Witam wszystkich!
Dzisiaj chcę porozmawiać o rozwiązaniu chmurowym do wyszukiwania i analizowania podatności Qualys Vulnerability Management, na którym jeden z naszych .
Poniżej pokażę jak zorganizowane jest samo skanowanie i jakie informacje o podatnościach można znaleźć na podstawie jego wyników.
Co można zeskanować
Usługi zewnętrzne. Aby skanować usługi posiadające dostęp do Internetu, Klient udostępnia nam swój adres IP oraz dane uwierzytelniające (jeżeli konieczny jest skan z uwierzytelnieniem). Skanujemy usługi za pomocą chmury Qualys i na podstawie wyników wysyłamy raport.
Usługi wewnętrzne. W tym przypadku skaner szuka luk w zabezpieczeniach wewnętrznych serwerów i infrastruktury sieciowej. Za pomocą takiego skanowania możesz zinwentaryzować wersje systemów operacyjnych, aplikacji, otwartych portów i usług za nimi.
Zainstalowany skaner Qualys umożliwia skanowanie w infrastrukturze klienta. Chmura Qualys służy tutaj jako centrum dowodzenia dla tego skanera.
Oprócz wewnętrznego serwera z Qualys, na przeskanowanych obiektach można zainstalować agentów (Cloud Agent). Zbierają informacje o systemie lokalnie i praktycznie nie powodują obciążenia sieci ani hostów, na których działają. Otrzymane informacje przesyłane są do chmury.
Ważne są tu trzy punkty: uwierzytelnianie i wybór obiektów do skanowania.
- Korzystanie z uwierzytelniania. Niektórzy klienci proszą o skanowanie czarną skrzynką, szczególnie w przypadku usług zewnętrznych: podają nam zakres adresów IP bez określania systemu i mówią „bądź jak haker”. Jednak hakerzy rzadko działają na ślepo. Jeśli chodzi o atak (nie zwiad), wiedzą, co hakują.
Na ślepo Qualy mogą natknąć się na banery-wabiki i zeskanować je zamiast systemu docelowego. A nie rozumiejąc, co dokładnie będzie skanowane, łatwo przeoczyć ustawienia skanera i „załączyć” sprawdzaną usługę.
Skanowanie będzie bardziej korzystne, jeśli przeprowadzisz kontrolę uwierzytelnienia przed skanowanymi systemami (biała skrzynka). W ten sposób skaner zrozumie, skąd pochodzi, a Ty otrzymasz pełne dane na temat luk w systemie docelowym.
Qualys oferuje wiele opcji uwierzytelniania. - Aktywa grupy. Jeśli uruchomisz skanowanie wszystkiego na raz i bez rozróżnienia, zajmie to dużo czasu i spowoduje niepotrzebne obciążenie systemów. Lepiej jest grupować hosty i usługi w grupy na podstawie ważności, lokalizacji, wersji systemu operacyjnego, krytyczności infrastruktury i innych cech (w Qualys nazywane są one grupami zasobów i tagami zasobów) i wybierać konkretną grupę podczas skanowania.
- Wybierz okno techniczne do skanowania. Nawet jeśli przemyślałeś i przygotowałeś się, skanowanie powoduje dodatkowe obciążenie systemu. Niekoniecznie spowoduje to degradację usługi, ale lepiej wybrać na to określony czas, np. na wykonanie kopii zapasowej lub przeniesienie aktualizacji.
Czego można się dowiedzieć z raportów?
Na podstawie wyników skanowania klient otrzymuje raport, który będzie zawierał nie tylko listę wszystkich wykrytych luk, ale także podstawowe zalecenia dotyczące ich usunięcia: aktualizacje, łatki itp. Qualys posiada wiele raportów: dostępne są domyślne szablony oraz możesz stworzyć swój własny. Aby nie pomylić się z całą różnorodnością, lepiej najpierw samodzielnie zdecydować o następujących kwestiach:
- Kto będzie przeglądał ten raport: menedżer czy specjalista techniczny?
- jakie informacje chcesz uzyskać z wyników skanowania? Na przykład, jeśli chcesz dowiedzieć się, czy zostały zainstalowane wszystkie niezbędne łatki i jak trwają prace nad wyeliminowaniem wcześniej wykrytych luk, to jest to jeden raport. Jeśli chcesz po prostu sporządzić spis wszystkich hostów, wybierz inny.
