Hvordan jeg ble sårbar: skanning av IT-infrastruktur ved hjelp av Qualys

Hei!

I dag vil jeg snakke om skyløsningen for å søke og analysere sårbarheter Qualys Vulnerability Management, hvor en av våre tjenester.

Nedenfor vil jeg vise hvordan selve skanningen er organisert og hvilken informasjon om sårbarheter som kan finnes basert på resultatene.

Hva kan skannes

Eksterne tjenester. For å skanne tjenester som har tilgang til Internett, gir klienten oss deres IP-adresser og legitimasjon (hvis en skanning med autentisering er nødvendig). Vi skanner tjenester ved hjelp av Qualys-skyen og sender en rapport basert på resultatene.

Interne tjenester. I dette tilfellet ser skanneren etter sårbarheter i interne servere og nettverksinfrastruktur. Ved å bruke en slik skanning kan du registrere versjonene av operativsystemer, applikasjoner, åpne porter og tjenester bak dem.

En Qualys-skanner er installert for å skanne innenfor klientens infrastruktur. Qualys-skyen fungerer som kommandosenteret for denne skanneren her.

I tillegg til den interne serveren med Qualys, kan agenter (Cloud Agent) installeres på skannede objekter. De samler informasjon om systemet lokalt og skaper praktisk talt ingen belastning på nettverket eller vertene de opererer på. Den mottatte informasjonen sendes til skyen.

Det er tre viktige punkter her: autentisering og valg av objekter som skal skannes.

1. Bruker autentisering. Noen klienter ber om blackbox-skanning, spesielt for eksterne tjenester: de gir oss en rekke IP-adresser uten å spesifisere systemet og sier "vær som en hacker." Men hackere handler sjelden blindt. Når det gjelder angrep (ikke rekognosering), vet de hva de hacker. 

   Blindt kan Qualys snuble over lokkebannere og skanne dem i stedet for målsystemet. Og uten å forstå hva som skal skannes, er det lett å gå glipp av skannerinnstillingene og "legge ved" tjenesten som sjekkes. 

   Skanning vil være mer fordelaktig hvis du utfører autentiseringskontroller foran systemene som skannes (whitebox). På denne måten vil skanneren forstå hvor den kom fra, og du vil motta fullstendige data om sårbarhetene til målsystemet.

   
   Qualys har mange autentiseringsalternativer.

2. Gruppens eiendeler. Hvis du begynner å skanne alt på en gang og ukritisk, vil det ta lang tid og skape en unødvendig belastning på systemene. Det er bedre å gruppere verter og tjenester i grupper basert på viktighet, plassering, OS-versjon, infrastrukturkritikk og andre egenskaper (i Qualys kalles de Asset Groups og Asset Tags) og velge en spesifikk gruppe ved skanning.
3. Velg et teknisk vindu for å skanne. Selv om du har tenkt og forberedt, skaper skanning ekstra stress på systemet. Det vil ikke nødvendigvis føre til forringelse av tjenesten, men det er bedre å velge et bestemt tidspunkt for det, for eksempel for sikkerhetskopiering eller rollover av oppdateringer.

Hva kan du lære av rapportene?

Basert på skanneresultatene mottar klienten en rapport som ikke bare inneholder en liste over alle sårbarheter som er funnet, men også grunnleggende anbefalinger for å eliminere dem: oppdateringer, patcher osv. Qualys har mange rapporter: det er standardmaler, og du kan lage din egen. For ikke å bli forvirret i alt mangfoldet, er det bedre å først bestemme selv på følgende punkter: 

• Hvem vil se denne rapporten: en leder eller en teknisk spesialist?
• hvilken informasjon vil du ha fra skanneresultatene? Hvis du for eksempel ønsker å finne ut om alle nødvendige oppdateringer er installert og hvordan det jobbes med å eliminere tidligere funnet sårbarheter, så er dette én rapport. Hvis du bare trenger å ta en oversikt over alle verter, så en annen.

