Hello!
Hari ini saya ingin bercakap tentang penyelesaian awan untuk mencari dan menganalisis kelemahan Qualys Vulnerability Management, yang mana salah satu daripada kami .
Di bawah saya akan menunjukkan cara pengimbasan itu sendiri disusun dan maklumat tentang kelemahan yang boleh ditemui berdasarkan keputusan.
Apa yang boleh diimbas
Perkhidmatan luar. Untuk mengimbas perkhidmatan yang mempunyai akses kepada Internet, pelanggan memberikan kami alamat IP dan bukti kelayakan mereka (jika imbasan dengan pengesahan diperlukan). Kami mengimbas perkhidmatan menggunakan awan Qualys dan menghantar laporan berdasarkan keputusan.
Perkhidmatan dalaman. Dalam kes ini, pengimbas mencari kelemahan dalam pelayan dalaman dan infrastruktur rangkaian. Menggunakan imbasan sedemikian, anda boleh menginventori versi sistem pengendalian, aplikasi, port terbuka dan perkhidmatan di belakangnya.
Pengimbas Qualys dipasang untuk mengimbas dalam infrastruktur pelanggan. Awan Qualys berfungsi sebagai pusat arahan untuk pengimbas ini di sini.
Sebagai tambahan kepada pelayan dalaman dengan Qualys, ejen (Cloud Agent) boleh dipasang pada objek yang diimbas. Mereka mengumpul maklumat tentang sistem secara tempatan dan membuat hampir tiada beban pada rangkaian atau hos tempat mereka beroperasi. Maklumat yang diterima dihantar ke awan.
Terdapat tiga perkara penting di sini: pengesahan dan pemilihan objek untuk diimbas.
- Menggunakan Pengesahan. Sesetengah pelanggan meminta pengimbasan kotak hitam, terutamanya untuk perkhidmatan luaran: mereka memberi kami pelbagai alamat IP tanpa menyatakan sistem dan berkata "jadilah seperti penggodam." Tetapi penggodam jarang bertindak membuta tuli. Apabila ia datang untuk menyerang (bukan meninjau), mereka tahu apa yang mereka godam.
Secara membuta tuli, Qualys mungkin terjumpa sepanduk umpan dan mengimbasnya dan bukannya sistem sasaran. Dan tanpa memahami apa sebenarnya yang akan diimbas, mudah terlepas tetapan pengimbas dan "lampirkan" perkhidmatan yang sedang diperiksa.
Pengimbasan akan lebih bermanfaat jika anda melakukan semakan pengesahan di hadapan sistem yang sedang diimbas (kotak putih). Dengan cara ini pengimbas akan memahami dari mana asalnya, dan anda akan menerima data lengkap tentang kelemahan sistem sasaran.
Qualys mempunyai banyak pilihan pengesahan. - Aset kumpulan. Jika anda mula mengimbas semuanya sekali gus dan sembarangan, ia akan mengambil masa yang lama dan mewujudkan beban yang tidak perlu pada sistem. Adalah lebih baik untuk mengumpulkan hos dan perkhidmatan ke dalam kumpulan berdasarkan kepentingan, lokasi, versi OS, kritikal infrastruktur dan ciri lain (dalam Qualys ia dipanggil Kumpulan Aset dan Teg Aset) dan pilih kumpulan tertentu semasa mengimbas.
- Pilih tetingkap teknikal untuk diimbas. Walaupun anda telah berfikir dan bersedia, pengimbasan mewujudkan tekanan tambahan pada sistem. Ia tidak semestinya akan menyebabkan kemerosotan perkhidmatan, tetapi adalah lebih baik untuk memilih masa tertentu untuknya, seperti untuk sandaran atau peralihan kemas kini.
Apakah yang anda boleh pelajari daripada laporan tersebut?
Berdasarkan hasil imbasan, pelanggan menerima laporan yang mengandungi bukan sahaja senarai semua kelemahan yang ditemui, tetapi juga cadangan asas untuk menghapuskannya: kemas kini, tampalan, dll. Qualys mempunyai banyak laporan: terdapat templat lalai dan anda boleh buat sendiri. Agar tidak keliru dalam semua kepelbagaian, adalah lebih baik untuk membuat keputusan sendiri terlebih dahulu mengenai perkara berikut:
- Siapa yang akan melihat laporan ini: pengurus atau pakar teknikal?
- apakah maklumat yang anda ingin perolehi daripada hasil imbasan? Contohnya, jika anda ingin mengetahui sama ada semua tampalan yang diperlukan dipasang dan cara kerja dilakukan untuk menghapuskan kelemahan yang ditemui sebelum ini, maka ini adalah satu laporan. Jika anda hanya perlu mengambil inventori semua hos, kemudian satu lagi.
