Hello!
วันนี้ผมอยากจะพูดถึงโซลูชันคลาวด์สำหรับการค้นหาและวิเคราะห์ช่องโหว่ Qualys Vulnerability Management ซึ่งหนึ่งในของเรา
ด้านล่างนี้ฉันจะแสดงวิธีการจัดระเบียบการสแกนและข้อมูลใดบ้างที่สามารถพบได้ตามผลลัพธ์
สิ่งที่สามารถสแกนได้
บริการภายนอก ในการสแกนบริการที่สามารถเข้าถึงอินเทอร์เน็ต ไคลเอนต์จะแจ้งที่อยู่ IP และข้อมูลประจำตัวแก่เรา (หากจำเป็นต้องมีการสแกนพร้อมการรับรองความถูกต้อง) เราสแกนบริการโดยใช้คลาวด์ Qualys และส่งรายงานตามผลลัพธ์
บริการภายใน. ในกรณีนี้ เครื่องสแกนจะค้นหาช่องโหว่ในเซิร์ฟเวอร์ภายในและโครงสร้างพื้นฐานเครือข่าย การใช้การสแกนดังกล่าว ช่วยให้คุณสามารถจัดทำรายการเวอร์ชันของระบบปฏิบัติการ แอปพลิเคชัน พอร์ตที่เปิดอยู่ และบริการต่างๆ ที่อยู่เบื้องหลังได้
มีการติดตั้งเครื่องสแกน Qualys เพื่อสแกนภายในโครงสร้างพื้นฐานของไคลเอ็นต์ คลาวด์ Qualys ทำหน้าที่เป็นศูนย์บัญชาการสำหรับเครื่องสแกนนี้ที่นี่
นอกจากเซิร์ฟเวอร์ภายในที่มี Qualys แล้ว ยังสามารถติดตั้งเอเจนต์ (Cloud Agent) บนออบเจ็กต์ที่สแกนได้อีกด้วย พวกเขารวบรวมข้อมูลเกี่ยวกับระบบภายในเครื่อง และสร้างแทบไม่มีโหลดบนเครือข่ายหรือโฮสต์ที่พวกเขาทำงาน ข้อมูลที่ได้รับจะถูกส่งไปยังคลาวด์
มีจุดสำคัญสามจุดที่นี่: การรับรองความถูกต้องและการเลือกออบเจ็กต์ที่จะสแกน
- การใช้การรับรองความถูกต้อง. ลูกค้าบางรายขอให้สแกนแบล็คบ็อกซ์ โดยเฉพาะบริการภายนอก โดยให้ช่วงที่อยู่ IP แก่เราโดยไม่ระบุระบบและพูดว่า “เป็นเหมือนแฮ็กเกอร์” แต่แฮกเกอร์ไม่ค่อยทำท่าสุ่มสี่สุ่มห้า เมื่อพูดถึงการโจมตี (ไม่ใช่การลาดตระเวน) พวกเขารู้ว่ากำลังแฮ็กอะไร
สุ่มสี่สุ่มห้า Qualys อาจสะดุดกับแบนเนอร์ล่อและสแกนมันแทนระบบเป้าหมาย และหากไม่เข้าใจว่าสิ่งใดจะถูกสแกน ง่ายที่จะพลาดการตั้งค่าสแกนเนอร์และ "แนบ" บริการที่กำลังตรวจสอบ
การสแกนจะมีประโยชน์มากขึ้นหากคุณทำการตรวจสอบสิทธิ์ต่อหน้าระบบที่กำลังสแกน (ไวท์บ็อกซ์) วิธีนี้เครื่องสแกนจะเข้าใจว่ามันมาจากไหน และคุณจะได้รับข้อมูลที่ครบถ้วนเกี่ยวกับช่องโหว่ของระบบเป้าหมาย
Qualys มีตัวเลือกการรับรองความถูกต้องมากมาย - สินทรัพย์ของกลุ่ม. หากคุณเริ่มสแกนทุกอย่างพร้อมกันและไม่เลือกปฏิบัติ จะใช้เวลานานและสร้างภาระที่ไม่จำเป็นให้กับระบบ จะดีกว่าถ้าจัดกลุ่มโฮสต์และบริการออกเป็นกลุ่มตามความสำคัญ ตำแหน่ง เวอร์ชันระบบปฏิบัติการ ความสำคัญของโครงสร้างพื้นฐาน และคุณลักษณะอื่นๆ (ใน Qualys จะเรียกว่ากลุ่มสินทรัพย์และแท็กสินทรัพย์) และเลือกกลุ่มเฉพาะเมื่อทำการสแกน
- เลือกหน้าต่างทางเทคนิคที่จะสแกน แม้ว่าคุณจะคิดและเตรียมพร้อมแล้ว การสแกนยังสร้างความเครียดเพิ่มเติมให้กับระบบ ไม่จำเป็นต้องทำให้บริการเสื่อมลง แต่ควรเลือกเวลาที่แน่นอนเช่นการสำรองข้อมูลหรือการโรลโอเวอร์การอัปเดต
คุณสามารถเรียนรู้อะไรได้บ้างจากรายงาน?
