Ciao a tutti!
Oggi voglio parlarvi della soluzione cloud per la ricerca e l'analisi delle vulnerabilità Qualys Vulnerability Management, sulla quale uno dei nostri .
Di seguito mostrerò come è organizzata la scansione stessa e quali informazioni sulle vulnerabilità si possono trovare in base ai risultati.
Cosa può essere scansionato
Servizi esterni. Per scansionare i servizi che hanno accesso a Internet, il client ci fornisce i propri indirizzi IP e credenziali (se è necessaria una scansione con autenticazione). Effettuiamo la scansione dei servizi utilizzando il cloud Qualys e inviamo un report basato sui risultati.
Servizi interni. In questo caso, lo scanner cerca le vulnerabilità nei server interni e nell'infrastruttura di rete. Utilizzando tale scansione, è possibile inventariare le versioni dei sistemi operativi, delle applicazioni, delle porte aperte e dei servizi dietro di essi.
Viene installato uno scanner Qualys per eseguire la scansione all'interno dell'infrastruttura del cliente. Il cloud Qualys funge da centro di comando per questo scanner qui.
Oltre al server interno con Qualys, sugli oggetti scansionati è possibile installare agenti (Cloud Agent). Raccolgono informazioni sul sistema localmente e non creano praticamente alcun carico sulla rete o sugli host su cui operano. Le informazioni ricevute vengono inviate al cloud.
Ci sono tre punti importanti qui: autenticazione e selezione degli oggetti da scansionare.
- Utilizzo dell'autenticazione. Alcuni clienti chiedono la scansione della blackbox, soprattutto per i servizi esterni: ci danno una serie di indirizzi IP senza specificare il sistema e dicono “sii come un hacker”. Ma gli hacker raramente agiscono alla cieca. Quando si tratta di attacco (non di ricognizione), sanno cosa stanno hackerando.
Alla cieca, Qualys potrebbe imbattersi in banner esca e scansionarli invece del sistema di destinazione. E senza capire esattamente cosa verrà scansionato, è facile non notare le impostazioni dello scanner e "allegare" il servizio da controllare.
La scansione sarà più vantaggiosa se si eseguono controlli di autenticazione davanti ai sistemi sottoposti a scansione (whitebox). In questo modo lo scanner capirà da dove proviene e riceverai dati completi sulle vulnerabilità del sistema di destinazione.
Qualys dispone di numerose opzioni di autenticazione. - Beni del gruppo. Se inizi a scansionare tutto in una volta e indiscriminatamente, ci vorrà molto tempo e creerai un carico inutile sui sistemi. È meglio raggruppare host e servizi in gruppi in base a importanza, posizione, versione del sistema operativo, criticità dell'infrastruttura e altre caratteristiche (in Qualys sono chiamati Gruppi di risorse e Tag di risorse) e selezionare un gruppo specifico durante la scansione.
- Seleziona una finestra tecnica da scansionare. Anche se hai pensato e preparato, la scansione crea ulteriore stress al sistema. Ciò non causerà necessariamente un degrado del servizio, ma è meglio scegliere un determinato orario, ad esempio per un backup o un rollover degli aggiornamenti.
Cosa puoi imparare dai rapporti?
In base ai risultati della scansione, il cliente riceve un rapporto che conterrà non solo un elenco di tutte le vulnerabilità rilevate, ma anche consigli di base per eliminarle: aggiornamenti, patch, ecc. Qualys ha molti rapporti: ci sono modelli predefiniti e puoi crearne uno tuo. Per non confondersi in tutta la diversità, è meglio decidere prima da soli i seguenti punti:
- Chi visualizzerà questo rapporto: un manager o uno specialista tecnico?
- quali informazioni desideri ottenere dai risultati della scansione? Ad esempio, se desideri scoprire se sono installate tutte le patch necessarie e come viene svolto il lavoro per eliminare le vulnerabilità rilevate in precedenza, questo è un rapporto. Se hai solo bisogno di fare un inventario di tutti gli host, allora un altro.
