամենակարևոր, հինգերորդ մակարդակից.
Այնուհետև կարող եք տեսնել յուրաքանչյուր խոցելիության մանրամասները: Այստեղ մենք տեսնում ենք.
- երբ խոցելիությունը հայտնաբերվեց առաջին և վերջին անգամ,
- արդյունաբերական խոցելիության համարներ,
- կարկատել՝ խոցելիությունը վերացնելու համար,
- կան արդյոք խնդիրներ PCI DSS-ի, NIST-ի և այլնի հետ կապված,
- կա՞ այս խոցելիության համար շահագործում և չարամիտ ծրագիր,
- խոցելիություն է, որը հայտնաբերվում է համակարգում նույնականացման միջոցով/առանց սկանավորման ժամանակ և այլն:
Եթե սա առաջին սկանավորումը չէ, այո, դուք պետք է պարբերաբար սկանավորեք 🙂, ապա օգնությամբ Trend Report Դուք կարող եք հետևել խոցելի կետերի հետ աշխատելու դինամիկային: Խոցելիության կարգավիճակը կցուցադրվի նախորդ սկանավորման համեմատ. ավելի վաղ հայտնաբերված և փակված խոցելիությունները կնշվեն որպես ֆիքսված, չփակվածները՝ ակտիվ, նորերը՝ նոր։
Խոցելիության հաշվետվություն. Այս զեկույցում Qualys-ը կստեղծի խոցելիության ցանկ՝ սկսած ամենակարևորներից՝ նշելով, թե որ հոսթից պետք է բռնել այս խոցելիությունը: Զեկույցը օգտակար կլինի, եթե որոշեք անմիջապես հասկանալ, օրինակ, հինգերորդ մակարդակի բոլոր խոցելիությունները։
Կարող եք նաև առանձին հաշվետվություն կազմել միայն չորրորդ և հինգերորդ մակարդակների խոցելիության վերաբերյալ։
Կարկատել հաշվետվություն. Այստեղ դուք կարող եք տեսնել կարկատների ամբողջական ցանկը, որոնք պետք է տեղադրվեն՝ հայտնաբերված խոցելիությունը վերացնելու համար: Յուրաքանչյուր պատչի համար կա բացատրություն, թե ինչ խոցելիություններ է այն ուղղում, որ հոսթի/համակարգի վրա պետք է տեղադրվի, և ուղղակի ներբեռնման հղում։
PCI DSS Համապատասխանության հաշվետվություն. PCI DSS ստանդարտը պահանջում է սկանավորել տեղեկատվական համակարգերը և հավելվածները, որոնք հասանելի են ինտերնետից յուրաքանչյուր 90 օրը մեկ: Սկանավորումից հետո դուք կարող եք ստեղծել հաշվետվություն, որը ցույց կտա, թե ինչ ենթակառուցվածքը չի համապատասխանում ստանդարտի պահանջներին:
Խոցելիության վերացման հաշվետվություններ. Qualys-ը կարող է ինտեգրվել սպասարկման սեղանին, այնուհետև հայտնաբերված բոլոր խոցելիությունները ավտոմատ կերպով կվերածվեն տոմսերի: Օգտագործելով այս զեկույցը՝ կարող եք հետևել ավարտված տոմսերի և լուծված խոցելիությունների առաջընթացին:
Բացել նավահանգստի հաշվետվությունները. Այստեղ դուք կարող եք տեղեկատվություն ստանալ բաց նավահանգիստների և դրանց վրա աշխատող ծառայությունների մասին.
կամ ստեղծեք հաշվետվություն յուրաքանչյուր նավահանգստի խոցելիության մասին.
Սրանք պարզապես ստանդարտ հաշվետվության ձևանմուշներ են: Դուք կարող եք ստեղծել ձեր սեփականը կոնկրետ առաջադրանքների համար, օրինակ՝ ցույց տալ միայն խոցելիությունը ոչ ցածր, քան քննադատության հինգերորդ մակարդակը: Բոլոր հաշվետվությունները հասանելի են: Հաշվետվության ձևաչափ՝ CSV, XML, HTML, PDF և docx:
Եվ հիշեք. Անվտանգությունը արդյունք չէ, այլ գործընթաց։ Միանգամյա սկանավորումն օգնում է տեսնել խնդիրները տվյալ պահին, սակայն խոսքը խոցելիության կառավարման ամբողջական գործընթացի մասին չէ:
Որպեսզի ձեզ համար ավելի հեշտ լինի այս սովորական աշխատանքի վերաբերյալ որոշում կայացնելը, մենք ստեղծել ենք ծառայություն՝ հիմնված Qualys Vulnerability Management-ի վրա:
Habr-ի բոլոր ընթերցողների համար կա ակցիա. Երբ դուք պատվիրում եք սկանավորման ծառայություն մեկ տարով, երկու ամիս սկանավորումն անվճար է: Դիմումները կարող են թողնել , «Մեկնաբանություն» դաշտում գրել Habr.
Source: www.habr.com