Jika tugas anda adalah untuk menunjukkan gambaran ringkas tetapi jelas kepada pengurusan, maka anda boleh membentuk Laporan Eksekutif. Semua kelemahan akan diisih ke dalam rak, tahap kritikal, graf dan rajah. Contohnya, 10 kerentanan paling kritikal teratas atau kerentanan paling biasa.
Untuk juruteknik ada Laporan teknikal dengan semua butiran dan butiran. Laporan berikut boleh dihasilkan:
Laporan hos. Perkara yang berguna apabila anda perlu mengambil inventori infrastruktur anda dan mendapatkan gambaran lengkap tentang kelemahan hos.
Inilah rupa senarai hos yang dianalisis, menunjukkan OS berjalan pada mereka.
Mari kita buka hos minat dan lihat senarai 219 kelemahan yang ditemui, bermula daripada yang paling kritikal, tahap lima:
Kemudian anda boleh melihat butiran untuk setiap kelemahan. Di sini kita lihat:
- apabila kelemahan dikesan untuk kali pertama dan terakhir,
- nombor kelemahan industri,
- tampalan untuk menghapuskan kelemahan,
- adakah terdapat sebarang masalah dengan pematuhan PCI DSS, NIST, dsb.,
- adakah terdapat eksploitasi dan perisian hasad untuk kelemahan ini,
- ialah kelemahan yang dikesan apabila mengimbas dengan/tanpa pengesahan dalam sistem, dsb.
Jika ini bukan imbasan pertama - ya, anda perlu mengimbas dengan kerap π - kemudian dengan bantuan Laporan Trend Anda boleh mengesan dinamik bekerja dengan kelemahan. Status kelemahan akan ditunjukkan berbanding dengan imbasan sebelumnya: kelemahan yang ditemui lebih awal dan ditutup akan ditandakan sebagai tetap, tidak tertutup - aktif, baharu - baharu.
Laporan kerentanan. Dalam laporan ini, Qualys akan membina senarai kelemahan, bermula dengan yang paling kritikal, menunjukkan hos yang mana untuk menangkap kelemahan ini. Laporan ini berguna jika anda memutuskan untuk memahami dengan segera, sebagai contoh, semua kelemahan tahap kelima.
Anda juga boleh membuat laporan berasingan hanya tentang kelemahan peringkat keempat dan kelima.
Laporan tampalan. Di sini anda boleh melihat senarai lengkap patch yang perlu dipasang untuk menghapuskan kelemahan yang ditemui. Untuk setiap tampung terdapat penjelasan tentang kelemahan yang dibetulkan, pada hos/sistem mana yang perlu dipasang, dan pautan muat turun terus.
Laporan Pematuhan PCI DSS. Piawaian PCI DSS memerlukan sistem maklumat pengimbasan dan aplikasi yang boleh diakses dari Internet setiap 90 hari. Selepas imbasan, anda boleh menjana laporan yang akan menunjukkan apa yang infrastruktur tidak memenuhi keperluan standard.
Laporan Pemulihan Kerentanan. Qualys boleh disepadukan dengan meja perkhidmatan, dan kemudian semua kelemahan yang ditemui akan diterjemahkan secara automatik ke dalam tiket. Menggunakan laporan ini, anda boleh menjejaki kemajuan pada tiket yang telah siap dan menyelesaikan kelemahan.
Buka laporan pelabuhan. Di sini anda boleh mendapatkan maklumat tentang port dan perkhidmatan terbuka yang berjalan padanya:
atau menjana laporan tentang kelemahan pada setiap port:
Ini hanyalah templat laporan standard. Anda boleh membuat sendiri untuk tugasan tertentu, sebagai contoh, tunjukkan hanya kelemahan yang tidak lebih rendah daripada tahap kritikal kelima. Semua laporan tersedia. Format laporan: CSV, XML, HTML, PDF dan docx.
Dan ingat: Keselamatan bukan hasil, tetapi proses. Imbasan sekali membantu untuk melihat masalah pada masa ini, tetapi ini bukan mengenai proses pengurusan kerentanan sepenuhnya.
Untuk memudahkan anda membuat keputusan mengenai kerja tetap ini, kami telah mencipta perkhidmatan berdasarkan Pengurusan Kerentanan Qualys.
Terdapat promosi untuk semua pembaca Habr: Apabila anda memesan perkhidmatan imbasan selama setahun, dua bulan imbasan adalah percuma. Permohonan boleh ditinggalkan , dalam medan "Ulasan" tulis Habr.
Sumber: www.habr.com