脆弱になった経緯: Qualys を使用した IT インフラストラクチャのスキャン

みなさん、こんにちは！

今日は、脆弱性を検索および分析するためのクラウド ソリューション Qualys Vulnerability Management についてお話したいと思います。 サービス.

以下に、スキャン自体がどのように構成され、その結果に基づいて脆弱性に関するどのような情報が見つかるかを示します。

スキャンできるもの

外部サービス。 インターネットにアクセスできるサービスをスキャンするには、クライアントは IP アドレスと資格情報を提供します (認証を伴うスキャンが必要な場合)。 Qualys クラウドを使用してサービスをスキャンし、結果に基づいてレポートを送信します。

内部サービス。 この場合、スキャナーは内部サーバーとネットワーク インフラストラクチャの脆弱性を探します。 このようなスキャンを使用すると、オペレーティング システム、アプリケーション、オープン ポート、およびそれらの背後にあるサービスのバージョンをインベントリできます。

Qualys スキャナは、クライアントのインフラストラクチャ内をスキャンするためにインストールされます。 ここでは、Qualys クラウドがこのスキャナのコマンド センターとして機能します。

Qualys を備えた内部サーバーに加えて、スキャンされたオブジェクトにエージェント (クラウド エージェント) をインストールできます。 これらはシステムに関する情報をローカルで収集し、ネットワークや動作するホストに実質的に負荷を与えません。 受け取った情報はクラウドに送信されます。

ここで重要なポイントは XNUMX つあります。それは、認証とスキャンするオブジェクトの選択です。

1. 認証の使用。 一部のクライアントは、特に外部サービスに対してブラックボックス スキャンを要求します。彼らはシステムを特定せずにさまざまな IP アドレスを提供し、「ハッカーのようになれ」と言います。 しかし、ハッカーが盲目的に行動することはほとんどありません。 （偵察ではなく）攻撃に関しては、彼らは何をハッキングしているのかを知っています。 

   Qualys は、盲目的におとりバナーに遭遇し、ターゲット システムの代わりにそれをスキャンする可能性があります。 また、正確に何がスキャンされるのかを理解していないと、スキャナーの設定を見逃して、チェック対象のサービスを「接続」してしまう可能性があります。 

   スキャン対象のシステム (ホワイトボックス) の前で認証チェックを実行すると、スキャンの効果がさらに高まります。 こうすることで、スキャナーは情報がどこから来たのかを理解し、ターゲット システムの脆弱性に関する完全なデータを受け取ることができます。

   
   Qualys には多くの認証オプションがあります。

2. グループ資産。 すべてを一度に無差別にスキャンし始めると、時間がかかり、システムに不要な負荷がかかります。 重要性、場所、OS バージョン、インフラストラクチャの重要性、その他の特性 (Qualys では、これらはアセット グループおよびアセット タグと呼ばれます) に基づいてホストとサービスをグループにグループ化し、スキャン時に特定のグループを選択することをお勧めします。
3. スキャンするテクニカル ウィンドウを選択します。 考えて準備したとしても、スキャンによってシステムにさらなるストレスが生じます。 必ずしもサービスの低下を引き起こすわけではありませんが、バックアップや更新のロールオーバーなど、特定の時間を選択することをお勧めします。

レポートから何が学べるでしょうか?

スキャン結果に基づいて、クライアントは、見つかったすべての脆弱性のリストだけでなく、アップデートやパッチなど、脆弱性を排除するための基本的な推奨事項も含むレポートを受け取ります。Qualys には多くのレポートがあります。デフォルトのテンプレートがあり、自分で作成することもできます。 すべての多様性の中で混乱しないようにするには、まず次の点について自分で決めることをお勧めします。 

• このレポートを閲覧するのは誰ですか? マネージャーまたは技術専門家?
• スキャン結果からどのような情報を取得したいですか? たとえば、必要なパッチがすべてインストールされているかどうか、以前に見つかった脆弱性を排除するための作業がどのように行われているかを知りたい場合、これは XNUMX つのレポートです。 すべてのホストのインベントリを作成する必要があるだけの場合は、別のホストのインベントリを作成します。

