Hur jag blev sårbar: skannade IT-infrastruktur med Qualys

Hej alla!

Idag vill jag prata om molnlösningen för att söka och analysera sårbarheter Qualys Vulnerability Management, där en av våra tjänster.

Nedan kommer jag att visa hur själva skanningen är organiserad och vilken information om sårbarheter som kan hittas utifrån resultaten.

Vad kan skannas

Externa tjänster. För att skanna tjänster som har tillgång till Internet ger klienten oss sina IP-adresser och referenser (om en skanning med autentisering behövs). Vi skannar tjänster med Qualys moln och skickar en rapport baserat på resultaten.

Interna tjänster. I det här fallet letar skannern efter sårbarheter i interna servrar och nätverksinfrastruktur. Med hjälp av en sådan skanning kan du inventera versionerna av operativsystem, applikationer, öppna portar och tjänster bakom dem.

En Qualys-skanner är installerad för att skanna inom klientens infrastruktur. Qualys-molnet fungerar som kommandocentral för denna skanner här.

Förutom den interna servern med Qualys kan agenter (Cloud Agent) installeras på skannade objekt. De samlar in information om systemet lokalt och skapar praktiskt taget ingen belastning på nätverket eller de värdar som de verkar på. Den mottagna informationen skickas till molnet.

Det finns tre viktiga punkter här: autentisering och urval av objekt att skanna.

1. Använder autentisering. Vissa klienter ber om blackbox-skanning, särskilt för externa tjänster: de ger oss en rad IP-adresser utan att specificera systemet och säger "vara som en hackare." Men hackare agerar sällan blint. När det kommer till attack (inte spaning) vet de vad de hackar. 

   Blint kan Qualys snubbla på lockbetebanderoller och skanna dem istället för målsystemet. Och utan att förstå exakt vad som ska skannas är det lätt att missa skannerinställningarna och "bifoga" tjänsten som kontrolleras. 

   Skanning kommer att vara mer fördelaktigt om du utför autentiseringskontroller framför de system som skannas (whitebox). På så sätt kommer skannern att förstå var den kom ifrån, och du kommer att få fullständig information om sårbarheterna i målsystemet.

   
   Qualys har många autentiseringsalternativ.

2. Koncernens tillgångar. Om du börjar skanna allt på en gång och urskillningslöst kommer det att ta lång tid och skapa en onödig belastning på systemen. Det är bättre att gruppera värdar och tjänster i grupper baserat på betydelse, plats, OS-version, infrastrukturkritikitet och andra egenskaper (i Qualys kallas de Asset Groups och Asset Tags) och välja en specifik grupp när man skannar.
3. Välj ett tekniskt fönster att skanna. Även om du har tänkt och förberett, skapar skanningen ytterligare stress på systemet. Det kommer inte nödvändigtvis att orsaka försämring av tjänsten, men det är bättre att välja en viss tid för det, som för en säkerhetskopiering eller övergång av uppdateringar.

Vad kan du lära dig av rapporterna?

Baserat på skanningsresultaten får klienten en rapport som inte bara innehåller en lista över alla hittade sårbarheter, utan också grundläggande rekommendationer för att eliminera dem: uppdateringar, patchar etc. Qualys har många rapporter: det finns standardmallar, och du kan skapa din egen. För att inte bli förvirrad i all mångfald är det bättre att först själv bestämma sig för följande punkter: 

• Vem kommer att se den här rapporten: en chef eller en teknisk specialist?
• vilken information vill du få från skanningsresultaten? Om du till exempel vill ta reda på om alla nödvändiga patchar är installerade och hur arbetet görs för att eliminera tidigare hittade sårbarheter, så är detta en rapport. Om du bara behöver inventera alla värdar, så en annan.

Om din uppgift är att visa en kort men tydlig bild för ledningen, då kan du bilda dig Verkställande rapport. Alla sårbarheter kommer att sorteras i hyllor, nivåer av kritik, grafer och diagram. Till exempel de 10 mest kritiska sårbarheterna eller de vanligaste sårbarheterna.

För en tekniker finns det Teknisk rapport med alla detaljer och detaljer. Följande rapporter kan genereras:

Värdar rapporterar. En användbar sak när du behöver inventera din infrastruktur och få en komplett bild av värdsårbarheter. 

Så här ser listan över analyserade värdar ut, vilket indikerar operativsystemet som körs på dem.

Låt oss öppna värden av intresse och se en lista över 219 sårbarheter som hittats, från den mest kritiska nivå fem:

Sedan kan du se detaljerna för varje sårbarhet. Här ser vi:

• när sårbarheten upptäcktes för första och sista gången,
• industriell sårbarhet,
• patch för att eliminera sårbarheten,
• finns det några problem med överensstämmelse med PCI DSS, NIST, etc.,
• finns det ett utnyttjande och skadlig programvara för denna sårbarhet,
• är en sårbarhet som upptäcks vid skanning med/utan autentisering i systemet osv.

Om detta inte är den första skanningen - ja, du måste skanna regelbundet 🙂 - då med hjälp Trendrapport Du kan spåra dynamiken i att arbeta med sårbarheter. Statusen för sårbarheter kommer att visas i jämförelse med den tidigare genomsökningen: sårbarheter som hittades tidigare och stängda kommer att markeras som fasta, oavslutna - aktiva, nya - nya.

Sårbarhetsrapport. I den här rapporten kommer Qualys att bygga en lista över sårbarheter, som börjar med de mest kritiska, och indikerar vilken värd att fånga denna sårbarhet på. Rapporten kommer att vara användbar om du bestämmer dig för att omedelbart förstå, till exempel, alla sårbarheter på den femte nivån.

Du kan också göra en separat rapport endast om sårbarheter på den fjärde och femte nivån.

Patch-rapport. Här kan du se en komplett lista över patchar som måste installeras för att eliminera de upptäckta sårbarheterna. För varje patch finns en förklaring av vilka sårbarheter den fixar, på vilken värd/system den behöver installeras och en direkt nedladdningslänk.

PCI DSS Compliance Report. PCI DSS-standarden kräver skanning av informationssystem och applikationer som är tillgängliga från Internet var 90:e dag. Efter skanningen kan du generera en rapport som visar vad infrastrukturen inte uppfyller kraven i standarden.

Rapporter om åtgärdande av sårbarheter. Qualys kan integreras med servicedesk, och då kommer alla hittade sårbarheter automatiskt att översättas till biljetter. Med den här rapporten kan du spåra framstegen på slutförda biljetter och lösta sårbarheter.

Öppna portrapporter. Här kan du få information om öppna portar och tjänster som körs på dem:

eller generera en rapport om sårbarheter på varje port:

Dessa är bara standardrapportmallar. Du kan skapa din egen för specifika uppgifter, till exempel visa endast sårbarheter som inte är lägre än den femte nivån av kritik. Alla rapporter finns tillgängliga. Rapportformat: CSV, XML, HTML, PDF och docx.

Och kom ihåg: Säkerhet är inte ett resultat, utan en process. En engångsskanning hjälper till att se problem i ögonblicket, men det här handlar inte om en fullfjädrad process för sårbarhetshantering.
För att göra det enklare för dig att besluta om detta ordinarie arbete har vi skapat en tjänst baserad på Qualys Vulnerability Management.

Det finns en kampanj för alla Habr-läsare: När du beställer en skanningstjänst för ett år är två månaders skanning gratis. Ansökningar kan lämnas här, i fältet "Kommentar" skriv Habr.

Källa: will.com