Привет!
Бүгін мен Qualys осалдықтарын басқарудың осалдықтарын іздеуге және талдауға арналған бұлттық шешім туралы сөйлескім келеді, бұл біздің бірі. .
Төменде мен сканерлеудің өзі қалай ұйымдастырылғанын және нәтижелер негізінде осалдықтар туралы қандай ақпаратты табуға болатынын көрсетемін.
Нені сканерлеуге болады
Сыртқы қызметтер. Интернетке кіру мүмкіндігі бар қызметтерді сканерлеу үшін клиент бізге IP мекенжайлары мен тіркелгі деректерін береді (аутентификациямен сканерлеу қажет болса). Біз Qualys бұлтының көмегімен қызметтерді сканерлейміз және нәтижелер негізінде есеп жібереміз.
Ішкі қызметтер. Бұл жағдайда сканер ішкі серверлер мен желілік инфрақұрылымдағы осалдықтарды іздейді. Осындай сканерлеуді пайдалана отырып, операциялық жүйелердің нұсқаларын, қолданбаларды, ашық порттарды және олардың артындағы қызметтерді түгендеуге болады.
Клиенттің инфрақұрылымында сканерлеу үшін Qualys сканері орнатылған. Qualys бұлты осында осы сканер үшін пәрмен орталығы ретінде қызмет етеді.
Qualys бағдарламасы бар ішкі серверге қосымша сканерленген нысандарға агенттерді (Cloud Agent) орнатуға болады. Олар жүйе туралы ақпаратты жергілікті түрде жинайды және желіде немесе олар жұмыс істейтін хосттарда іс жүзінде ешқандай жүктеме жасамайды. Алынған ақпарат бұлтқа жіберіледі.
Мұнда үш маңызды тармақ бар: аутентификация және сканерлеуге арналған нысандарды таңдау.
- Аутентификацияны пайдалану. Кейбір клиенттер қара жәшікті сканерлеуді сұрайды, әсіресе сыртқы қызметтер үшін: олар жүйені көрсетпестен бізге IP мекенжайларының ауқымын береді және «хакер сияқты бол» дейді. Бірақ хакерлер сирек соқыр әрекет етеді. Шабуылға келгенде (барлау емес), олар не бұзып жатқанын біледі.
Соқыр түрде, Qualys алдамшы баннерлерге тап болып, мақсатты жүйенің орнына оларды сканерлеуі мүмкін. Нақты не сканерленетінін түсінбестен, сканер параметрлерін жіберіп алу және тексерілетін қызметті «тіркеу» оңай.
Егер сканерленетін жүйелердің (ақ жәшік) алдында аутентификация тексерулерін орындасаңыз, сканерлеу тиімдірек болады. Осылайша сканер оның қайдан келгенін түсінеді және сіз мақсатты жүйенің осалдықтары туралы толық деректерді аласыз.
Qualys-те көптеген аутентификация опциялары бар. - Топтық активтер. Егер сіз барлығын бірден және таңдаусыз сканерлей бастасаңыз, бұл көп уақытты алады және жүйелерге қажетсіз жүктеме жасайды. Маңыздылығы, орналасқан жері, ОЖ нұсқасы, инфрақұрылымның маңыздылығы және басқа сипаттамалар негізінде хосттар мен қызметтерді топтарға топтаған дұрыс (Qualys-те олар активтер топтары және активтер тегтері деп аталады) және сканерлеу кезінде белгілі бір топты таңдаңыз.
- Сканерлеу үшін техникалық терезені таңдаңыз. Ойланып, дайындалған болсаңыз да, сканерлеу жүйеде қосымша стресс тудырады. Бұл міндетті түрде қызметтің нашарлауына әкелмейді, бірақ ол үшін сақтық көшірме жасау немесе жаңартуларды ауыстыру сияқты белгілі бір уақытты таңдаған дұрыс.
Есептерден не білуге болады?
Сканерлеу нәтижелерінің негізінде клиент барлық табылған осалдықтардың тізімін ғана емес, сонымен қатар оларды жою бойынша негізгі ұсыныстарды қамтитын есепті алады: жаңартулар, патчтар және т.б. Qualys-те көптеген есептер бар: әдепкі үлгілер бар және сіз өзіңізді жасай аласыз. Барлық әртүрлілікте шатастырмау үшін алдымен келесі тармақтарды өзіңіз шешкеніңіз жөн:
- Бұл есепті кім қарайды: менеджер немесе техникалық маман?
- сканерлеу нәтижелерінен қандай ақпаратты алғыңыз келеді? Мысалы, барлық қажетті патчтардың орнатылғанын және бұрын табылған осалдықтарды жою бойынша жұмыс қалай жүргізіліп жатқанын білгіңіз келсе, бұл бір есеп. Егер сізге барлық хосттарды түгендеу қажет болса, онда басқа.
