Hello!
Hari ini saya ingin berbicara tentang solusi cloud untuk mencari dan menganalisis kerentanan Manajemen Kerentanan Qualys, yang mana salah satu dari kami .
Di bawah ini saya akan menunjukkan bagaimana pemindaian itu sendiri diatur dan informasi kerentanan apa yang dapat ditemukan berdasarkan hasilnya.
Apa yang bisa dipindai
Pelayanan luar. Untuk memindai layanan yang memiliki akses ke Internet, klien memberi kami alamat IP dan kredensial mereka (jika diperlukan pemindaian dengan otentikasi). Kami memindai layanan menggunakan cloud Qualys dan mengirimkan laporan berdasarkan hasilnya.
Layanan internal. Dalam hal ini, pemindai mencari kerentanan di server internal dan infrastruktur jaringan. Dengan menggunakan pemindaian seperti itu, Anda dapat menginventarisasi versi sistem operasi, aplikasi, port terbuka, dan layanan di belakangnya.
Pemindai Qualys dipasang untuk memindai dalam infrastruktur klien. Cloud Qualys berfungsi sebagai pusat komando untuk pemindai ini di sini.
Selain server internal dengan Qualys, agen (Agen Cloud) dapat diinstal pada objek yang dipindai. Mereka mengumpulkan informasi tentang sistem secara lokal dan hampir tidak menimbulkan beban pada jaringan atau host tempat mereka beroperasi. Informasi yang diterima dikirim ke cloud.
Ada tiga poin penting di sini: otentikasi dan pemilihan objek yang akan dipindai.
- Menggunakan Otentikasi. Beberapa klien meminta pemindaian blackbox, terutama untuk layanan eksternal: mereka memberi kami rentang alamat IP tanpa menentukan sistemnya dan berkata βjadilah seperti peretas.β Namun peretas jarang bertindak membabi buta. Jika menyangkut serangan (bukan pengintaian), mereka tahu apa yang sedang mereka retas.
Secara membabi buta, Qualys mungkin menemukan spanduk umpan dan memindainya alih-alih sistem target. Dan tanpa memahami apa sebenarnya yang akan dipindai, sangat mudah untuk melewatkan pengaturan pemindai dan βmelampirkanβ layanan yang sedang diperiksa.
Pemindaian akan lebih bermanfaat jika Anda melakukan pemeriksaan otentikasi di depan sistem yang dipindai (kotak putih). Dengan cara ini pemindai akan memahami dari mana asalnya, dan Anda akan menerima data lengkap tentang kerentanan sistem target.
Qualys memiliki banyak opsi otentikasi. - Aset grup. Jika Anda mulai memindai semuanya sekaligus dan tanpa pandang bulu, ini akan memakan waktu lama dan menimbulkan beban yang tidak perlu pada sistem. Lebih baik mengelompokkan host dan layanan ke dalam kelompok berdasarkan kepentingan, lokasi, versi OS, kekritisan infrastruktur, dan karakteristik lainnya (di Qualys disebut Grup Aset dan Tag Aset) dan memilih grup tertentu saat memindai.
- Pilih jendela teknis untuk dipindai. Sekalipun Anda telah berpikir dan bersiap, pemindaian menimbulkan tekanan tambahan pada sistem. Ini tidak serta merta menyebabkan penurunan layanan, namun lebih baik memilih waktu tertentu untuk itu, seperti untuk pencadangan atau rollover pembaruan.
Apa yang dapat Anda pelajari dari laporan tersebut?
Berdasarkan hasil pemindaian, klien menerima laporan yang tidak hanya berisi daftar semua kerentanan yang ditemukan, tetapi juga rekomendasi dasar untuk menghilangkannya: pembaruan, tambalan, dll. Qualys memiliki banyak laporan: ada templat default, dan Anda dapat membuatnya sendiri. Agar tidak bingung dengan segala keragamannya, ada baiknya putuskan sendiri dulu poin-poin berikut ini:
- Siapa yang akan melihat laporan ini: manajer atau spesialis teknis?
- informasi apa yang ingin anda peroleh dari hasil scan tersebut? Misalnya, jika Anda ingin mengetahui apakah semua patch yang diperlukan telah diinstal dan bagaimana pekerjaan dilakukan untuk menghilangkan kerentanan yang ditemukan sebelumnya, maka ini adalah salah satu laporannya. Jika Anda hanya perlu menginventarisasi semua host, maka yang lain.
