Cum am devenit vulnerabil: scanarea infrastructurii IT folosind Qualys

Bună ziua tuturor!

Astăzi vreau să vorbesc despre soluția cloud pentru căutarea și analiza vulnerabilităților Qualys Vulnerability Management, pe care una dintre a serviciilor.

Mai jos voi arăta cum este organizată scanarea în sine și ce informații despre vulnerabilități pot fi găsite pe baza rezultatelor.

Ce poate fi scanat

Servicii externe. Pentru a scana serviciile care au acces la Internet, clientul ne furnizează adresele IP și acreditările lor (dacă este necesară o scanare cu autentificare). Scanăm serviciile folosind cloud-ul Qualys și trimitem un raport pe baza rezultatelor.

Servicii interne. În acest caz, scanerul caută vulnerabilități în serverele interne și în infrastructura de rețea. Folosind o astfel de scanare, puteți inventaria versiunile de sisteme de operare, aplicații, porturi deschise și servicii din spatele lor.

Un scanner Qualys este instalat pentru a scana în infrastructura clientului. Norul Qualys servește ca centru de comandă pentru acest scaner aici.

Pe lângă serverul intern cu Qualys, agenții (Cloud Agent) pot fi instalați pe obiectele scanate. Ei colectează informații despre sistem la nivel local și nu creează practic nicio încărcare în rețea sau pe gazdele pe care operează. Informațiile primite sunt trimise în cloud.

Există trei puncte importante aici: autentificarea și selectarea obiectelor de scanat.

1. Folosind autentificarea. Unii clienți solicită scanarea cutiei negre, în special pentru servicii externe: ne oferă o serie de adrese IP fără a specifica sistemul și spun „fii ca un hacker”. Dar hackerii rareori acționează orbește. Când vine vorba de atac (nu de recunoaștere), ei știu ce piratau. 

   Orbește, Qualys se poate împiedica de bannere de momeală și le poate scana în locul sistemului țintă. Și fără a înțelege exact ce va fi scanat, este ușor să pierdeți setările scanerului și să „atașați” serviciul verificat. 

   Scanarea va fi mai benefică dacă efectuați verificări de autentificare în fața sistemelor scanate (cutie albă). În acest fel, scanerul va înțelege de unde provine și veți primi date complete despre vulnerabilitățile sistemului țintă.

   
   Qualys are multe opțiuni de autentificare.

2. Activele grupului. Dacă începeți să scanați totul dintr-o dată și fără discernământ, va dura mult timp și va crea o sarcină inutilă asupra sistemelor. Este mai bine să grupați gazdele și serviciile în grupuri în funcție de importanță, locație, versiunea sistemului de operare, criticitatea infrastructurii și alte caracteristici (în Qualys sunt numite Asset Groups și Asset Tags) și selectați un anumit grup atunci când scanați.
3. Selectați o fereastră tehnică pentru scanare. Chiar dacă te-ai gândit și te-ai pregătit, scanarea creează un stres suplimentar asupra sistemului. Nu va provoca neapărat degradarea serviciului, dar este mai bine să alegeți o anumită perioadă de timp pentru acesta, cum ar fi pentru o copie de rezervă sau transfer de actualizări.

Ce poți învăța din rapoarte?

Pe baza rezultatelor scanării, clientul primește un raport care va conține nu doar o listă cu toate vulnerabilitățile găsite, ci și recomandări de bază pentru eliminarea acestora: actualizări, patch-uri etc. Qualys are o mulțime de rapoarte: există șabloane implicite, și iti poti crea propria ta. Pentru a nu fi confuz în toată diversitatea, este mai bine să decideți mai întâi singur asupra următoarelor puncte: 

• Cine va vizualiza acest raport: un manager sau un specialist tehnic?
• ce informații doriți să obțineți din rezultatele scanării? De exemplu, dacă doriți să aflați dacă toate patch-urile necesare sunt instalate și cum se lucrează pentru a elimina vulnerabilitățile găsite anterior, atunci acesta este un raport. Dacă trebuie doar să faceți un inventar al tuturor gazdelor, atunci altul.

