Olá a todos!
Hoje quero falar sobre a solução em nuvem para busca e análise de vulnerabilidades Qualys Vulnerability Management, na qual um de nossos .
A seguir mostrarei como a verificação em si é organizada e quais informações sobre vulnerabilidades podem ser encontradas com base nos resultados.
O que pode ser digitalizado
Serviços externos. Para digitalizar serviços que têm acesso à Internet, o cliente fornece-nos os seus endereços IP e credenciais (caso seja necessária uma digitalização com autenticação). Fazemos a varredura dos serviços utilizando a nuvem Qualys e enviamos um relatório com base nos resultados.
Serviços internos. Nesse caso, o scanner procura vulnerabilidades em servidores internos e na infraestrutura de rede. Usando essa verificação, você pode inventariar as versões dos sistemas operacionais, aplicativos, portas abertas e serviços por trás deles.
Um scanner Qualys é instalado para fazer varredura na infraestrutura do cliente. A nuvem Qualys serve como centro de comando para este scanner aqui.
Além do servidor interno com Qualys, podem ser instalados agentes (Cloud Agent) nos objetos digitalizados. Eles coletam informações sobre o sistema localmente e praticamente não criam carga na rede ou nos hosts nos quais operam. As informações recebidas são enviadas para a nuvem.
Existem três pontos importantes aqui: autenticação e seleção de objetos a serem verificados.
- Usando autenticação. Alguns clientes pedem verificação de caixa preta, especialmente para serviços externos: eles nos fornecem uma série de endereços IP sem especificar o sistema e dizem “seja como um hacker”. Mas os hackers raramente agem cegamente. Quando se trata de ataque (não de reconhecimento), eles sabem o que estão hackeando.
Cegamente, o Qualys pode tropeçar em banners falsos e digitalizá-los em vez do sistema de destino. E sem entender exatamente o que será verificado, é fácil perder as configurações do scanner e “anexar” o serviço que está sendo verificado.
A verificação será mais benéfica se você realizar verificações de autenticação na frente dos sistemas que estão sendo verificados (caixa branca). Dessa forma, o scanner entenderá de onde veio e você receberá dados completos sobre as vulnerabilidades do sistema alvo.
Qualys tem muitas opções de autenticação. - Ativos do grupo. Se você começar a verificar tudo de uma vez e indiscriminadamente, isso levará muito tempo e criará uma carga desnecessária nos sistemas. É melhor agrupar hosts e serviços em grupos com base na importância, localização, versão do sistema operacional, criticidade da infraestrutura e outras características (no Qualys eles são chamados de grupos de ativos e tags de ativos) e selecionar um grupo específico durante a varredura.
- Selecione uma janela técnica para digitalizar. Mesmo que você tenha pensado e se preparado, a digitalização cria um estresse adicional no sistema. Não necessariamente causará degradação do serviço, mas é melhor escolher um determinado horário para isso, como para backup ou rollover de atualizações.
O que você pode aprender com os relatórios?
Com base nos resultados da verificação, o cliente recebe um relatório que conterá não apenas uma lista de todas as vulnerabilidades encontradas, mas também recomendações básicas para eliminá-las: atualizações, patches, etc. O Qualys possui muitos relatórios: existem modelos padrão, e você pode criar o seu próprio. Para não se confundir com toda a diversidade, é melhor primeiro decidir por si mesmo os seguintes pontos:
- Quem visualizará este relatório: um gestor ou um especialista técnico?
- quais informações você deseja obter dos resultados da verificação? Por exemplo, se você deseja saber se todos os patches necessários estão instalados e como o trabalho está sendo feito para eliminar vulnerabilidades encontradas anteriormente, este é um relatório. Se você só precisa fazer um inventário de todos os hosts, então outro.
