Si u bëra i pambrojtur: skanimi i infrastrukturës së TI-së duke përdorur Qualys

Përshëndetje të gjithëve!

Sot dua të flas për zgjidhjen e cloud për kërkimin dhe analizimin e dobësive Qualys Vulnerability Management, në të cilën një nga të shërbimeve.

Më poshtë do të tregoj se si është organizuar vetë skanimi dhe çfarë informacioni mbi dobësitë mund të gjenden bazuar në rezultatet.

Çfarë mund të skanohet

Shërbimet e jashtme. Për të skanuar shërbimet që kanë akses në internet, klienti na jep adresat IP dhe kredencialet e tij (nëse nevojitet një skanim me vërtetim). Ne skanojmë shërbimet duke përdorur renë Qualys dhe dërgojmë një raport bazuar në rezultatet.

Shërbimet e brendshme. Në këtë rast, skaneri kërkon dobësi në serverët e brendshëm dhe infrastrukturën e rrjetit. Duke përdorur një skanim të tillë, mund të inventaroni versionet e sistemeve operative, aplikacionet, portet e hapura dhe shërbimet pas tyre.

Një skaner Qualys është instaluar për të skanuar brenda infrastrukturës së klientit. Reja Qualys shërben si qendër komanduese për këtë skaner këtu.

Përveç serverit të brendshëm me Qualys, agjentët (Cloud Agent) mund të instalohen në objektet e skanuara. Ata mbledhin informacione rreth sistemit në nivel lokal dhe praktikisht nuk krijojnë asnjë ngarkesë në rrjet ose hostet në të cilët operojnë. Informacioni i marrë dërgohet në cloud.

Këtu ka tre pika të rëndësishme: vërtetimi dhe përzgjedhja e objekteve për skanim.

1. Duke përdorur Autentifikimin. Disa klientë kërkojnë skanim të kutisë së zezë, veçanërisht për shërbime të jashtme: ata na japin një sërë adresash IP pa specifikuar sistemin dhe thonë "bëhu si një haker". Por hakerët rrallë veprojnë verbërisht. Kur bëhet fjalë për sulm (jo zbulim), ata e dinë se çfarë hakerojnë. 

   Verbërisht, Qualys mund të pengohet në banderola mashtrimi dhe t'i skanojë ato në vend të sistemit të synuar. Dhe pa kuptuar se çfarë saktësisht do të skanohet, është e lehtë të humbasësh cilësimet e skanerit dhe të "bashkosh" shërbimin që kontrollohet. 

   Skanimi do të jetë më i dobishëm nëse kryeni kontrolle të vërtetimit përpara sistemeve që skanohen (kutia e bardhë). Në këtë mënyrë skaneri do të kuptojë se nga ka ardhur dhe ju do të merrni të dhëna të plota në lidhje me dobësitë e sistemit të synuar.

   
   Qualys ka shumë opsione vërtetimi.

2. Asetet e grupit. Nëse filloni të skanoni gjithçka menjëherë dhe pa dallim, do të duhet shumë kohë dhe do të krijojë një ngarkesë të panevojshme në sisteme. Është më mirë të gruponi hostet dhe shërbimet në grupe bazuar në rëndësinë, vendndodhjen, versionin e OS, kritikën e infrastrukturës dhe karakteristikat e tjera (në Qualys ato quhen Asset Groups dhe Asset Tags) dhe zgjidhni një grup specifik kur skanoni.
3. Zgjidhni një dritare teknike për të skanuar. Edhe nëse keni menduar dhe përgatitur, skanimi krijon stres shtesë në sistem. Nuk do të shkaktojë domosdoshmërisht degradimin e shërbimit, por është më mirë të zgjidhni një kohë të caktuar për të, si për një kopje rezervë ose rikthim të përditësimeve.

Çfarë mund të mësoni nga raportet?

Bazuar në rezultatet e skanimit, klienti merr një raport që do të përmbajë jo vetëm një listë të të gjitha dobësive të gjetura, por edhe rekomandime bazë për eliminimin e tyre: përditësime, arnime, etj. Qualys ka shumë raporte: ka shabllone të paracaktuar, dhe ju mund të krijoni tuajin. Për të mos u ngatërruar në të gjithë diversitetin, është më mirë që së pari të vendosni vetë për pikat e mëposhtme: 

• Kush do ta shikojë këtë raport: një menaxher apo një specialist teknik?
• çfarë informacioni dëshironi të merrni nga rezultatet e skanimit? Për shembull, nëse doni të zbuloni nëse janë instaluar të gjitha arnimet e nevojshme dhe si po punohet për të eliminuar dobësitë e gjetura më parë, atëherë ky është një raport. Nëse thjesht duhet të bëni një inventar të të gjithë hosteve, atëherë një tjetër.

