Здраво на сите!
Денес сакам да зборувам за облак решението за пребарување и анализа на пропусти Qualys Vulnerability Management, на кое еден од нашите .
Подолу ќе покажам како е организирано самото скенирање и кои информации за ранливости може да се најдат врз основа на резултатите.
Што може да се скенира
Надворешни услуги. За да ги скенираме услугите кои имаат пристап до Интернет, клиентот ни ги дава нивните IP адреси и ингеренциите (ако е потребно скенирање со автентикација). Ги скенираме услугите користејќи го облакот Qualys и испраќаме извештај врз основа на резултатите.
Внатрешни услуги. Во овој случај, скенерот бара пропусти во внатрешните сервери и мрежната инфраструктура. Користејќи такво скенирање, можете да ги пописите верзиите на оперативните системи, апликациите, отворените порти и услугите зад нив.
Инсталиран е скенер Qualys за скенирање во инфраструктурата на клиентот. Облакот Qualys овде служи како команден центар за овој скенер.
Покрај внатрешниот сервер со Qualys, може да се инсталираат агенти (Cloud Agent) на скенирани објекти. Тие собираат информации за системот локално и практично не создаваат оптоварување на мрежата или на хостовите на кои работат. Добиените информации се испраќаат до облакот.
Тука има три важни точки: автентикација и избор на објекти за скенирање.
- Користење на автентикација. Некои клиенти бараат скенирање на blackbox, особено за надворешни услуги: тие ни даваат опсег на IP адреси без да го специфицираат системот и велат „биди како хакер“. Но, хакерите ретко дејствуваат слепо. Кога станува збор за напад (не за извидување), тие знаат што хакираат.
Слепо, Qualys може да наиде на банери за мамки и да ги скенира наместо целниот систем. И без да се разбере што точно ќе се скенира, лесно е да ги пропуштите поставките на скенерот и да ја „прикачите“ услугата што се проверува.
Скенирањето ќе биде покорисно ако вршите проверки за автентикација пред системите што се скенираат (бело кутија). На овој начин скенерот ќе разбере од каде дошол и ќе добиете целосни податоци за ранливостите на целниот систем.
Qualys има многу опции за автентикација. - Групни средства. Ако почнете да скенирате сè одеднаш и неселективно, ќе потрае многу време и ќе создаде непотребно оптоварување на системите. Подобро е да се групираат домаќините и услугите во групи врз основа на важноста, локацијата, верзијата на ОС, критичноста на инфраструктурата и други карактеристики (во Qualys тие се нарекуваат групи на средства и ознаки за средства) и изберете одредена група при скенирање.
- Изберете технички прозорец за скенирање. Дури и ако сте размислувале и сте се подготвиле, скенирањето создава дополнителен стрес на системот. Тоа не мора да предизвика деградација на услугата, но подобро е да изберете одредено време за тоа, како за резервна копија или превртување на ажурирања.
Што можете да научите од извештаите?
Врз основа на резултатите од скенирањето, клиентот добива извештај кој ќе содржи не само список на сите пронајдени пропусти, туку и основни препораки за нивно отстранување: ажурирања, закрпи итн. Qualys има многу извештаи: има стандардни шаблони и можете да креирате своја. За да не се збуните во сета разновидност, подобро е прво сами да одлучите за следниве точки:
- Кој ќе го види овој извештај: менаџер или технички специјалист?
- кои информации сакате да ги добиете од резултатите од скенирањето? На пример, ако сакате да дознаете дали се инсталирани сите потребни закрпи и како се работи за отстранување на претходно пронајдените пропусти, тогаш ова е еден извештај. Ако само треба да направите попис на сите домаќини, тогаш друг.
Ако вашата задача е да покажете кратка, но јасна слика на раководството, тогаш можете да формирате Извршен извештај. Сите пропусти ќе бидат подредени на полици, нивоа на критичност, графикони и дијаграми. На пример, првите 10 најкритични пропусти или најчестите пропусти.
За техничар има Технички извештај со сите детали и детали. Следниве извештаи може да се генерираат:
Домаќините известуваат. Корисна работа кога треба да направите попис на вашата инфраструктура и да добиете целосна слика за пропустите на домаќинот.
Вака изгледа списокот на анализирани хостови, што укажува на оперативниот систем што работи на нив.
Ајде да го отвориме домаќинот на интерес и да видиме список од 219 пронајдени пропусти, почнувајќи од најкритичното, петто ниво:
Потоа можете да ги видите деталите за секоја ранливост. Овде гледаме:
- кога ранливоста беше откриена за прв и последен пат,
- броеви на индустриска ранливост,
- лепенка за елиминирање на ранливоста,
- дали има проблеми со усогласеноста со PCI DSS, NIST, итн.,
- дали постои експлоат и малициозен софтвер за оваа ранливост,
- е ранливост откриена при скенирање со/без автентикација во системот итн.
Ако ова не е прво скенирање - да, треба редовно да скенирате 🙂 - тогаш со помош Извештај за трендови Можете да ја следите динамиката на работа со ранливости. Статусот на пропустите ќе се прикаже во споредба со претходното скенирање: пропустите што беа пронајдени порано и затворени ќе бидат означени како поправени, незатворени - активни, нови - нови.
Извештај за ранливост. Во овој извештај, Qualys ќе изгради листа на ранливости, почнувајќи од најкритичните, означувајќи кој домаќин да ја фати оваа ранливост. Извештајот ќе биде корисен ако одлучите веднаш да ги разберете, на пример, сите ранливости на петтото ниво.
Можете исто така да направите посебен извештај само за пропустите на четвртото и петтото ниво.
Извештај за закрпи. Овде можете да видите комплетна листа на закрпи што треба да се инсталираат за да се отстранат пронајдените пропусти. За секој лепенка има објаснување какви пропусти поправа, на кој хост/систем треба да се инсталира и директна врска за преземање.
Извештај за усогласеност со PCI DSS. Стандардот PCI DSS бара скенирање на информациски системи и апликации достапни од Интернет на секои 90 дена. По скенирањето, можете да генерирате извештај кој ќе покаже што инфраструктурата не ги исполнува барањата на стандардот.
Извештаи за санација на ранливост. Qualys може да се интегрира со сервисот, а потоа сите пронајдени пропусти автоматски ќе се преточат во билети. Користејќи го овој извештај, можете да го следите напредокот на завршените билети и решените пропусти.
Отворете извештаи за пристаништето. Овде можете да добиете информации за отворените пристаништа и услугите што работат на нив:
или генерира извештај за пропусти на секоја порта:
Ова се само стандардни шаблони за извештаи. Можете да креирате своја за специфични задачи, на пример, да покажете само ранливости не пониски од петтото ниво на критичност. Сите извештаи се достапни. Формат на извештај: CSV, XML, HTML, PDF и docx.
И запомнете: Безбедноста не е резултат, туку процес. Еднократното скенирање помага да се видат проблемите во моментот, но ова не е за целосен процес на управување со ранливоста.
За полесно да одлучувате за оваа редовна работа, создадовме услуга базирана на Qualys Vulnerability Management.
Има промоција за сите читатели на Хабр: Кога ќе нарачате услуга за скенирање за една година, два месеци скенирање се бесплатни. Апликациите може да се остават , во полето „Коментар“ напишете Habr.
Извор: www.habr.com