Jika tugas Anda adalah menunjukkan gambaran singkat namun jelas kepada manajemen, maka Anda dapat membentuknya Laporan Eksekutif. Semua kerentanan akan diurutkan ke dalam rak, tingkat kekritisan, grafik dan diagram. Misalnya, 10 kerentanan paling kritis atau kerentanan paling umum.
Untuk teknisi ada Laporan teknikal dengan semua detail dan detailnya. Laporan berikut dapat dihasilkan:
Laporan tuan rumah. Hal yang berguna ketika Anda perlu menginventarisasi infrastruktur Anda dan mendapatkan gambaran lengkap tentang kerentanan host.
Seperti inilah daftar host yang dianalisis, yang menunjukkan OS yang berjalan pada host tersebut.
Mari kita buka host yang menarik dan lihat daftar 219 kerentanan yang ditemukan, mulai dari yang paling kritis, level lima:
Kemudian Anda dapat melihat detail setiap kerentanan. Di sini kita melihat:
- ketika kerentanan terdeteksi untuk pertama dan terakhir kalinya,
- angka kerentanan industri,
- patch untuk menghilangkan kerentanan,
- apakah ada masalah dengan kepatuhan terhadap PCI DSS, NIST, dll.,
- apakah ada eksploitasi dan malware untuk kerentanan ini,
- adalah kerentanan yang terdeteksi saat memindai dengan/tanpa otentikasi di sistem, dll.
Jika ini bukan pemindaian pertama - ya, Anda perlu memindai secara teratur π - kemudian dengan bantuan Laporan Tren Anda dapat menelusuri dinamika penanganan kerentanan. Status kerentanan akan ditampilkan dibandingkan dengan pemindaian sebelumnya: kerentanan yang ditemukan sebelumnya dan ditutup akan ditandai sebagai diperbaiki, kerentanan yang belum ditutup akan ditandai sebagai aktif, dan kerentanan baru akan ditandai sebagai baru.
Laporan kerentanan. Dalam laporan ini, Qualys akan membuat daftar kerentanan, dimulai dari yang paling kritis, yang menunjukkan host mana yang akan digunakan untuk mendeteksi kerentanan ini. Laporan ini akan berguna jika Anda memutuskan untuk segera memahami, misalnya, semua kerentanan tingkat kelima.
Anda juga dapat membuat laporan terpisah hanya pada kerentanan tingkat keempat dan kelima.
Laporan tambalan. Di sini Anda dapat melihat daftar lengkap patch yang perlu diinstal untuk menghilangkan kerentanan yang ditemukan. Untuk setiap patch terdapat penjelasan kerentanan apa yang diperbaiki, host/sistem mana yang perlu diinstal, dan link download langsung.
Laporan Kepatuhan PCI DSS. Standar PCI DSS mengharuskan pemindaian sistem informasi dan aplikasi yang dapat diakses dari Internet setiap 90 hari. Setelah pemindaian, Anda dapat membuat laporan yang menunjukkan infrastruktur mana yang tidak memenuhi persyaratan standar.
Laporan Remediasi Kerentanan. Qualys dapat diintegrasikan dengan meja layanan, dan kemudian semua kerentanan yang ditemukan akan secara otomatis diterjemahkan ke dalam tiket. Dengan menggunakan laporan ini, Anda dapat melacak kemajuan pada tiket yang telah diselesaikan dan mengatasi kerentanan.
Buka laporan port. Di sini Anda dapat memperoleh informasi tentang port terbuka dan layanan yang berjalan pada port tersebut:
atau buat laporan tentang kerentanan pada setiap port:
Ini hanyalah templat laporan standar. Anda dapat membuatnya sendiri untuk tugas tertentu, misalnya, hanya menampilkan kerentanan tidak lebih rendah dari tingkat kekritisan kelima. Semua laporan tersedia. Format laporan: CSV, XML, HTML, PDF, dan docx.
Dan ingatlah: Keselamatan bukanlah sebuah hasil, namun sebuah proses. Pemindaian satu kali membantu melihat masalah pada saat itu, tetapi ini bukan tentang proses manajemen kerentanan yang menyeluruh.
Untuk memudahkan Anda memutuskan pekerjaan rutin ini, kami telah membuat layanan berdasarkan Manajemen Kerentanan Qualys.
Ada promosi untuk semua pembaca Habr: Jika Anda memesan layanan pemindaian selama satu tahun, pemindaian dua bulan gratis. Aplikasi dapat ditinggalkan , pada kolom βKomentarβ tulis Habr.
Sumber: www.habr.com