Би хэрхэн эмзэг болсон бэ: Qualys ашиглан мэдээллийн технологийн дэд бүтцийг сканнердсан

хүн бүрт Сайн байна уу!

Өнөөдөр би Qualys эмзэг байдлын менежментийн эмзэг байдлыг хайх, шинжлэх үүлэн шийдлийн талаар ярихыг хүсч байна. үйлчилгээ.

Доор би сканнердах ажиллагаа хэрхэн зохион байгуулагдаж, үр дүнд үндэслэн эмзэг байдлын талаар ямар мэдээлэл олж болохыг харуулах болно.

Юуг сканнердаж болох вэ

Гадаад үйлчилгээ. Интернэтэд холбогдох үйлчилгээнүүдийг сканнердахын тулд үйлчлүүлэгч бидэнд IP хаяг, итгэмжлэлээ өгдөг (хэрэв баталгаажуулалт бүхий скан хийх шаардлагатай бол). Бид Qualys үүл ашиглан үйлчилгээг сканнердаж, үр дүнд үндэслэн тайлан илгээдэг.

Дотоод үйлчилгээ. Энэ тохиолдолд сканнер нь дотоод серверүүд болон сүлжээний дэд бүтцэд байгаа эмзэг байдлыг хайдаг. Ийм хайлтыг ашиглан үйлдлийн систем, програмууд, нээлттэй портууд болон тэдгээрийн ард байгаа үйлчилгээний хувилбаруудыг тоолж болно.

Үйлчлүүлэгчийн дэд бүтцэд скан хийх Qualys сканнер суурилуулсан. Qualys үүл нь энэ сканнерын командын төв болж үйлчилдэг.

Qualys-тэй дотоод серверээс гадна агентуудыг (Cloud Agent) сканнердсан объектууд дээр суулгаж болно. Тэд системийн талаарх мэдээллийг дотооддоо цуглуулж, сүлжээ болон ажиллаж буй хостууд дээр бараг ямар ч ачаалал үүсгэдэггүй. Хүлээн авсан мэдээллийг үүлэн рүү илгээдэг.

Энд гурван чухал зүйл байна: баталгаажуулалт, сканнердах объектыг сонгох.

1. Баталгаажуулалтыг ашиглах. Зарим үйлчлүүлэгч хар хайрцгийг сканнердах, ялангуяа гадны үйлчилгээ авахыг хүсдэг: тэд бидэнд системийг заалгүйгээр олон төрлийн IP хаягийг өгч, "хакер шиг бай" гэж хэлдэг. Гэхдээ хакерууд харалган үйлдэл хийх нь ховор. Довтолгооны тухайд (эрэн сурвалжлах биш) тэд юуг хакердаж байгаагаа мэддэг. 

   Сохроор Qualys төөрөгдүүлсэн баннеруудад бүдэрч, зорилтот системийн оронд тэдгээрийг сканнердаж магадгүй юм. Яг юу сканнердахыг ойлгохгүйгээр сканнерын тохиргоог алдаж, шалгаж байгаа үйлчилгээг "хавсруулах" нь амархан байдаг. 

   Хэрэв та сканнердаж буй системүүдийн (цагаан хайрцаг) өмнө баталгаажуулалтын шалгалт хийвэл сканнердах нь илүү ашигтай байх болно. Ингэснээр сканнер хаанаас ирснийг ойлгох бөгөөд зорилтот системийн эмзэг байдлын талаархи бүрэн мэдээллийг авах болно.

   
   Qualys нь баталгаажуулалтын олон сонголттой.

