Kā es kļuvu neaizsargāts: IT infrastruktūras skenēšana, izmantojot Qualys

Sveiki visiem!

Šodien es vēlos runāt par Qualys Vulnerability Management — uz mākonī balstītu risinājumu ievainojamību atrašanai un analīzei, kurā viens no mūsu pakalpojumu.

Tālāk es parādīšu, kā tiek organizēta pati skenēšana un kādu informāciju par ievainojamībām var atrast no rezultātiem.

Ko var skenēt

ārējie pakalpojumi. Lai skenētu pakalpojumus, kuriem ir piekļuve internetam, klients mums sniedz savas IP adreses un akreditācijas datus (ja nepieciešama skenēšana ar autentifikāciju). Mēs skenējam pakalpojumus, izmantojot Qualy mākoni, un nosūtām atskaiti, pamatojoties uz rezultātiem.

Iekšējie pakalpojumi. Šajā gadījumā skeneris meklē ievainojamības iekšējos serveros un tīkla infrastruktūrā. Izmantojot šādu skenēšanu, varat uzskaitīt operētājsistēmu, lietojumprogrammu, atvērto portu un pakalpojumu versijas.

Skenēšanai klienta infrastruktūrā ir instalēts Qualys skeneris. Qualys mākonis šeit darbojas kā šī skenera komandu centrs.

Papildus iekšējam serverim ar Qualys skenētajos objektos var instalēt aģentus (Cloud Agent). Viņi apkopo informāciju par sistēmu lokāli, praktiski nenoslogojot tīklu un saimniekdatorus, ar kuriem viņi strādā. Saņemtā informācija tiek nosūtīta uz mākoni.

Šeit ir trīs svarīgi punkti: autentifikācija un objektu atlase skenēšanai.

1. Autentifikācijas izmantošana. Daži klienti pieprasa melnās kastes skenēšanu, jo īpaši ārējiem pakalpojumiem: viņi mums sniedz virkni IP adrešu, nenorādot sistēmu, un saka "esiet kā hakeris". Taču hakeri reti rīkojas akli. Kad runa ir par uzbrukumu (nevis izlūkošanu), viņi zina, ka uzlauž. 

   Akli Qualys var paklupt uz viltotiem reklāmkarogiem un skenēt tos mērķa sistēmas vietā. Un nesaprotot, kas tieši tiks skenēts, ir viegli pārspēt skenera iestatījumus un “pielikt” pārbaudāmo pakalpojumu. 

   Skenēšana būs noderīgāka, ja veiksiet autentifikācijas pārbaudes pirms skenētām sistēmām (whitebox). Tātad skeneris sapratīs, no kurienes tas nāk, un jūs saņemsiet pilnīgus datus par mērķa sistēmas ievainojamībām.

   
   Qualys piedāvā daudzas autentifikācijas iespējas.

2. Grupas aktīvi. Ja palaižat skenēšanu visam uzreiz un bez izšķirības, tas prasīs ilgu laiku un radīs nevajadzīgu sistēmu slodzi. Labāk ir apvienot saimniekdatorus un pakalpojumus grupās atbilstoši to svarīgumam, atrašanās vietai, OS versijai, infrastruktūras kritiskumam un citām funkcijām (Quallys tos sauc par īpašumu grupām un īpašumu tagiem) un skenēšanas laikā atlasīt konkrētu grupu.
3. Izvēlieties tehnisko logu skenēšanai. Pat ja esi visu paredzējis un sagatavojis, skenēšana rada papildu slodzi sistēmai. Tas ne vienmēr izraisīs pakalpojuma degradāciju, taču labāk tam izvēlēties konkrētu laiku, piemēram, dublēšanai vai atjaunināšanai.

Ko var uzzināt no ziņojumiem?

Pamatojoties uz skenēšanas rezultātiem, klients saņem ziņojumu, kurā būs ne tikai visu atrasto ievainojamību saraksts, bet arī pamata ieteikumi to novēršanai: atjauninājumi, ielāpi utt. Qualys ir daudz ziņojumu: ir noklusējuma veidnes , un jūs varat izveidot savu. Lai neapjuktu visā daudzveidībā, labāk vispirms pašam izlemt par šādiem jautājumiem: 

• Kas skatīs šo pārskatu: vadītājs vai tehniskais speciālists?
• kādu informāciju vēlaties iegūt no skenēšanas rezultātiem. Piemēram, ja vēlaties uzzināt, vai ir instalēti visi nepieciešamie ielāpi un kā tiek veikts darbs, lai novērstu iepriekš atrastās ievainojamības, tad šis ir viens ziņojums. Ja vajag tikai inventarizēt visus saimniekus, tad citu.

