Pozdravljeni vsi!
Danes želim govoriti o rešitvi v oblaku za iskanje in analizo ranljivosti Qualys Vulnerability Management, na kateri je eden od naših .
V nadaljevanju bom prikazal, kako je organizirano samo skeniranje in katere informacije o ranljivostih lahko najdemo na podlagi rezultatov.
Kaj je mogoče skenirati
Zunanje storitve. Za skeniranje storitev, ki imajo dostop do interneta, nam odjemalec posreduje svoje IP naslove in poverilnice (če je potrebno skeniranje z avtentikacijo). Storitve skeniramo s pomočjo oblaka Qualys in na podlagi rezultatov pošljemo poročilo.
Interne storitve. V tem primeru skener išče ranljivosti v notranjih strežnikih in omrežni infrastrukturi. S takim skeniranjem lahko popisujete različice operacijskih sistemov, aplikacij, odprtih vrat in storitev za njimi.
Za skeniranje znotraj odjemalčeve infrastrukture je nameščen skener Qualys. Oblak Qualys tukaj služi kot ukazno središče za ta skener.
Poleg notranjega strežnika s Qualysom je mogoče na skenirane objekte namestiti agente (Cloud Agent). Podatke o sistemu zbirajo lokalno in tako rekoč ne obremenjujejo omrežja ali gostiteljev, na katerih delujejo. Prejete informacije se pošljejo v oblak.
Tukaj so tri pomembne točke: preverjanje pristnosti in izbira predmetov za skeniranje.
- Uporaba avtentikacije. Nekateri odjemalci zahtevajo skeniranje črne škatle, zlasti za zunanje storitve: dajo nam vrsto naslovov IP, ne da bi navedli sistem, in rečejo "bodite kot heker". Toda hekerji redko delujejo slepo. Ko gre za napad (ne za izvidovanje), vedo, kaj hekajo.
Na slepo se lahko Qualys spotakne ob vabne pasice in jih skenira namesto ciljnega sistema. In ne da bi razumeli, kaj točno bo optično prebrano, je enostavno spregledati nastavitve optičnega bralnika in "priložiti" storitev, ki se preverja.
Skeniranje bo bolj koristno, če preverjanje pristnosti izvajate pred sistemi, ki jih skenirate (bela škatla). Tako bo skener razumel, od kod prihaja, in prejeli boste popolne podatke o ranljivostih ciljnega sistema.
Qualys ima veliko možnosti preverjanja pristnosti. - Sredstva skupine. Če začnete pregledovati vse naenkrat in brez razlikovanja, bo trajalo dolgo in povzročilo nepotrebno obremenitev sistemov. Bolje je, da gostitelje in storitve združite v skupine glede na pomembnost, lokacijo, različico operacijskega sistema, kritičnost infrastrukture in druge značilnosti (v Qualysu se imenujejo skupine sredstev in oznake sredstev) in pri skeniranju izberete določeno skupino.
- Izberite tehnično okno za skeniranje. Tudi če ste premislili in se pripravili, skeniranje dodatno obremeni sistem. Ne bo nujno povzročilo poslabšanja storitve, vendar je bolje izbrati določen čas za to, na primer za varnostno kopijo ali prevračanje posodobitev.
Kaj se lahko naučite iz poročil?
Na podlagi rezultatov skeniranja odjemalec prejme poročilo, ki ne bo vsebovalo le seznama vseh najdenih ranljivosti, ampak tudi osnovna priporočila za njihovo odpravo: posodobitve, popravki itd. Qualys ima veliko poročil: obstajajo privzete predloge in lahko ustvarite svojega. Da se ne bi zmedli v vsej raznolikosti, je bolje, da se najprej sami odločite za naslednje točke:
- Kdo si bo ogledal to poročilo: vodja ali tehnični strokovnjak?
- katere informacije želite pridobiti iz rezultatov skeniranja? Na primer, če želite izvedeti, ali so nameščeni vsi potrebni popravki in kako poteka delo za odpravo predhodno najdenih ranljivosti, potem je to eno poročilo. Če morate le narediti popis vseh gostiteljev, potem še enega.