2. Бүлгийн хөрөнгө. Хэрэв та бүгдийг нэг дор, ялгахгүйгээр сканнердаж эхлэх юм бол энэ нь удаан хугацаа шаардагдах бөгөөд системд шаардлагагүй ачааллыг бий болгоно. Ач холбогдол, байршил, үйлдлийн системийн хувилбар, дэд бүтцийн чухал байдал болон бусад шинж чанарт (Qualys-д тэдгээрийг Хөрөнгийн бүлэг, Хөрөнгийн шошго гэж нэрлэдэг) үндсэн дээр бүлэг болгон хостууд болон үйлчилгээг бүлэглэж, сканнердахдаа тодорхой бүлгийг сонгох нь дээр.
3. Скан хийх техникийн цонхыг сонгоно уу. Та бодож, бэлтгэсэн байсан ч сканнердах нь системд нэмэлт дарамт үүсгэдэг. Энэ нь үйлчилгээний доройтолд хүргэх албагүй, гэхдээ шинэчлэлтүүдийг нөөцлөх эсвэл шилжүүлэх гэх мэт тодорхой цагийг сонгох нь дээр.

Та тайлангуудаас юу сурч болох вэ?

Сканнерын үр дүнд үндэслэн үйлчлүүлэгч нь зөвхөн илэрсэн бүх сул талуудын жагсаалтыг төдийгүй тэдгээрийг арилгах үндсэн зөвлөмжийг агуулсан тайланг хүлээн авдаг: шинэчлэлтүүд, засварууд гэх мэт. Qualys маш олон тайлантай: анхдагч загварууд байдаг, мөн та өөрөө үүсгэж болно. Бүх олон янз байдалд төөрөлдөхгүйн тулд эхлээд дараахь зүйлийг өөрөө шийдэх нь дээр. 

• Энэ тайланг хэн үзэх вэ: менежер эсвэл техникийн мэргэжилтэн?
• Та сканнерын үр дүнгээс ямар мэдээлэл авахыг хүсэж байна вэ? Жишээлбэл, хэрэв та шаардлагатай бүх засваруудыг суулгасан эсэх, өмнө нь олдсон эмзэг байдлыг арилгах ажил хэрхэн хийгдэж байгааг мэдэхийг хүсвэл энэ нь нэг тайлан юм. Хэрэв та бүх хостуудын тооллого хийх шаардлагатай бол өөр.

Хэрэв таны даалгавар бол удирдлагад товч боловч тодорхой дүр зургийг харуулах юм бол та үүсгэж болно Гүйцэтгэх тайлан. Бүх эмзэг байдлыг тавиур, эгзэгтэй байдлын түвшин, график, диаграммд ангилна. Жишээлбэл, хамгийн чухал 10 эмзэг байдал эсвэл хамгийн түгээмэл эмзэг байдал.

Техникийн хувьд байдаг Техникийн тайлан бүх нарийн ширийн зүйл, дэлгэрэнгүй мэдээлэлтэй. Дараахь тайлангуудыг гаргаж болно.

Хөтлөгчдийн тайлан. Та өөрийн дэд бүтцийн тооллого хийж, хостын эмзэг байдлын бүрэн дүр зургийг авах шаардлагатай үед хэрэгтэй зүйл. 

Шинжилгээнд хамрагдсан хостуудын жагсаалт иймэрхүү харагдаж байгаа нь тэдгээр дээр ажиллаж байгаа үйлдлийн системийг харуулж байна.

Сонирхлын хостыг нээж, хамгийн чухал, тав дахь түвшнээс эхлэн олдсон 219 эмзэг байдлын жагсаалтыг харцгаая:

Дараа нь та эмзэг байдал бүрийн дэлгэрэнгүй мэдээллийг харах боломжтой. Энд бид харж байна:

• эмзэг байдал нь эхний болон сүүлчийн удаа илэрсэн үед,
• үйлдвэрлэлийн эмзэг байдлын тоо,
• эмзэг байдлыг арилгах нөхөөс,
• PCI DSS, NIST гэх мэтийг дагаж мөрдөхөд ямар нэгэн асуудал байгаа эсэх,
• Энэ эмзэг байдалд зориулсан мөлжлөг болон хортой програм байгаа эсэх,
• системд нэвтрэлт танилтгүйгээр сканнердах үед илэрсэн эмзэг байдал гэх мэт.