จากผลการสแกน ลูกค้าจะได้รับรายงานที่ไม่เพียงแต่ประกอบด้วยรายการช่องโหว่ทั้งหมดที่พบ แต่ยังรวมถึงคำแนะนำพื้นฐานสำหรับการกำจัดช่องโหว่เหล่านั้นด้วย เช่น การอัปเดต แพตช์ ฯลฯ Qualys มีรายงานจำนวนมาก: มีเทมเพลตเริ่มต้นและ คุณสามารถสร้างของคุณเองได้ เพื่อไม่ให้สับสนในความหลากหลายควรตัดสินใจด้วยตัวเองก่อนในประเด็นต่อไปนี้:
- ใครจะดูรายงานนี้: ผู้จัดการหรือผู้เชี่ยวชาญด้านเทคนิค?
- คุณต้องการได้รับข้อมูลอะไรจากผลการสแกน? ตัวอย่างเช่น หากคุณต้องการทราบว่ามีการติดตั้งแพตช์ที่จำเป็นทั้งหมดหรือไม่ และมีวิธีการทำงานเพื่อกำจัดช่องโหว่ที่พบก่อนหน้านี้หรือไม่ นี่คือรายงานเดียว หากคุณเพียงแค่ต้องสินค้าคงคลังของโฮสต์ทั้งหมดก็อีกรายการหนึ่ง
หากงานของคุณคือการแสดงภาพสั้นๆ แต่ชัดเจนต่อฝ่ายบริหาร คุณก็สามารถสร้างได้ รายงานผู้บริหาร. ช่องโหว่ทั้งหมดจะถูกจัดเรียงตามชั้นวาง ระดับวิกฤต กราฟ และไดอะแกรม ตัวอย่างเช่น ช่องโหว่ที่สำคัญที่สุด 10 อันดับแรกหรือช่องโหว่ที่พบบ่อยที่สุด
สำหรับช่างก็มี รายงานทางเทคนิค พร้อมรายละเอียดและรายละเอียดทั้งหมด คุณสามารถสร้างรายงานต่อไปนี้ได้:
เจ้าภาพรายงาน.. สิ่งที่มีประโยชน์เมื่อคุณต้องการจัดทำรายการโครงสร้างพื้นฐานของคุณและรับภาพรวมของช่องโหว่ของโฮสต์
นี่คือลักษณะของรายการโฮสต์ที่วิเคราะห์ ซึ่งบ่งชี้ว่าระบบปฏิบัติการทำงานอยู่บนโฮสต์เหล่านั้น
มาเปิดโฮสต์ที่น่าสนใจและดูรายการช่องโหว่ที่พบ 219 รายการ เริ่มจากระดับที่สำคัญที่สุดที่ห้า:
จากนั้นคุณจะสามารถดูรายละเอียดของแต่ละช่องโหว่ได้ ที่นี่เราเห็น:
- เมื่อตรวจพบช่องโหว่ในครั้งแรกและครั้งสุดท้าย
- ตัวเลขความเปราะบางทางอุตสาหกรรม
- แพตช์เพื่อกำจัดช่องโหว่
- มีปัญหาใด ๆ กับการปฏิบัติตาม PCI DSS, NIST และอื่น ๆ หรือไม่
- มีช่องโหว่และมัลแวร์สำหรับช่องโหว่นี้หรือไม่
- เป็นการตรวจพบช่องโหว่เมื่อสแกนโดยมี/ไม่มีการรับรองความถูกต้องในระบบ ฯลฯ