Егер сіздің міндетіңіз басшылыққа қысқа, бірақ анық суретті көрсету болса, онда сіз қалыптастыра аласыз Атқарушы есеп. Барлық осалдықтар сөрелерге, маңыздылық деңгейлеріне, графиктерге және диаграммаларға сұрыпталады. Мысалы, ең маңызды 10 осалдық немесе ең көп таралған осалдықтар.
Техник үшін бар Техникалық есеп барлық мәліметтер мен мәліметтермен. Келесі есептерді шығаруға болады:
Хостшылар есеп береді. Инфрақұрылымды түгендеу және хост осалдықтарының толық бейнесін алу қажет болғанда пайдалы нәрсе.
Талданатын хосттардың тізімі осылай көрінеді, оларда жұмыс істейтін ОЖ көрсетіледі.
Қызығушылықтар тобын ашайық және ең маңызды бесінші деңгейден бастап табылған 219 осалдықтардың тізімін көрейік:
Содан кейін әрбір осалдықтың мәліметтерін көре аласыз. Мұнда біз көреміз:
- осалдық бірінші және соңғы рет анықталғанда,
- өнеркәсіптік осалдықтардың саны,
- осалдықты жою үшін патч,
- PCI DSS, NIST және т.б. сәйкестікте қандай да бір мәселелер бар ма,
- осы осалдық үшін эксплуат және зиянды бағдарлама бар ма,
- жүйеде аутентификациямен/сіз сканерлеу кезінде анықталған осалдық және т.б.
Егер бұл бірінші сканерлеу болмаса - иә, сіз үнемі сканерлеуіңіз керек 🙂 - содан кейін көмекпен Тренд туралы есеп Сіз осалдықтармен жұмыс істеу динамикасын бақылай аласыз. Осалдықтардың күйі алдыңғы сканерлеумен салыстырғанда көрсетіледі: бұрын табылған және жабылған осалдықтар бекітілген, жабылмағандар - белсенді, жаңалары - жаңа деп белгіленеді.
Осалдық туралы есеп. Бұл есепте Qualys ең маңыздыдан бастап, осы осалдықты қай хостта ұстау керектігін көрсететін осалдықтардың тізімін жасайды. Есеп, мысалы, бесінші деңгейдің барлық осалдықтарын бірден түсінуді шешсеңіз пайдалы болады.
Сондай-ақ, сіз тек төртінші және бесінші деңгейлердің осалдықтары туралы жеке есеп жасай аласыз.
Патч есебі. Мұнда табылған осалдықтарды жою үшін орнату қажет патчтардың толық тізімін көре аласыз. Әрбір патч үшін ол қандай осалдықтарды түзететіні, оны қандай хост/жүйеде орнату қажет екендігі және тікелей жүктеу сілтемесі бар.
PCI DSS сәйкестігі туралы есеп. PCI DSS стандарты әр 90 күн сайын Интернеттен қолжетімді ақпараттық жүйелер мен қолданбаларды сканерлеуді талап етеді. Сканерлеуден кейін сіз инфрақұрылымның стандарт талаптарына сәйкес келмейтінін көрсететін есепті жасай аласыз.
Осалдықты жою есептері. Qualys қызмет көрсету үстелімен біріктірілуі мүмкін, содан кейін барлық табылған осалдықтар автоматты түрде билеттерге аударылады. Осы есепті пайдалана отырып, аяқталған билеттер мен шешілген осалдықтар бойынша орындалу барысын бақылай аласыз.
Порт есептерін ашу. Мұнда сіз ашық порттар және оларда жұмыс істейтін қызметтер туралы ақпаратты ала аласыз:
немесе әрбір порттағы осалдықтар туралы есеп жасаңыз:
Бұл жай ғана стандартты есеп үлгілері. Нақты тапсырмалар үшін өзіңіздің жеке тапсырмаңызды жасай аласыз, мысалы, сыниліктің бесінші деңгейінен төмен емес осалдықтарды ғана көрсетіңіз. Барлық есептер қолжетімді. Есеп пішімі: CSV, XML, HTML, PDF және docx.
Есіңізде болсын: Қауіпсіздік нәтиже емес, процесс. Бір реттік сканерлеу осы сәтте проблемаларды көруге көмектеседі, бірақ бұл толыққанды осалдықты басқару процесі туралы емес.
Сізге осы тұрақты жұмыс туралы шешім қабылдауды жеңілдету үшін біз Qualys осалдықты басқаруға негізделген қызметті жасадық.
Барлық Habr оқырмандары үшін акция бар: Сканерлеу қызметіне бір жылға тапсырыс бергенде, екі ай сканерлеу тегін болады. Өтініштерді қалдыруға болады , «Түсініктеме» өрісіне Habr деп жазыңыз.
Ақпарат көзі: www.habr.com