Se il tuo compito è mostrare un'immagine breve ma chiara alla direzione, puoi formare Relazione esecutiva. Tutte le vulnerabilità verranno ordinate in scaffali, livelli di criticità, grafici e diagrammi. Ad esempio, le 10 principali vulnerabilità più critiche o le vulnerabilità più comuni.
Per un tecnico c'è Relazione tecnica con tutti i dettagli e i dettagli. È possibile generare i seguenti report:
Segnalazione degli host. Una cosa utile quando è necessario fare un inventario della propria infrastruttura e ottenere un quadro completo delle vulnerabilità dell'host.
Questo è l'aspetto dell'elenco degli host analizzati, che indica il sistema operativo in esecuzione su di essi.
Apriamo l'host di interesse e vediamo l'elenco delle 219 vulnerabilità rilevate, partendo dalla più critica, livello cinque:
Quindi puoi vedere i dettagli per ciascuna vulnerabilità. Qui vediamo:
- quando la vulnerabilità è stata rilevata per la prima e l'ultima volta,
- numeri sulla vulnerabilità industriale,
- patch per eliminare la vulnerabilità,
- ci sono problemi con la conformità a PCI DSS, NIST, ecc.,
- esiste un exploit e un malware per questa vulnerabilità,
- è una vulnerabilità rilevata durante la scansione con/senza autenticazione nel sistema, ecc.
Se questa non è la prima scansione - sì, devi scansionarla regolarmente 🙂 - allora con l'aiuto Rapporto di tendenza Puoi tracciare le dinamiche del lavoro con le vulnerabilità. Lo stato delle vulnerabilità verrà mostrato rispetto alla scansione precedente: le vulnerabilità trovate in precedenza e chiuse verranno contrassegnate come riparate, non chiuse - attive, nuove - nuove.
Rapporto sulla vulnerabilità. In questo report, Qualys creerà un elenco di vulnerabilità, iniziando da quella più critica, indicando su quale host rilevare questa vulnerabilità. Il report ti sarà utile se deciderai di comprendere subito, ad esempio, tutte le vulnerabilità del quinto livello.
Puoi anche effettuare una segnalazione separata solo sulle vulnerabilità del quarto e quinto livello.
Rapporto sulla patch. Qui puoi vedere un elenco completo delle patch che devono essere installate per eliminare le vulnerabilità rilevate. Per ogni patch c'è una spiegazione di quali vulnerabilità risolve, su quale host/sistema deve essere installata e un collegamento per il download diretto.
Rapporto sulla conformità PCI DSS. Lo standard PCI DSS richiede la scansione dei sistemi informativi e delle applicazioni accessibili da Internet ogni 90 giorni. Dopo la scansione, è possibile generare un report che mostrerà cosa l'infrastruttura non soddisfa i requisiti dello standard.
Rapporti sulla risoluzione delle vulnerabilità. Qualys può essere integrato con il service desk e tutte le vulnerabilità rilevate verranno automaticamente tradotte in ticket. Utilizzando questo report, puoi tenere traccia dei progressi sui ticket completati e sulle vulnerabilità risolte.
Rapporti sui porti aperti. Qui puoi ottenere informazioni sulle porte aperte e sui servizi in esecuzione su di esse:
oppure generare un report sulle vulnerabilità su ciascuna porta:
Questi sono solo modelli di report standard. Puoi crearne uno tuo per attività specifiche, ad esempio mostrare solo le vulnerabilità non inferiori al quinto livello di criticità. Tutti i rapporti sono disponibili. Formato del report: CSV, XML, HTML, PDF e docx.
E ricorda: La sicurezza non è un risultato, ma un processo. Una scansione una tantum aiuta a individuare i problemi nel momento, ma non si tratta di un processo di gestione delle vulnerabilità completo.
Per facilitarti la scelta di questo lavoro regolare, abbiamo creato un servizio basato su Qualys Vulnerability Management.
C'è una promozione per tutti i lettori di Habr: Quando ordini un servizio di scansione per un anno, due mesi di scansioni sono gratuiti. Le candidature possono essere lasciate , nel campo “Commento” scrivi Habr.
Fonte: habr.com