Ja tavs uzdevums ir parādīt vadībai īsu, bet vizuālu attēlu, tad vari veidot Izpildziņojums. Visas ievainojamības tiks sakārtotas pēc līmeņiem, kritiskuma līmeņiem, grafikiem un diagrammām. Piemēram, 10 viskritiskākās ievainojamības vai visizplatītākās ievainojamības.

Tehniķim ir Tehniskais ziņojums ar visām detaļām un detaļām. Varat ģenerēt šādus pārskatus:

Uzņēmēja ziņojums. Noderīga lieta, ja nepieciešams inventarizēt infrastruktūru un iegūt pilnīgu priekšstatu par resursdatora ievainojamībām. 

Šādi izskatās analizēto saimniekdatoru saraksts ar norādi par tajos strādājošo OS.

Atvērsim interesējošo saiti un apskatīsim 219 atrasto ievainojamību sarakstu, sākot no viskritiskākā, piektā līmeņa:

Tālāk varat skatīt detalizētu informāciju par katru ievainojamību. Šeit mēs redzam:

• kad ievainojamība tika novērsta pirmo un pēdējo reizi,
• rūpniecisko ievainojamību skaits,
• ielāps, lai novērstu ievainojamību,
• vai ir kādas problēmas ar atbilstību PCI DSS, NIST utt.,
• vai šai ievainojamībai ir ļaunprātīga izmantošana un ļaunprātīga programmatūra,
• vai skenēšanas laikā ar/bez autentifikācijas sistēmā tiek konstatēta ievainojamība utt.

Ja šī nav pirmā skenēšana - jā, skenēšana ir jāveic regulāri 🙂 - tad izmantojot Tendenču pārskats varat izsekot darba ar ievainojamībām dinamikai. Ievainojamību statuss tiks parādīts salīdzinājumā ar iepriekšējo skenēšanu: ievainojamības, kas iepriekš tika atrastas un aizvērtas, tiks atzīmētas kā fiksētas, neizlabotas - aktīvas, jaunas - jaunas.

Pārskats par ievainojamību. Šajā pārskatā Qualys izveidos ievainojamību sarakstu, sākot ar viskritiskāko, norādot, kurā resursdatorā šī ievainojamība jānoķer. Pārskats noderēs, ja šobrīd nolemjat risināt, piemēram, visas XNUMX. līmeņa ievainojamības.

Varat arī izveidot atsevišķu ziņojumu tikai par ceturtā un piektā līmeņa ievainojamībām.

Pārskats par ielāpu. Šeit ir pilns ielāpu saraksts, kas jāinstalē, lai novērstu atrastās ievainojamības. Katram ielāpam ir paskaidrojums par to, kādas ievainojamības tas novērš, kurā resursdatorā/sistēmā tas ir jāinstalē, un tiešā lejupielādes saite.

PCI DSS atbilstības ziņojums. PCI DSS standarts pieprasa no interneta pieejamo informācijas sistēmu un lietojumprogrammu skenēšanu ik pēc 90 dienām. Pēc skenēšanas varat ģenerēt atskaiti, kas parādīs, kas infrastruktūra neatbilst standarta prasībām.

Ziņošana par ievainojamību. Qualys var integrēt ar servisa dienestu, un pēc tam visas atrastās ievainojamības tiks automātiski pārvērstas biļetēs. Ar šī ziņojuma palīdzību būs iespējams tikai izsekot pabeigto biļešu progresam un novērstajām ievainojamībām.

Atveriet portu pārskatus. Šeit varat iegūt informāciju par atvērtajiem portiem un pakalpojumiem, kas tajos darbojas:

vai ģenerējiet ziņojumu par ievainojamībām katrā portā:

Šīs ir tikai standarta pārskatu veidnes. Konkrētiem uzdevumiem varat izveidot savu, piemēram, parādīt tikai ievainojamības, kas nav zemākas par piekto kritiskuma līmeni. Visi pārskati ir pieejami. Pārskata formāts: CSV, XML, HTML, PDF un docx.

Un atcerieties: drošība nav rezultāts, bet process. Vienreizēja skenēšana palīdz saskatīt problēmas konkrētajā brīdī, taču šeit nav runa par pilnvērtīgu ievainojamību pārvaldības procesu.
Lai jums būtu vieglāk pieņemt lēmumu par šo regulāro darbu, esam izveidojuši pakalpojumu, kura pamatā ir Qualys ievainojamības pārvaldība.

Visiem Habr lasītājiem ir akcija: pasūtot skenēšanas pakalpojumu uz gadu, divus mēnešus skenēšana ir bez maksas. Pieteikumus var atstāt šeit, laukā "Komentārs" ierakstiet Habr.

Avots: www.habr.com