Jeśli Twoim zadaniem jest pokazanie kierownictwu krótkiego, ale jasnego obrazu, możesz utworzyć Raport wykonawczy. Wszystkie luki zostaną posortowane według półek, poziomów krytyczności, wykresów i diagramów. Na przykład 10 najważniejszych luk w zabezpieczeniach lub najczęstsze luki.
Dla technika tak Raport techniczny ze wszystkimi szczegółami i szczegółami. Można generować następujące raporty:
Raport gospodarzy. Przydatna rzecz, gdy musisz dokonać inwentaryzacji swojej infrastruktury i uzyskać pełny obraz luk w zabezpieczeniach hosta.
Tak wygląda lista analizowanych hostów ze wskazaniem działającego na nich systemu operacyjnego.
Otwórzmy interesujący nas host i zobaczmy listę 219 znalezionych luk, zaczynając od najbardziej krytycznej, poziomu piątego:
Następnie możesz zobaczyć szczegóły każdej luki. Tutaj widzimy:
- kiedy podatność została wykryta po raz pierwszy i ostatni,
- numery podatności przemysłowej,
- łatka eliminująca lukę,
- czy są jakieś problemy ze zgodnością z PCI DSS, NIST itp.,
- czy istnieje exploit i złośliwe oprogramowanie wykorzystujące tę lukę,
- to luka wykryta podczas skanowania z/bez uwierzytelnienia w systemie itp.
Jeśli nie jest to pierwsze skanowanie – tak, trzeba skanować regularnie 🙂 – to z pomocą Raport trendów Można prześledzić dynamikę pracy z podatnościami. Status luk zostanie pokazany w porównaniu z poprzednim skanowaniem: luki znalezione wcześniej i zamknięte zostaną oznaczone jako naprawione, niezamknięte - aktywne, nowe - nowe.
Raport o podatnościach. W tym raporcie Qualys utworzy listę luk, zaczynając od najbardziej krytycznych, wskazując, na którym hoście wykryje tę lukę. Raport będzie przydatny, jeśli zdecydujesz się od razu zrozumieć np. wszystkie podatności piątego poziomu.
Możesz także sporządzić osobny raport tylko na temat podatności czwartego i piątego poziomu.
Raport o łatce. Tutaj możesz zobaczyć pełną listę poprawek, które należy zainstalować, aby wyeliminować znalezione luki. Dla każdej łatki znajduje się wyjaśnienie, jakie luki naprawia, na jakim hoście/systemie należy ją zainstalować, a także bezpośredni link do pobrania.
Raport zgodności PCI DSS. Standard PCI DSS wymaga skanowania systemów informatycznych i aplikacji dostępnych z Internetu co 90 dni. Po skanowaniu możesz wygenerować raport, który pokaże, która infrastruktura nie spełnia wymagań normy.
Raporty dotyczące usuwania luk w zabezpieczeniach. Qualys można zintegrować z Service Desk, a wtedy wszystkie znalezione luki zostaną automatycznie przetłumaczone na zgłoszenia. Za pomocą tego raportu możesz śledzić postęp w zakresie ukończonych zgłoszeń i usuniętych luk.
Otwórz raporty portów. Tutaj możesz uzyskać informacje na temat otwartych portów i działających na nich usług:
lub wygeneruj raport o podatnościach na każdym porcie:
To tylko standardowe szablony raportów. Możesz stworzyć własne pod konkretne zadania, np. pokazywać tylko podatności nie niższe niż piąty poziom krytyczności. Wszystkie raporty są dostępne. Format raportu: CSV, XML, HTML, PDF i docx.
I pamiętaj: Bezpieczeństwo nie jest wynikiem, ale procesem. Jednorazowe skanowanie pomaga dostrzec problemy w danej chwili, jednak nie chodzi tu o pełny proces zarządzania podatnościami.
Aby ułatwić Ci podjęcie decyzji o tej regularnej pracy, stworzyliśmy usługę opartą na Qualys Vulnerability Management.
Dla wszystkich czytelników Habr czeka promocja: Zamawiając usługę skanowania na rok, dwa miesiące skanowania są bezpłatne. Aplikacje można zostawić , w polu „Komentarz” wpisz Habr.
Źródło: www.habr.com