Kaip tapau pažeidžiamas: IT infrastruktūros nuskaitymas naudojant Qualys

Sveiki visi!

Šiandien noriu pakalbėti apie debesų sprendimą, skirtą pažeidžiamumui ieškoti ir analizuoti Qualys pažeidžiamumo valdymas, kuriame vienas iš mūsų paslaugų.

Žemiau parodysiu, kaip organizuojamas pats nuskaitymas ir kokią informaciją apie spragas galima rasti remiantis rezultatais.

Ką galima nuskaityti

Išorinės paslaugos. Norėdami nuskaityti paslaugas, turinčias prieigą prie interneto, klientas mums pateikia savo IP adresus ir kredencialus (jei reikalingas nuskaitymas su autentifikavimu). Paslaugas nuskaitome naudodami „Qualys“ debesį ir pagal rezultatus siunčiame ataskaitą.

Vidaus paslaugos. Tokiu atveju skaitytuvas ieško vidinių serverių ir tinklo infrastruktūros spragų. Naudodami tokį nuskaitymą galite inventorizuoti operacinių sistemų, programų, atvirų prievadų ir už jų esančių paslaugų versijas.

Įdiegtas Qualys skaitytuvas, skirtas nuskaityti kliento infrastruktūroje. Qualys debesis yra šio skaitytuvo komandų centras.

Be vidinio serverio su Qualys, nuskaitytuose objektuose gali būti įdiegti agentai (Cloud Agent). Jie renka informaciją apie sistemą lokaliai ir praktiškai neapkrauna tinklo ar pagrindinio kompiuterio, kuriame jie veikia. Gauta informacija siunčiama į debesį.

Čia yra trys svarbūs punktai: autentifikavimas ir nuskaitomų objektų pasirinkimas.

1. Autentifikavimo naudojimas. Kai kurie klientai prašo juodosios dėžės nuskaitymo, ypač išorinėms paslaugoms: jie suteikia mums daugybę IP adresų, nenurodydami sistemos ir sako „būk kaip įsilaužėlis“. Tačiau įsilaužėliai retai elgiasi aklai. Kalbant apie puolimą (ne žvalgybą), jie žino, ką įsilaužia. 

   Aklai Qualys gali užkliūti ant jaukų reklamjuosčių ir nuskaityti jas vietoj tikslinės sistemos. Ir nesuvokiant, kas tiksliai bus nuskaitoma, nesunku praleisti skaitytuvo nustatymus ir „prijungti“ tikrinamą paslaugą. 

   Nuskaitymas bus naudingesnis, jei autentifikavimo patikrinimus atliksite prieš nuskaitomas sistemas (baltas langelis). Taip skaitytuvas supras, iš kur jis atsirado, ir gausite išsamius duomenis apie tikslinės sistemos pažeidžiamumą.

   
   Qualys turi daug autentifikavimo parinkčių.

2. Grupės turtas. Jei pradėsite skenuoti viską iš karto ir be atodairos, tai užtruks ilgai ir sukurs nereikalingą apkrovą sistemoms. Geriau sugrupuoti pagrindinius kompiuterius ir paslaugas į grupes pagal svarbą, vietą, OS versiją, infrastruktūros kritiškumą ir kitas charakteristikas (Qualyse jie vadinami turto grupėmis ir turto žymomis) ir nuskaitant pasirinkti konkrečią grupę.
3. Pasirinkite techninį langą, kurį norite nuskaityti. Net jei apgalvojote ir pasiruošę, nuskaitymas sukuria papildomą įtampą sistemai. Tai nebūtinai sukels paslaugos pablogėjimą, tačiau geriau pasirinkti tam tikrą laiką, pavyzdžiui, atsarginei kopijai ar atnaujinimų perkėlimui.

Ko galite pasimokyti iš ataskaitų?

Remiantis nuskaitymo rezultatais, klientas gauna ataskaitą, kurioje bus ne tik visų rastų pažeidžiamumų sąrašas, bet ir pagrindinės rekomendacijos joms pašalinti: atnaujinimai, pataisymai ir tt Qualys turi daug ataskaitų: yra numatytieji šablonai, galite sukurti savo. Kad nesusipainiotumėte visoje įvairovėje, geriau pirmiausia nuspręsti patys dėl šių dalykų: 

• Kas peržiūrės šią ataskaitą: vadovas ar techninis specialistas?
• kokią informaciją norite gauti iš nuskaitymo rezultatų? Pavyzdžiui, jei norite sužinoti, ar įdiegtos visos reikalingos pataisos ir kaip dirbama siekiant pašalinti anksčiau rastas spragas, tai yra viena ataskaita. Jei reikia tik inventorizuoti visus šeimininkus, tada kitą.