Dacă sarcina dvs. este să arătați o imagine scurtă, dar clară conducerii, atunci vă puteți forma Raport executiv. Toate vulnerabilitățile vor fi sortate în rafturi, niveluri de criticitate, grafice și diagrame. De exemplu, primele 10 vulnerabilități cele mai critice sau cele mai comune vulnerabilități.

Pentru un tehnician există Raportul tehnic cu toate detaliile si detaliile. Se pot genera următoarele rapoarte:

Raportul gazdelor. Un lucru util atunci când trebuie să faceți un inventar al infrastructurii dvs. și să obțineți o imagine completă a vulnerabilităților gazdei. 

Așa arată lista gazdelor analizate, indicând sistemul de operare care rulează pe ele.

Să deschidem gazda de interes și să vedem o listă cu 219 vulnerabilități găsite, pornind de la cel mai critic, nivelul cinci:

Apoi puteți vedea detaliile pentru fiecare vulnerabilitate. Aici vedem:

• când vulnerabilitatea a fost detectată pentru prima și ultima dată,
• cifrele de vulnerabilitate industrială,
• patch pentru a elimina vulnerabilitatea,
• există probleme cu conformitatea cu PCI DSS, NIST etc.,
• există vreo exploatare și malware pentru această vulnerabilitate,
• este o vulnerabilitate detectată la scanarea cu/fără autentificare în sistem etc.

Dacă aceasta nu este prima scanare - da, trebuie să scanați în mod regulat 🙂 - apoi cu ajutorul Raport de tendințe Puteți urmări dinamica lucrului cu vulnerabilități. Starea vulnerabilităților va fi afișată în comparație cu scanarea anterioară: vulnerabilitățile care au fost găsite mai devreme și închise vor fi marcate ca fixe, neînchise - active, noi - noi.

Raport de vulnerabilitate. În acest raport, Qualys va construi o listă de vulnerabilități, începând cu cele mai critice, indicând pe ce gazdă să detecteze această vulnerabilitate. Raportul va fi util dacă decideți să înțelegeți imediat, de exemplu, toate vulnerabilitățile nivelului cinci.

De asemenea, puteți face un raport separat numai pentru vulnerabilitățile de nivel al patrulea și al cincilea.

Raport de corecție. Aici puteți vedea o listă completă de patch-uri care trebuie instalate pentru a elimina vulnerabilitățile găsite. Pentru fiecare patch există o explicație a vulnerabilităților pe care le remediază, pe ce gazdă/sistem trebuie instalat și un link de descărcare directă.

Raport de conformitate PCI DSS. Standardul PCI DSS necesită scanarea sistemelor de informații și a aplicațiilor accesibile de pe Internet la fiecare 90 de zile. După scanare, puteți genera un raport care va arăta ce infrastructura nu îndeplinește cerințele standardului.

Rapoarte de remediere a vulnerabilităților. Qualys poate fi integrat cu biroul de service, iar apoi toate vulnerabilitățile găsite vor fi traduse automat în bilete. Folosind acest raport, puteți urmări progresul privind tichetele finalizate și vulnerabilitățile rezolvate.

Deschide rapoartele portului. Aici puteți obține informații despre porturile deschise și serviciile care rulează pe acestea:

sau generați un raport despre vulnerabilități pe fiecare port:

Acestea sunt doar șabloane standard de rapoarte. Puteți să vă creați propriul pentru sarcini specifice, de exemplu, să afișați doar vulnerabilități nu mai mici decât al cincilea nivel de criticitate. Toate rapoartele sunt disponibile. Format de raport: CSV, XML, HTML, PDF și docx.

Si amintesteti: Siguranța nu este un rezultat, ci un proces. O scanare unică vă ajută să vedeți problemele în acest moment, dar nu este vorba despre un proces complet de gestionare a vulnerabilităților.
Pentru a vă fi mai ușor să decideți asupra acestei activități obișnuite, am creat un serviciu bazat pe Qualys Vulnerability Management.

Există o promoție pentru toți cititorii Habr: Când comandați un serviciu de scanare timp de un an, două luni de scanări sunt gratuite. Aplicațiile pot fi lăsate aici, în câmpul „Comentariu” scrie Habr.

Sursa: www.habr.com