Če je vaša naloga pokazati vodstvu kratko, a jasno sliko, potem lahko oblikujete Izvršno poročilo. Vse ranljivosti bodo razvrščene po policah, stopnjah kritičnosti, grafih in diagramih. Na primer, 10 najbolj kritičnih ranljivosti ali najpogostejše ranljivosti.
Za tehnika obstaja Tehnično poročilo z vsemi podrobnostmi in podrobnostmi. Ustvarite lahko naslednja poročila:
Poročilo gostiteljev. Uporabna stvar, ko morate narediti popis svoje infrastrukture in pridobiti popolno sliko ranljivosti gostitelja.
Tako je videti seznam analiziranih gostiteljev, ki označuje OS, ki se na njih izvaja.
Odprimo gostitelja, ki nas zanima, in si oglejmo seznam 219 najdenih ranljivosti, začenši z najbolj kritično, peto stopnjo:
Nato si lahko ogledate podrobnosti za vsako ranljivost. Tukaj vidimo:
- ko je bila ranljivost odkrita prvič in zadnjič,
- številke industrijske ranljivosti,
- popravek za odpravo ranljivosti,
- ali obstajajo težave s skladnostjo s PCI DSS, NIST itd.,
- ali obstaja izkoriščanje in zlonamerna programska oprema za to ranljivost,
- je zaznana ranljivost pri skeniranju z/brez preverjanja pristnosti v sistemu itd.
Če to ni prvo skeniranje - da, skenirati morate redno 🙂 - potem s pomočjo Poročilo o trendih Lahko sledite dinamiki dela z ranljivostmi. Stanje ranljivosti bo prikazano v primerjavi s prejšnjim pregledom: ranljivosti, ki so bile prej najdene in zaprte, bodo označene kot popravljene, nezaprte - aktivne, nove - nove.
Poročilo o ranljivosti. V tem poročilu bo Qualys sestavil seznam ranljivosti, začenši z najbolj kritičnimi, in navedel, na katerem gostitelju naj ujame to ranljivost. Poročilo bo koristno, če se odločite takoj razumeti, na primer, vse ranljivosti pete stopnje.
Prav tako lahko naredite ločeno poročilo samo o ranljivostih četrte in pete ravni.
Poročilo o popravku. Tukaj si lahko ogledate celoten seznam popravkov, ki jih je treba namestiti za odpravo najdenih ranljivosti. Za vsak popravek je razlaga, katere ranljivosti odpravlja, na katerem gostitelju/sistemu ga je treba namestiti, in neposredna povezava za prenos.
Poročilo o skladnosti PCI DSS. Standard PCI DSS zahteva skeniranje informacijskih sistemov in aplikacij, dostopnih z interneta, vsakih 90 dni. Po skeniranju lahko ustvarite poročilo, ki bo pokazalo, katera infrastruktura ne ustreza zahtevam standarda.
Poročila o odpravljanju ranljivosti. Qualys je mogoče integrirati s servisno pisarno, nato pa bodo vse najdene ranljivosti samodejno prevedene v vstopnice. S tem poročilom lahko spremljate napredek pri dokončanih vstopnicah in odpravljenih ranljivostih.
Odprite poročila o vratih. Tukaj lahko dobite informacije o odprtih vratih in storitvah, ki se na njih izvajajo:
ali ustvarite poročilo o ranljivostih na posameznih vratih:
To so samo standardne predloge poročil. Za določene naloge lahko ustvarite svoje, na primer prikažete samo ranljivosti, ki niso nižje od pete stopnje kritičnosti. Vsa poročila so na voljo. Format poročila: CSV, XML, HTML, PDF in docx.
In zapomni si: Varnost ni rezultat, ampak proces. Enkratno skeniranje pomaga videti težave v trenutku, vendar ne gre za popoln postopek upravljanja ranljivosti.
Da se boste lažje odločili za to redno delo, smo ustvarili storitev, ki temelji na Qualys Vulnerability Management.
Za vse bralce Habra je akcija: Ob naročilu storitve skeniranja za eno leto sta dva meseca skeniranja brezplačna. Prijave lahko pustite , v polje “Komentar” napišite Habr.
Vir: www.habr.com