Sveiki visiem!
Å odien es vÄlos runÄt par Qualys Vulnerability Management ā uz mÄkonÄ« balstÄ«tu risinÄjumu ievainojamÄ«bu atraÅ”anai un analÄ«zei, kurÄ viens no mÅ«su
TÄlÄk es parÄdÄ«Å”u, kÄ tiek organizÄta pati skenÄÅ”ana un kÄdu informÄciju par ievainojamÄ«bÄm var atrast no rezultÄtiem.
Ko var skenÄt
ÄrÄjie pakalpojumi. Lai skenÄtu pakalpojumus, kuriem ir piekļuve internetam, klients mums sniedz savas IP adreses un akreditÄcijas datus (ja nepiecieÅ”ama skenÄÅ”ana ar autentifikÄciju). MÄs skenÄjam pakalpojumus, izmantojot Qualy mÄkoni, un nosÅ«tÄm atskaiti, pamatojoties uz rezultÄtiem.
IekÅ”Äjie pakalpojumi. Å ajÄ gadÄ«jumÄ skeneris meklÄ ievainojamÄ«bas iekÅ”Äjos serveros un tÄ«kla infrastruktÅ«rÄ. Izmantojot Å”Ädu skenÄÅ”anu, varat uzskaitÄ«t operÄtÄjsistÄmu, lietojumprogrammu, atvÄrto portu un pakalpojumu versijas.
SkenÄÅ”anai klienta infrastruktÅ«rÄ ir instalÄts Qualys skeneris. Qualys mÄkonis Å”eit darbojas kÄ Å”Ä« skenera komandu centrs.
Papildus iekÅ”Äjam serverim ar Qualys skenÄtajos objektos var instalÄt aÄ£entus (Cloud Agent). ViÅi apkopo informÄciju par sistÄmu lokÄli, praktiski nenoslogojot tÄ«klu un saimniekdatorus, ar kuriem viÅi strÄdÄ. SaÅemtÄ informÄcija tiek nosÅ«tÄ«ta uz mÄkoni.
Å eit ir trÄ«s svarÄ«gi punkti: autentifikÄcija un objektu atlase skenÄÅ”anai.
- AutentifikÄcijas izmantoÅ”ana. Daži klienti pieprasa melnÄs kastes skenÄÅ”anu, jo Ä«paÅ”i ÄrÄjiem pakalpojumiem: viÅi mums sniedz virkni IP adreÅ”u, nenorÄdot sistÄmu, un saka "esiet kÄ hakeris". TaÄu hakeri reti rÄ«kojas akli. Kad runa ir par uzbrukumu (nevis izlÅ«koÅ”anu), viÅi zina, ka uzlauž.
Akli Qualys var paklupt uz viltotiem reklÄmkarogiem un skenÄt tos mÄrÄ·a sistÄmas vietÄ. Un nesaprotot, kas tieÅ”i tiks skenÄts, ir viegli pÄrspÄt skenera iestatÄ«jumus un āpieliktā pÄrbaudÄmo pakalpojumu.
SkenÄÅ”ana bÅ«s noderÄ«gÄka, ja veiksiet autentifikÄcijas pÄrbaudes pirms skenÄtÄm sistÄmÄm (whitebox). TÄtad skeneris sapratÄ«s, no kurienes tas nÄk, un jÅ«s saÅemsiet pilnÄ«gus datus par mÄrÄ·a sistÄmas ievainojamÄ«bÄm.
Qualys piedÄvÄ daudzas autentifikÄcijas iespÄjas. - Grupas aktÄ«vi. Ja palaižat skenÄÅ”anu visam uzreiz un bez izŔķirÄ«bas, tas prasÄ«s ilgu laiku un radÄ«s nevajadzÄ«gu sistÄmu slodzi. LabÄk ir apvienot saimniekdatorus un pakalpojumus grupÄs atbilstoÅ”i to svarÄ«gumam, atraÅ”anÄs vietai, OS versijai, infrastruktÅ«ras kritiskumam un citÄm funkcijÄm (Quallys tos sauc par Ä«paÅ”umu grupÄm un Ä«paÅ”umu tagiem) un skenÄÅ”anas laikÄ atlasÄ«t konkrÄtu grupu.
