Ahoj všetci!
Dnes chcem hovoriť o cloudovom riešení na vyhľadávanie a analýzu zraniteľností Qualys Vulnerability Management, na ktorom je jeden z našich .
Nižšie ukážem, ako je organizované samotné skenovanie a aké informácie o zraniteľnostiach možno nájsť na základe výsledkov.
Čo sa dá skenovať
Externé služby. Na kontrolu služieb, ktoré majú prístup na internet, nám klient poskytne svoje IP adresy a poverenia (ak je potrebná kontrola s autentifikáciou). Služby skenujeme pomocou cloudu Qualys a na základe výsledkov posielame správu.
Interné služby. V tomto prípade skener hľadá zraniteľné miesta v interných serveroch a sieťovej infraštruktúre. Pomocou takéhoto skenovania môžete inventarizovať verzie operačných systémov, aplikácií, otvorených portov a služieb za nimi.
Na skenovanie v rámci infraštruktúry klienta je nainštalovaný skener Qualys. Cloud Qualys tu slúži ako riadiace centrum pre tento skener.
Okrem interného servera s Qualys je možné na skenované objekty nainštalovať agentov (Cloud Agent). Zhromažďujú informácie o systéme lokálne a nevytvárajú prakticky žiadnu záťaž pre sieť alebo hostiteľov, na ktorých pracujú. Prijaté informácie sa odosielajú do cloudu.
Sú tu tri dôležité body: autentifikácia a výber objektov na kontrolu.
- Používanie autentifikácie. Niektorí klienti požadujú skenovanie blackboxov, najmä pre externé služby: dajú nám rozsah IP adries bez špecifikácie systému a povedia „buďte ako hacker“. Hackeri však len zriedka konajú slepo. Pokiaľ ide o útok (nie prieskum), vedia, čo hackujú.
Naslepo môže Qualys naraziť na návnady a naskenovať ich namiesto cieľového systému. A bez toho, aby ste pochopili, čo presne sa bude skenovať, je ľahké vynechať nastavenia skenera a „pripojiť“ kontrolovanú službu.
Skenovanie bude výhodnejšie, ak budete vykonávať overovacie kontroly pred kontrolovanými systémami (biele pole). Skener tak pochopí, odkiaľ pochádza, a vy dostanete kompletné údaje o zraniteľnosti cieľového systému.
Qualys má veľa možností autentifikácie. - Skupinové aktíva. Ak začnete skenovať všetko naraz a bez rozdielu, bude to trvať dlho a vytvorí to zbytočné zaťaženie systémov. Hostiteľov a služby je lepšie zoskupiť do skupín podľa dôležitosti, umiestnenia, verzie OS, kritickosti infraštruktúry a iných charakteristík (v Qualyse sa nazývajú Asset Groups a Asset Tags) a pri skenovaní vybrať konkrétnu skupinu.
- Vyberte technické okno na skenovanie. Aj keď ste premýšľali a pripravili sa, skenovanie vytvára dodatočný tlak na systém. Nemusí to nevyhnutne spôsobiť degradáciu služby, ale je lepšie zvoliť si na to určitý čas, napríklad pre zálohu alebo prevrátenie aktualizácií.
Čo sa môžete naučiť zo správ?
Na základe výsledkov kontroly dostane klient správu, ktorá bude obsahovať nielen zoznam všetkých nájdených zraniteľností, ale aj základné odporúčania na ich odstránenie: aktualizácie, záplaty atď. Qualys má veľa správ: existujú predvolené šablóny a môžete si vytvoriť svoj vlastný. Aby ste sa nenechali zmiasť v celej rozmanitosti, je lepšie sa najprv rozhodnúť pre nasledujúce body:
- Kto uvidí túto správu: manažér alebo technický špecialista?
- aké informácie chcete získať z výsledkov skenovania? Ak chcete napríklad zistiť, či sú nainštalované všetky potrebné záplaty a ako sa pracuje na odstránení predtým nájdených zraniteľností, toto je jedna správa. Ak potrebujete urobiť inventúru všetkých hostiteľov, potom ďalší.