Хэрэв энэ нь анхны скан биш бол - тийм ээ, та тогтмол скан хийх хэрэгтэй 🙂 - дараа нь тусламжтай Тренд тайлан Та эмзэг байдалтай ажиллах динамикийг ажиглаж болно. Эмзэг байдлын статусыг өмнөх скантай харьцуулан харуулах болно: өмнө нь олдсон бөгөөд хаагдсан сул талуудыг тогтмол, хаагдсангүй - идэвхтэй, шинэ - шинэ гэж тэмдэглэнэ.

Эмзэг байдлын тайлан. Энэ тайланд Qualys хамгийн чухал зүйлээс эхлэн эмзэг байдлын жагсаалтыг гаргаж, энэ эмзэг байдлыг аль хост дээр байрлуулахыг зааж өгөх болно. Хэрэв та жишээлбэл, тав дахь түвшний бүх эмзэг байдлыг нэн даруй ойлгохоор шийдсэн бол тайлан нь ашигтай байх болно.

Та зөвхөн дөрөв, тав дахь түвшний эмзэг байдлын талаар тусдаа тайлан гаргаж болно.

Засвар хийх тайлан. Эндээс та олсон сул талуудыг арилгахын тулд суулгах шаардлагатай засваруудын бүрэн жагсаалтыг харж болно. Засвар бүрийн хувьд ямар эмзэг байдлыг зассан, аль хост/систем дээр суулгах шаардлагатай, шууд татаж авах холбоос байдаг.

PCI DSS нийцлийн тайлан. PCI DSS стандарт нь 90 хоног тутамд интернетээс нэвтрэх боломжтой мэдээллийн систем болон програмуудыг сканнердах шаардлагатай. Сканнердсаны дараа та дэд бүтэц нь стандартын шаардлагад нийцэхгүй байгаа тайланг гаргаж болно.

Эмзэг байдлыг арилгах тайлан. Qualys-ийг үйлчилгээний ширээтэй нэгтгэж болох бөгөөд дараа нь олдсон бүх сул талуудыг автоматаар тасалбар болгон хөрвүүлэх болно. Энэ тайланг ашигласнаар та дууссан тасалбарын явц болон шийдэгдсэн сул талуудын явцыг хянах боломжтой.

Портын тайланг нээх. Эндээс та нээлттэй портууд болон тэдгээр дээр ажиллаж байгаа үйлчилгээний талаарх мэдээллийг авах боломжтой.

эсвэл порт тус бүрийн эмзэг байдлын талаар тайлан гаргах:

Эдгээр нь зөвхөн стандарт тайлангийн загварууд юм. Та тодорхой ажлуудад зориулж өөрөө үүсгэж болно, жишээлбэл, эгзэгтэй байдлын тав дахь түвшнээс багагүй эмзэг байдлыг л харуулах. Бүх тайлан бэлэн байна. Тайлангийн формат: CSV, XML, HTML, PDF болон docx.

Тэгээд санаарай: Аюулгүй байдал бол үр дүн биш, харин үйл явц юм. Нэг удаагийн сканнер нь тухайн үеийн асуудлуудыг олж харахад тусалдаг боловч энэ нь эмзэг байдлын бүрэн удирдлагын үйл явцын тухай биш юм.
Энэхүү байнгын ажлыг шийдэхэд тань хялбар болгох үүднээс бид Qualys эмзэг байдлын менежмент дээр суурилсан үйлчилгээг бий болгосон.

Бүх Habr уншигчдад зориулсан урамшуулал байна: Нэг жилийн хугацаанд сканнердах үйлчилгээг захиалах үед хоёр сарын сканнер үнэ төлбөргүй байдаг. Өргөдөл үлдээж болно энд, "Сэтгэгдэл" талбарт Habr гэж бичнэ үү.

Эх сурвалж: www.habr.com