管理者に簡潔だが明確な全体像を提示することがタスクの場合、次のような形式を作成できます。 エグゼクティブレポート。 すべての脆弱性は、棚、重要度のレベル、グラフ、図に分類されます。 たとえば、最も重大な脆弱性の上位 10 件や最も一般的な脆弱性などです。

技術者にとっては、 テクニカルレポート すべての詳細と詳細を含めて。 次のレポートを生成できます。

ホストレポート。 インフラストラクチャのインベントリを作成し、ホストの脆弱性の全体像を把握する必要がある場合に便利です。 

分析されたホストのリストは次のようになり、ホスト上で実行されている OS が示されます。

対象のホストを開いて、見つかった 219 件の脆弱性のリストを、最も重大なレベル XNUMX から順に見てみましょう。

その後、各脆弱性の詳細を確認できます。 ここで次のことがわかります。

• 脆弱性が最初に検出されたときと最後に検出されたとき、
• 産業上の脆弱性の数値、
• 脆弱性を解消するパッチ、
• PCI DSS、NISTなどへの準拠に問題はありますか?
• この脆弱性を悪用したマルウェアは存在しますか?
• システムの認証あり/なしでスキャンした際などに検出される脆弱性です。

これが最初のスキャンではない場合 - はい、定期的にスキャンする必要があります 🙂 - その後、ヘルプを使用してください 傾向レポート 脆弱性への対処のダイナミクスを追跡できます。 脆弱性のステータスは、前回のスキャンと比較して表示されます。以前に発見されクローズされた脆弱性は修正済み、クローズされていない脆弱性はアクティブ、新しい脆弱性は新規としてマークされます。

脆弱性レポート。 このレポートでは、Qualys は最も重大なものから順に脆弱性のリストを作成し、どのホストでこの脆弱性が発生するかを示します。 このレポートは、たとえば第 XNUMX レベルのすべての脆弱性をすぐに理解したい場合に役立ちます。

第 XNUMX レベルと第 XNUMX レベルの脆弱性のみを個別にレポートすることもできます。

パッチレポートです。 ここでは、見つかった脆弱性を排除するためにインストールする必要があるパッチの完全なリストを確認できます。 各パッチには、どのような脆弱性を修正するか、どのホスト/システムにインストールする必要があるか、および直接ダウンロード リンクが記載されています。

PCI DSS 準拠レポート。 PCI DSS 標準では、インターネットからアクセスできる情報システムとアプリケーションを 90 日ごとにスキャンすることが義務付けられています。 スキャン後、インフラストラクチャが標準の要件を満たしていないものを示すレポートを生成できます。

脆弱性修復レポート。 Qualys をサービス デスクと統合すると、見つかったすべての脆弱性が自動的にチケットに変換されます。 このレポートを使用すると、完了したチケットと解決された脆弱性の進捗状況を追跡できます。

オープンポートレポート。 ここでは、開いているポートとそこで実行されているサービスに関する情報を取得できます。

または、各ポートの脆弱性に関するレポートを生成します。

これらは単なる標準的なレポート テンプレートです。 たとえば、重大度の XNUMX 番目のレベル以上の脆弱性のみを表示するなど、特定のタスク用に独自の脆弱性を作成できます。 すべてのレポートが利用可能です。 レポート形式: CSV、XML、HTML、PDF、docx。

そして覚えておいてください： 安全は結果ではなくプロセスです。 XNUMX 回限りのスキャンは問題をその場で発見するのに役立ちますが、これは本格的な脆弱性管理プロセスに関するものではありません。
この定期的な作業を簡単に決定できるように、Qualys Vulnerability Management に基づいたサービスを作成しました。

すべての Habr 読者を対象としたプロモーションがあります。 XNUMX 年間のスキャン サービスを注文すると、XNUMX か月分のスキャンが無料になります。 アプリケーションは残せる ここで、「コメント」欄にHabrと書きます。

出所： habr.com