Nëse detyra juaj është t'i tregoni menaxhmentit një pamje të shkurtër, por të qartë, atëherë mund të formoni Raporti Ekzekutiv. Të gjitha dobësitë do të renditen në rafte, nivele kritike, grafikë dhe diagrame. Për shembull, 10 dobësitë më kritike ose dobësitë më të zakonshme.

Për një teknik ka Raporti Teknik me te gjitha detajet dhe detajet. Raportet e mëposhtme mund të krijohen:

Raporti i pritësve. Një gjë e dobishme kur ju duhet të bëni një inventar të infrastrukturës suaj dhe të merrni një pamje të plotë të dobësive të hostit. 

Kjo është se si duket lista e hosteve të analizuar, duke treguar OS që funksionon në to.

Le të hapim grupin e interesit dhe të shohim një listë me 219 dobësi të gjetura, duke filluar nga niveli i pestë më kritik:

Më pas mund të shihni detajet për çdo cenueshmëri. Këtu shohim:

• kur cenueshmëria u zbulua për herë të parë dhe të fundit,
• numrat e cenueshmërisë industriale,
• patch për të eliminuar cenueshmërinë,
• a ka ndonjë problem me pajtueshmërinë me PCI DSS, NIST, etj.,
• a ka ndonjë shfrytëzim dhe malware për këtë cenueshmëri,
• është një cenueshmëri e zbuluar gjatë skanimit me/pa vërtetim në sistem, etj.

Nëse ky nuk është skanimi i parë - po, duhet të skanoni rregullisht 🙂 - atëherë me ndihmën Raporti i Trendit Ju mund të gjurmoni dinamikën e punës me dobësitë. Statusi i dobësive do të tregohet në krahasim me skanimin e mëparshëm: dobësitë që janë gjetur më herët dhe të mbyllura do të shënohen si fikse, të pambyllura - aktive, të reja - të reja.

Raporti i cenueshmërisë. Në këtë raport, Qualys do të ndërtojë një listë dobësish, duke filluar nga më kritiket, duke treguar se në cilin host do të kapet kjo dobësi. Raporti do të jetë i dobishëm nëse vendosni të kuptoni menjëherë, për shembull, të gjitha dobësitë e nivelit të pestë.

Ju gjithashtu mund të bëni një raport të veçantë vetëm për dobësitë e nivelit të katërt dhe të pestë.

Raporti i arnimit. Këtu mund të shihni një listë të plotë të arnimeve që duhen instaluar për të eliminuar dobësitë e gjetura. Për çdo patch ka një shpjegim se cilat dobësi rregullon, në cilin host/sistem duhet të instalohet dhe një lidhje direkte për shkarkim.

Raporti i Pajtueshmërisë së PCI DSS. Standardi PCI DSS kërkon skanimin e sistemeve të informacionit dhe aplikacioneve të aksesueshme nga Interneti çdo 90 ditë. Pas skanimit, mund të gjeneroni një raport që do të tregojë se çfarë infrastrukture nuk i plotëson kërkesat e standardit.

Raportet e korrigjimit të cenueshmërisë. Qualys mund të integrohet me tavolinën e shërbimit dhe më pas të gjitha dobësitë e gjetura do të përkthehen automatikisht në bileta. Duke përdorur këtë raport, mund të gjurmoni përparimin në biletat e përfunduara dhe dobësitë e zgjidhura.

Hap raportet e portit. Këtu mund të merrni informacione për portet e hapura dhe shërbimet që funksionojnë në to:

ose gjeneroni një raport mbi dobësitë në çdo port:

Këto janë vetëm modele standarde të raporteve. Ju mund të krijoni tuajin për detyra specifike, për shembull, të tregoni vetëm dobësi jo më të ulëta se niveli i pestë i kritikitetit. Të gjitha raportet janë në dispozicion. Formati i raportit: CSV, XML, HTML, PDF dhe docx.

Dhe mbani mend: Siguria nuk është rezultat, por proces. Një skanim një herë ndihmon për të parë problemet në këtë moment, por kjo nuk ka të bëjë me një proces të plotë të menaxhimit të cenueshmërisë.
Për ta bërë më të lehtë për ju që të vendosni për këtë punë të rregullt, ne kemi krijuar një shërbim të bazuar në Qualys Vulnerability Management.

Ekziston një promovim për të gjithë lexuesit e Habr: Kur porositni një shërbim skanimi për një vit, dy muaj skanime janë falas. Aplikimet mund të lihen këtu, në fushën “Koment” shkruani Habr.

Burimi: www.habr.com