Se sua tarefa é mostrar uma imagem breve, mas clara à gerência, então você pode formar Relatório Executivo. Todas as vulnerabilidades serão classificadas em prateleiras, níveis de criticidade, gráficos e diagramas. Por exemplo, as 10 vulnerabilidades mais críticas ou as vulnerabilidades mais comuns.
Para um técnico existe Relatório técnico com todos os detalhes e detalhes. Os seguintes relatórios podem ser gerados:
Relatório de anfitriões. Uma coisa útil quando você precisa fazer um inventário de sua infraestrutura e obter uma visão completa das vulnerabilidades do host.
Esta é a aparência da lista de hosts analisados, indicando o sistema operacional em execução neles.
Vamos abrir o host de interesse e ver uma lista de 219 vulnerabilidades encontradas, começando pela mais crítica, nível cinco:
Então você pode ver os detalhes de cada vulnerabilidade. Aqui vemos:
- quando a vulnerabilidade foi detectada pela primeira e última vez,
- números de vulnerabilidade industrial,
- patch para eliminar a vulnerabilidade,
- há algum problema com a conformidade com PCI DSS, NIST, etc.,
- existe uma exploração e malware para esta vulnerabilidade,
- é uma vulnerabilidade detectada ao digitalizar com/sem autenticação no sistema, etc.
Se esta não for a primeira verificação - sim, você precisa verificar regularmente 🙂 - então com a ajuda Relatório de tendências Você pode acompanhar a dinâmica de trabalhar com vulnerabilidades. O status das vulnerabilidades será mostrado em comparação com a verificação anterior: as vulnerabilidades encontradas anteriormente e fechadas serão marcadas como corrigidas, as não fechadas - ativas, as novas - novas.
Relatório de vulnerabilidade. Neste relatório, a Qualys construirá uma lista de vulnerabilidades, começando pelas mais críticas, indicando em qual host detectar essa vulnerabilidade. O relatório será útil se você decidir compreender imediatamente, por exemplo, todas as vulnerabilidades do quinto nível.
Você também pode fazer um relatório separado apenas sobre vulnerabilidades de quarto e quinto níveis.
Relatório de patches. Aqui você pode ver uma lista completa de patches que precisam ser instalados para eliminar as vulnerabilidades encontradas. Para cada patch há uma explicação de quais vulnerabilidades ele corrige, em qual host/sistema ele precisa ser instalado e um link direto para download.
Relatório de conformidade com PCI DSS. O padrão PCI DSS exige a verificação de sistemas de informação e aplicativos acessíveis pela Internet a cada 90 dias. Após a varredura, você poderá gerar um relatório que mostrará qual infraestrutura não atende aos requisitos da norma.
Relatórios de correção de vulnerabilidades. O Qualys pode ser integrado ao service desk e então todas as vulnerabilidades encontradas serão automaticamente traduzidas em tickets. Usando este relatório, você pode acompanhar o progresso dos tickets concluídos e das vulnerabilidades resolvidas.
Relatórios de portas abertas. Aqui você pode obter informações sobre portas abertas e serviços executados nelas:
ou gere um relatório sobre vulnerabilidades em cada porta:
Estes são apenas modelos de relatórios padrão. Você pode criar o seu próprio para tarefas específicas, por exemplo, mostrar apenas vulnerabilidades não inferiores ao quinto nível de criticidade. Todos os relatórios estão disponíveis. Formato do relatório: CSV, XML, HTML, PDF e docx.
E lembre-se: Segurança não é um resultado, mas um processo. Uma verificação única ajuda a detectar problemas no momento, mas não se trata de um processo completo de gerenciamento de vulnerabilidades.
Para facilitar a sua decisão sobre esse trabalho regular, criamos um serviço baseado no Qualys Vulnerability Management.
Há uma promoção para todos os leitores do Habr: Quando você solicita um serviço de digitalização por um ano, dois meses de digitalizações são gratuitas. As inscrições podem ser deixadas , no campo “Comentário” escreva Habr.
Fonte: habr.com