หากนี่ไม่ใช่การสแกนครั้งแรก - ใช่ คุณต้องสแกนเป็นประจำ 🙂 - จากนั้นจึงใช้ความช่วยเหลือ รายงานแนวโน้ม คุณสามารถติดตามการเปลี่ยนแปลงของการทำงานกับช่องโหว่ได้ สถานะของช่องโหว่จะแสดงโดยเปรียบเทียบกับการสแกนครั้งก่อน: ช่องโหว่ที่พบก่อนหน้านี้และปิดจะถูกทำเครื่องหมายเป็นช่องโหว่ที่แก้ไขแล้ว ไม่ปิด - ใช้งานอยู่, ใหม่ - ใหม่
รายงานช่องโหว่ ในรายงานนี้ Qualys จะสร้างรายการช่องโหว่โดยเริ่มจากช่องโหว่ที่สำคัญที่สุด เพื่อระบุว่าโฮสต์ใดที่จะตรวจจับช่องโหว่นี้ รายงานจะมีประโยชน์หากคุณตัดสินใจที่จะทำความเข้าใจทันที เช่น ช่องโหว่ทั้งหมดของระดับที่ XNUMX
คุณยังสามารถจัดทำรายงานแยกต่างหากเกี่ยวกับช่องโหว่ระดับที่สี่และห้าเท่านั้น
รายงานแพทช์ ที่นี่คุณสามารถดูรายการแพตช์ทั้งหมดที่ต้องติดตั้งเพื่อกำจัดช่องโหว่ที่พบ สำหรับแต่ละแพตช์ จะมีคำอธิบายว่าโปรแกรมแก้ไขช่องโหว่ใดบ้าง จำเป็นต้องติดตั้งโฮสต์/ระบบใด และลิงก์ดาวน์โหลดโดยตรง
รายงานการปฏิบัติตาม PCI DSS. มาตรฐาน PCI DSS กำหนดให้ระบบสแกนข้อมูลและแอปพลิเคชันที่เข้าถึงได้จากอินเทอร์เน็ตทุกๆ 90 วัน หลังจากการสแกน คุณสามารถสร้างรายงานที่จะแสดงว่าโครงสร้างพื้นฐานใดไม่ตรงตามข้อกำหนดของมาตรฐาน
รายงานการแก้ไขช่องโหว่. Qualys สามารถรวมเข้ากับส่วนให้บริการ จากนั้นช่องโหว่ที่พบทั้งหมดจะถูกแปลเป็นตั๋วโดยอัตโนมัติ เมื่อใช้รายงานนี้ คุณสามารถติดตามความคืบหน้าของตั๋วที่เสร็จสมบูรณ์และช่องโหว่ที่แก้ไขแล้ว
เปิดรายงานพอร์ต. ที่นี่คุณจะได้รับข้อมูลเกี่ยวกับพอร์ตที่เปิดและบริการที่ทำงานอยู่:
หรือสร้างรายงานช่องโหว่ในแต่ละพอร์ต:
นี่เป็นเพียงเทมเพลตรายงานมาตรฐาน คุณสามารถสร้างงานเฉพาะของตัวเองได้ เช่น แสดงเฉพาะช่องโหว่ที่ไม่ต่ำกว่าระดับวิกฤตที่ห้า มีรายงานทั้งหมด รูปแบบรายงาน: CSV, XML, HTML, PDF และ docx
และจำไว้ว่า: ความปลอดภัยไม่ใช่ผลลัพธ์ แต่เป็นกระบวนการ การสแกนครั้งเดียวช่วยให้มองเห็นปัญหาได้ในขณะนั้น แต่นี่ไม่เกี่ยวกับกระบวนการจัดการช่องโหว่อย่างเต็มรูปแบบ
เพื่อให้ง่ายขึ้นสำหรับคุณในการตัดสินใจเกี่ยวกับงานปกตินี้ เราได้สร้างบริการตามการจัดการช่องโหว่ของ Qualys
มีโปรโมชั่นสำหรับผู้อ่าน Habr ทุกคน: เมื่อคุณสั่งบริการสแกนเป็นเวลาหนึ่งปี สแกนได้ฟรีสองเดือน สามารถฝากใบสมัครได้
ที่มา: will.com