Ak je vašou úlohou ukázať manažmentu stručný, ale jasný obraz, potom môžete formovať Výkonná správa. Všetky zraniteľnosti budú zoradené do políc, úrovní kritickosti, grafov a diagramov. Napríklad 10 najkritickejších zraniteľností alebo najbežnejších zraniteľností.
Pre technika existuje Technickú správu so všetkými detailmi a detailmi. Je možné generovať nasledujúce prehľady:
Hostitelia hlásia. Užitočná vec, keď potrebujete urobiť inventúru svojej infraštruktúry a získať úplný obraz o zraniteľnosti hostiteľa.
Takto vyzerá zoznam analyzovaných hostiteľov s uvedením operačného systému, ktorý na nich beží.
Otvorme zoznam záujmov a pozrime si zoznam 219 nájdených zraniteľností, počnúc od najkritickejšej úrovne päť:
Potom môžete vidieť podrobnosti o každej zraniteľnosti. Tu vidíme:
- keď bola zraniteľnosť zistená prvýkrát a naposledy,
- čísla priemyselnej zraniteľnosti,
- oprava na odstránenie zraniteľnosti,
- existujú nejaké problémy s dodržiavaním PCI DSS, NIST atď.,
- existuje exploit a malvér pre túto zraniteľnosť,
- je zraniteľnosť zistená pri skenovaní s/bez autentifikácie v systéme atď.
Ak to nie je prvé skenovanie - áno, treba skenovať pravidelne 🙂 - tak s pomocou Správa o trendoch Môžete sledovať dynamiku práce so zraniteľnými miestami. Stav zraniteľností sa zobrazí v porovnaní s predchádzajúcou kontrolou: zraniteľnosti, ktoré boli nájdené skôr a uzavreté, budú označené ako opravené, neuzavreté - aktívne, nové - nové.
Správa o zraniteľnosti. V tejto správe Qualys vytvorí zoznam zraniteľností, počnúc tými najkritickejšími, pričom uvedie, na ktorom hostiteľovi sa má táto zraniteľnosť zachytiť. Správa bude užitočná, ak sa rozhodnete okamžite pochopiť napríklad všetky zraniteľnosti piatej úrovne.
Môžete tiež vytvoriť samostatnú správu iba o zraniteľnostiach štvrtej a piatej úrovne.
Oprava správy. Tu si môžete pozrieť kompletný zoznam záplat, ktoré je potrebné nainštalovať, aby ste odstránili nájdené zraniteľnosti. Pri každej oprave je vysvetlenie, aké zraniteľnosti opravuje, na ktorý hostiteľ/systém je potrebné ju nainštalovať a odkaz na priame stiahnutie.
Správa o zhode PCI DSS. Štandard PCI DSS vyžaduje skenovanie informačných systémov a aplikácií dostupných z internetu každých 90 dní. Po skenovaní môžete vygenerovať správu, ktorá ukáže, aká infraštruktúra nespĺňa požiadavky normy.
Správy o náprave zraniteľnosti. Qualys je možné integrovať do servisného pultu a potom sa všetky nájdené zraniteľnosti automaticky prevedú na lístky. Pomocou tohto prehľadu môžete sledovať priebeh dokončených tiketov a vyriešených zraniteľností.
Hlásenia otvorených portov. Tu môžete získať informácie o otvorených portoch a službách, ktoré na nich bežia:
alebo vygenerujte správu o zraniteľnostiach na každom porte:
Toto sú len štandardné šablóny prehľadov. Môžete si vytvoriť svoje vlastné pre konkrétne úlohy, napríklad zobraziť iba zraniteľnosti nie nižšie ako piata úroveň kritickosti. Všetky prehľady sú k dispozícii. Formát správy: CSV, XML, HTML, PDF a docx.
A pamätajte: Bezpečnosť nie je výsledok, ale proces. Jednorazová kontrola pomáha vidieť problémy v danom momente, ale nejde o plnohodnotný proces správy zraniteľnosti.
Aby sme vám uľahčili rozhodovanie o tejto pravidelnej práci, vytvorili sme službu založenú na Qualys Vulnerability Management.
Pre všetkých čitateľov Habr je pripravená akcia: Keď si objednáte službu skenovania na rok, dva mesiace skenovania sú zadarmo. Aplikácie je možné ponechať , do poľa “Komentár” napíšte Habr.
Zdroj: hab.com