Jei jūsų užduotis yra parodyti trumpą, bet aiškų vaizdą vadovybei, galite sudaryti Vykdomoji ataskaita. Visi pažeidžiamumai bus surūšiuoti į lentynas, kritiškumo lygius, grafikus ir diagramas. Pavyzdžiui, 10 svarbiausių pažeidžiamumų arba dažniausiai pasitaikančių pažeidžiamumų.

Technikui yra Techninė ataskaita su visomis smulkmenomis ir smulkmenomis. Galima sugeneruoti šias ataskaitas:

Šeimininkų ataskaita. Naudingas dalykas, kai reikia inventorizuoti savo infrastruktūrą ir gauti išsamų pagrindinio kompiuterio pažeidžiamumų vaizdą. 

Taip atrodo analizuojamų prieglobų sąrašas, nurodantis juose veikiančią OS.

Atidarykime dominančią grupę ir pamatykime 219 rastų pažeidžiamumų sąrašą, pradedant nuo svarbiausio penkto lygio:

Tada galėsite peržiūrėti kiekvieno pažeidžiamumo detales. Čia matome:

• kai pažeidžiamumas buvo aptiktas pirmą ir paskutinį kartą,
• pramonės pažeidžiamumo skaičiai,
• pleistras pažeidžiamumui pašalinti,
• ar yra problemų dėl atitikimo PCI DSS, NIST ir kt.
• ar yra šio pažeidžiamumo išnaudojimo ir kenkėjiškų programų,
• yra pažeidžiamumas, aptiktas nuskaitant su / be autentifikavimo sistemoje ir pan.

Jei tai ne pirmas skenavimas – taip, reikia reguliariai nuskaityti 🙂 – tada su pagalba Tendencijos ataskaita Galite atsekti darbo su pažeidžiamumu dinamiką. Pažeidžiamumų būsena bus rodoma lyginant su ankstesniu nuskaitymu: anksčiau rastos ir uždarytos spragos bus pažymėtos kaip ištaisytos, neuždarytos – aktyvios, naujos – naujos.

Pažeidžiamumo ataskaita. Šioje ataskaitoje „Qualys“ sudarys pažeidžiamumų sąrašą, pradedant nuo svarbiausių, nurodydama, kuriame priegloboje šis pažeidžiamumas turi būti užfiksuotas. Ataskaita bus naudinga, jei nuspręsite iš karto suprasti, pavyzdžiui, visas penktojo lygio spragas.

Taip pat galite pateikti atskirą ataskaitą tik apie ketvirto ir penkto lygių pažeidžiamumą.

Patch ataskaita. Čia galite pamatyti visą sąrašą pataisų, kurias reikia įdiegti, kad būtų pašalintos rastos spragos. Prie kiekvieno pataiso yra paaiškinimas, kokius pažeidžiamumus jis ištaiso, kuriame pagrindiniame kompiuteryje / sistemoje ją reikia įdiegti, ir tiesioginė atsisiuntimo nuoroda.

PCI DSS atitikties ataskaita. PCI DSS standartas reikalauja kas 90 dienų nuskaityti informacines sistemas ir programas, pasiekiamas iš interneto. Po nuskaitymo galite sugeneruoti ataskaitą, kurioje bus parodyta, ko infrastruktūra neatitinka standarto reikalavimų.

Pažeidžiamumo ištaisymo ataskaitos. Qualys gali būti integruotas su aptarnavimo centru, o tada visos rastos spragos bus automatiškai išverstos į bilietus. Naudodami šią ataskaitą galite stebėti užbaigtų bilietų ir pašalintų pažeidžiamumų pažangą.

Atidaryti uosto ataskaitas. Čia galite gauti informacijos apie atvirus prievadus ir juose veikiančias paslaugas:

arba generuoti ataskaitą apie pažeidžiamumą kiekviename prievade:

Tai tik standartiniai ataskaitų šablonai. Konkrečioms užduotims galite susikurti savo, pavyzdžiui, rodyti tik ne žemesnius nei penktojo kritiškumo lygio pažeidžiamumus. Visos ataskaitos yra prieinamos. Ataskaitos formatas: CSV, XML, HTML, PDF ir docx.

Ir prisimink: Saugumas yra ne rezultatas, o procesas. Vienkartinis nuskaitymas padeda pamatyti problemas šiuo metu, tačiau tai nėra visavertis pažeidžiamumo valdymo procesas.
Kad jums būtų lengviau apsispręsti dėl šio įprasto darbo, sukūrėme paslaugą, pagrįstą Qualys pažeidžiamumo valdymu.

Visiems Habr skaitytojams yra akcija: Užsisakius nuskaitymo paslaugą metams, du mėnesiai skenavimo yra nemokami. Paraiškas galima palikti čia, lauke „Komentaras“ parašykite Habr.

Šaltinis: www.habr.com