Hallo iedereen!
Vandaag wil ik het hebben over de cloudoplossing voor het zoeken en analyseren van kwetsbaarheden Qualys Vulnerability Management, waarop een van onze .
Hieronder laat ik zien hoe het scannen zelf is georganiseerd en welke informatie over kwetsbaarheden er op basis van de resultaten te vinden is.
Wat kan worden gescand
Externe dienstverlening. Om diensten te scannen die toegang hebben tot internet, verstrekt de klant ons hun IP-adressen en inloggegevens (als een scan met authenticatie nodig is). Wij scannen diensten met behulp van de Qualys-cloud en sturen op basis van de resultaten een rapport.
Interne diensten. In dit geval zoekt de scanner naar kwetsbaarheden in interne servers en netwerkinfrastructuur. Met zo'n scan kunt u de versies van besturingssystemen, applicaties, open poorten en services erachter inventariseren.
Om te scannen binnen de infrastructuur van de klant wordt een Qualys scanner geïnstalleerd. De Qualys-cloud fungeert hier als commandocentrum voor deze scanner.
Naast de interne server met Qualys kunnen agents (Cloud Agent) op gescande objecten worden geïnstalleerd. Ze verzamelen lokaal informatie over het systeem en belasten het netwerk of de hosts waarop ze werken vrijwel niet. De ontvangen informatie wordt naar de cloud verzonden.
Er zijn hier drie belangrijke punten: authenticatie en selectie van te scannen objecten.
- Authenticatie gebruiken. Sommige klanten vragen om blackbox-scanning, vooral voor externe diensten: ze geven ons een reeks IP-adressen zonder het systeem te specificeren en zeggen “wees als een hacker.” Maar hackers handelen zelden blindelings. Als het om aanvallen gaat (niet om verkenningen), weten ze wat ze hacken.
Blindelings kan Qualys lokbanners tegenkomen en deze scannen in plaats van het doelsysteem. En zonder te begrijpen wat er precies wordt gescand, kunt u gemakkelijk de scannerinstellingen over het hoofd zien en de service die wordt gecontroleerd, ‘bijvoegen’.
Scannen zal voordeliger zijn als u authenticatiecontroles uitvoert vóór de systemen die worden gescand (whitebox). Zo begrijpt de scanner waar deze vandaan komt en ontvangt u volledige gegevens over de kwetsbaarheden van het doelsysteem.
Qualys beschikt over veel authenticatiemogelijkheden. - Groepsactiva. Als je alles in één keer en zonder onderscheid gaat scannen, duurt dat lang en wordt de systemen onnodig belast. Het is beter om hosts en services in groepen te groeperen op basis van belangrijkheid, locatie, OS-versie, infrastructuurkriticiteit en andere kenmerken (in Qualys worden ze Asset Groups en Asset Tags genoemd) en tijdens het scannen een specifieke groep te selecteren.
- Selecteer een technisch venster om te scannen. Zelfs als u goed heeft nagedacht en voorbereid, zorgt scannen voor extra belasting van het systeem. Het zal niet noodzakelijkerwijs leiden tot verslechtering van de service, maar het is beter om er een bepaalde tijd voor te kiezen, bijvoorbeeld voor een back-up of rollover van updates.
Wat kunt u leren van de rapporten?
Op basis van de scanresultaten ontvangt de klant een rapport dat niet alleen een lijst bevat met alle gevonden kwetsbaarheden, maar ook basisaanbevelingen om deze te elimineren: updates, patches, etc. Qualys heeft veel rapporten: er zijn standaardsjablonen en je kunt je eigen maken. Om niet in de war te raken in alle diversiteit, kun je beter eerst zelf beslissen over de volgende punten:
- Wie krijgt dit rapport te zien: een manager of een technisch specialist?
- welke informatie wilt u uit de scanresultaten halen? Wilt u bijvoorbeeld weten of alle benodigde patches zijn geïnstalleerd en hoe er wordt gewerkt om eerder gevonden kwetsbaarheden weg te werken, dan is dit één rapport. Als u alleen maar een inventarisatie van alle hosts hoeft te maken, dan nog een.
Als het uw taak is om het management een kort maar duidelijk beeld te geven, dan kunt u zich vormen Uitvoerend rapport. Alle kwetsbaarheden worden gesorteerd in planken, kriticiteitsniveaus, grafieken en diagrammen. Bijvoorbeeld de top 10 meest kritische kwetsbaarheden of de meest voorkomende kwetsbaarheden.