Hvis din oppgave er å vise et kort, men klart bilde til ledelsen, kan du danne deg Executive Report. Alle sårbarheter vil bli sortert i hyller, kritiske nivåer, grafer og diagrammer. For eksempel de 10 mest kritiske sårbarhetene eller de vanligste sårbarhetene.

For en tekniker er det Teknisk rapport med alle detaljer og detaljer. Følgende rapporter kan genereres:

Verter rapporterer. En nyttig ting når du trenger å ta en oversikt over infrastrukturen din og få et fullstendig bilde av vertssårbarheter. 

Dette er hvordan listen over analyserte verter ser ut, og indikerer hvilket operativsystem som kjører på dem.

La oss åpne verten av interesse og se en liste over 219 sårbarheter funnet, fra det mest kritiske nivå fem:

Deretter kan du se detaljene for hver sårbarhet. Her ser vi:

• når sårbarheten ble oppdaget for første og siste gang,
• industrielle sårbarhetstall,
• oppdatering for å eliminere sårbarheten,
• er det noen problemer med overholdelse av PCI DSS, NIST, etc.,
• er det en utnyttelse og skadelig programvare for dette sikkerhetsproblemet,
• er en sårbarhet oppdaget ved skanning med/uten autentisering i systemet osv.

Hvis dette ikke er den første skanningen - ja, du må skanne regelmessig 🙂 - da med hjelp Trendrapport Du kan spore dynamikken ved å jobbe med sårbarheter. Status for sårbarheter vil bli vist sammenlignet med forrige skanning: sårbarheter som ble funnet tidligere og lukket vil bli merket som faste, ulukkede - aktive, nye - nye.

Sårbarhetsrapport. I denne rapporten vil Qualys bygge en liste over sårbarheter, som starter med de mest kritiske, og indikerer hvilken vert denne sårbarheten skal fanges på. Rapporten vil være nyttig hvis du bestemmer deg for å umiddelbart forstå, for eksempel, alle sårbarhetene på det femte nivået.

Du kan også lage en egen rapport kun om sårbarheter på fjerde og femte nivå.

Patch-rapport. Her kan du se en fullstendig liste over patcher som må installeres for å eliminere sårbarhetene som er funnet. For hver patch er det en forklaring på hvilke sårbarheter den fikser, på hvilken vert/system den må installeres, og en direkte nedlastingslenke.

PCI DSS-samsvarsrapport. PCI DSS-standarden krever skanning av informasjonssystemer og applikasjoner tilgjengelig fra Internett hver 90. dag. Etter skanningen kan du generere en rapport som viser hva infrastrukturen ikke oppfyller kravene i standarden.

Sårbarhetsutbedringsrapporter. Qualys kan integreres med servicedesk, og da vil alle funnet sårbarheter automatisk oversettes til billetter. Ved å bruke denne rapporten kan du spore fremgang på fullførte billetter og løste sårbarheter.

Åpne portrapporter. Her kan du få informasjon om åpne porter og tjenester som kjører på dem:

eller generer en rapport om sårbarheter på hver port:

Dette er bare standard rapportmaler. Du kan lage din egen for spesifikke oppgaver, for eksempel vise kun sårbarheter som ikke er lavere enn det femte kritiske nivået. Alle rapporter er tilgjengelige. Rapportformat: CSV, XML, HTML, PDF og docx.

Og husk: Sikkerhet er ikke et resultat, men en prosess. En engangsskanning hjelper til med å se problemer i øyeblikket, men dette handler ikke om en fullverdig prosess for sårbarhetshåndtering.
For å gjøre det enklere for deg å bestemme over dette vanlige arbeidet, har vi laget en tjeneste basert på Qualys Vulnerability Management.

Det er en kampanje for alle Habr-lesere: Når du bestiller en skanningstjeneste i ett år, er to måneders skanning gratis. Søknader kan stå igjen her, i "Kommentar"-feltet skriv Habr.

Kilde: www.habr.com