- IzvÄlieties tehnisko logu skenÄÅ”anai. Pat ja esi visu paredzÄjis un sagatavojis, skenÄÅ”ana rada papildu slodzi sistÄmai. Tas ne vienmÄr izraisÄ«s pakalpojuma degradÄciju, taÄu labÄk tam izvÄlÄties konkrÄtu laiku, piemÄram, dublÄÅ”anai vai atjauninÄÅ”anai.
Ko var uzzinÄt no ziÅojumiem?
Pamatojoties uz skenÄÅ”anas rezultÄtiem, klients saÅem ziÅojumu, kurÄ bÅ«s ne tikai visu atrasto ievainojamÄ«bu saraksts, bet arÄ« pamata ieteikumi to novÄrÅ”anai: atjauninÄjumi, ielÄpi utt. Qualys ir daudz ziÅojumu: ir noklusÄjuma veidnes , un jÅ«s varat izveidot savu. Lai neapjuktu visÄ daudzveidÄ«bÄ, labÄk vispirms paÅ”am izlemt par Å”Ädiem jautÄjumiem:
- Kas skatÄ«s Å”o pÄrskatu: vadÄ«tÄjs vai tehniskais speciÄlists?
- kÄdu informÄciju vÄlaties iegÅ«t no skenÄÅ”anas rezultÄtiem. PiemÄram, ja vÄlaties uzzinÄt, vai ir instalÄti visi nepiecieÅ”amie ielÄpi un kÄ tiek veikts darbs, lai novÄrstu iepriekÅ” atrastÄs ievainojamÄ«bas, tad Å”is ir viens ziÅojums. Ja vajag tikai inventarizÄt visus saimniekus, tad citu.
Ja tavs uzdevums ir parÄdÄ«t vadÄ«bai Ä«su, bet vizuÄlu attÄlu, tad vari veidot IzpildziÅojums. Visas ievainojamÄ«bas tiks sakÄrtotas pÄc lÄ«meÅiem, kritiskuma lÄ«meÅiem, grafikiem un diagrammÄm. PiemÄram, 10 viskritiskÄkÄs ievainojamÄ«bas vai visizplatÄ«tÄkÄs ievainojamÄ«bas.
TehniÄ·im ir Tehniskais ziÅojums ar visÄm detaļÄm un detaļÄm. Varat Ä£enerÄt Å”Ädus pÄrskatus:
UzÅÄmÄja ziÅojums. NoderÄ«ga lieta, ja nepiecieÅ”ams inventarizÄt infrastruktÅ«ru un iegÅ«t pilnÄ«gu priekÅ”statu par resursdatora ievainojamÄ«bÄm.
Å Ädi izskatÄs analizÄto saimniekdatoru saraksts ar norÄdi par tajos strÄdÄjoÅ”o OS.
AtvÄrsim interesÄjoÅ”o saiti un apskatÄ«sim 219 atrasto ievainojamÄ«bu sarakstu, sÄkot no viskritiskÄkÄ, piektÄ lÄ«meÅa:
TÄlÄk varat skatÄ«t detalizÄtu informÄciju par katru ievainojamÄ«bu. Å eit mÄs redzam:
- kad ievainojamÄ«ba tika novÄrsta pirmo un pÄdÄjo reizi,
- rūpniecisko ievainojamību skaits,
- ielÄps, lai novÄrstu ievainojamÄ«bu,
- vai ir kÄdas problÄmas ar atbilstÄ«bu PCI DSS, NIST utt.,
- vai Å”ai ievainojamÄ«bai ir ļaunprÄtÄ«ga izmantoÅ”ana un ļaunprÄtÄ«ga programmatÅ«ra,
- vai skenÄÅ”anas laikÄ ar/bez autentifikÄcijas sistÄmÄ tiek konstatÄta ievainojamÄ«ba utt.