Voor een technicus wel Technisch rapport met alle details en details. De volgende rapporten kunnen worden gegenereerd:
Gastheren melden. Handig als u uw infrastructuur moet inventariseren en een compleet beeld wilt krijgen van de kwetsbaarheden van uw host.
Zo ziet de lijst met geanalyseerde hosts eruit, met vermelding van het besturingssysteem dat erop draait.
Laten we de vele interessante kwetsbaarheden bekijken en een lijst met 219 gevonden kwetsbaarheden bekijken, beginnend bij het meest kritieke niveau, niveau vijf:
Vervolgens kunt u de details van elke kwetsbaarheid bekijken. Hier zien we:
- wanneer de kwetsbaarheid voor de eerste en de laatste keer werd ontdekt,
- cijfers over industriële kwetsbaarheid,
- patch om de kwetsbaarheid te elimineren,
- zijn er problemen met de naleving van PCI DSS, NIST, enz.,
- is er een exploit en malware voor deze kwetsbaarheid,
- is een kwetsbaarheid die wordt gedetecteerd bij het scannen met/zonder authenticatie in het systeem, enz.
Als dit niet de eerste scan is - ja, je moet regelmatig scannen 🙂 - dan met hulp Trendrapport Je kunt de dynamiek van het werken met kwetsbaarheden traceren. De status van kwetsbaarheden wordt getoond in vergelijking met de vorige scan: eerder gevonden en gesloten kwetsbaarheden worden gemarkeerd als opgelost, niet-gesloten - actief, nieuwe - nieuw.
Kwetsbaarheidsrapport. In dit rapport zal Qualys een lijst met kwetsbaarheden samenstellen, te beginnen met de meest kritieke, en aangeven op welke host deze kwetsbaarheid moet worden ontdekt. Het rapport zal nuttig zijn als u besluit om bijvoorbeeld onmiddellijk alle kwetsbaarheden van het vijfde niveau te begrijpen.
U kunt ook alleen een aparte melding maken over kwetsbaarheden van het vierde en vijfde niveau.
Patchrapport. Hier ziet u een volledige lijst met patches die moeten worden geïnstalleerd om de gevonden kwetsbaarheden te elimineren. Bij elke patch staat uitgelegd welke kwetsbaarheden deze verhelpt, op welke host/systeem deze geïnstalleerd moet worden en een directe downloadlink.
PCI DSS-nalevingsrapport. De PCI DSS-standaard vereist dat informatiesystemen en applicaties die toegankelijk zijn via internet elke 90 dagen worden gescand. Na de scan kunt u een rapport genereren waaruit blijkt wat de infrastructuur niet voldoet aan de eisen van de norm.
Rapporten over herstel van kwetsbaarheden. Qualys kan worden geïntegreerd met de servicedesk, waarna alle gevonden kwetsbaarheden automatisch worden vertaald naar tickets. Met dit rapport kunt u de voortgang volgen van voltooide tickets en opgeloste kwetsbaarheden.
Poortrapporten openen. Hier kunt u informatie krijgen over open poorten en services die daarop draaien:
of genereer een rapport over kwetsbaarheden op elke poort:
Dit zijn slechts standaardrapportsjablonen. U kunt uw eigen taken maken voor specifieke taken, waarbij u bijvoorbeeld alleen kwetsbaarheden laat zien die niet lager zijn dan het vijfde niveau van kritiek. Alle rapporten zijn beschikbaar. Rapportformaat: CSV, XML, HTML, PDF en docx.
En onthoud: Veiligheid is geen resultaat, maar een proces. Een eenmalige scan helpt om problemen op dit moment te zien, maar het gaat niet om een volwaardig kwetsbaarheidsbeheerproces.
Om het voor u gemakkelijker te maken om over deze reguliere werkzaamheden te beslissen, hebben wij een dienst ontwikkeld op basis van Qualys Vulnerability Management.
Voor alle Habr-lezers is er een actie: Wanneer u een scanservice voor een jaar bestelt, zijn de scans twee maanden gratis. Aanvragen kunnen worden achtergelaten , schrijf in het veld "Opmerking" Habr.
Bron: www.habr.com