Ja Ŕī nav pirmÄ skenÄÅ”ana - jÄ, skenÄÅ”ana ir jÄveic regulÄri š - tad izmantojot TendenÄu pÄrskats varat izsekot darba ar ievainojamÄ«bÄm dinamikai. IevainojamÄ«bu statuss tiks parÄdÄ«ts salÄ«dzinÄjumÄ ar iepriekÅ”Äjo skenÄÅ”anu: ievainojamÄ«bas, kas iepriekÅ” tika atrastas un aizvÄrtas, tiks atzÄ«mÄtas kÄ fiksÄtas, neizlabotas - aktÄ«vas, jaunas - jaunas.
PÄrskats par ievainojamÄ«bu. Å ajÄ pÄrskatÄ Qualys izveidos ievainojamÄ«bu sarakstu, sÄkot ar viskritiskÄko, norÄdot, kurÄ resursdatorÄ Å”Ä« ievainojamÄ«ba jÄnoÄ·er. PÄrskats noderÄs, ja Å”obrÄ«d nolemjat risinÄt, piemÄram, visas XNUMX. lÄ«meÅa ievainojamÄ«bas.
Varat arÄ« izveidot atseviŔķu ziÅojumu tikai par ceturtÄ un piektÄ lÄ«meÅa ievainojamÄ«bÄm.
PÄrskats par ielÄpu. Å eit ir pilns ielÄpu saraksts, kas jÄinstalÄ, lai novÄrstu atrastÄs ievainojamÄ«bas. Katram ielÄpam ir paskaidrojums par to, kÄdas ievainojamÄ«bas tas novÄrÅ”, kurÄ resursdatorÄ/sistÄmÄ tas ir jÄinstalÄ, un tieÅ”Ä lejupielÄdes saite.
PCI DSS atbilstÄ«bas ziÅojums. PCI DSS standarts pieprasa no interneta pieejamo informÄcijas sistÄmu un lietojumprogrammu skenÄÅ”anu ik pÄc 90 dienÄm. PÄc skenÄÅ”anas varat Ä£enerÄt atskaiti, kas parÄdÄ«s, kas infrastruktÅ«ra neatbilst standarta prasÄ«bÄm.
ZiÅoÅ”ana par ievainojamÄ«bu. Qualys var integrÄt ar servisa dienestu, un pÄc tam visas atrastÄs ievainojamÄ«bas tiks automÄtiski pÄrvÄrstas biļetÄs. Ar Ŕī ziÅojuma palÄ«dzÄ«bu bÅ«s iespÄjams tikai izsekot pabeigto biļeÅ”u progresam un novÄrstajÄm ievainojamÄ«bÄm.
Atveriet portu pÄrskatus. Å eit varat iegÅ«t informÄciju par atvÄrtajiem portiem un pakalpojumiem, kas tajos darbojas:
vai Ä£enerÄjiet ziÅojumu par ievainojamÄ«bÄm katrÄ portÄ:
Å Ä«s ir tikai standarta pÄrskatu veidnes. KonkrÄtiem uzdevumiem varat izveidot savu, piemÄram, parÄdÄ«t tikai ievainojamÄ«bas, kas nav zemÄkas par piekto kritiskuma lÄ«meni. Visi pÄrskati ir pieejami. PÄrskata formÄts: CSV, XML, HTML, PDF un docx.
Un atcerieties: droŔība nav rezultÄts, bet process. VienreizÄja skenÄÅ”ana palÄ«dz saskatÄ«t problÄmas konkrÄtajÄ brÄ«dÄ«, taÄu Å”eit nav runa par pilnvÄrtÄ«gu ievainojamÄ«bu pÄrvaldÄ«bas procesu.
Lai jums bÅ«tu vieglÄk pieÅemt lÄmumu par Å”o regulÄro darbu, esam izveidojuÅ”i pakalpojumu, kura pamatÄ ir Qualys ievainojamÄ«bas pÄrvaldÄ«ba.
Visiem Habr lasÄ«tÄjiem ir akcija: pasÅ«tot skenÄÅ”anas pakalpojumu uz gadu, divus mÄneÅ”us skenÄÅ”ana ir bez maksas. Pieteikumus var atstÄt
Avots: www.habr.com