Kumusta sa lahat!
Ngayon gusto kong pag-usapan ang cloud solution para sa paghahanap at pagsusuri sa mga kahinaan ng Qulys Vulnerability Management, kung saan isa sa aming .
Sa ibaba ay ipapakita ko kung paano nakaayos ang mismong pag-scan at kung anong impormasyon sa mga kahinaan ang makikita batay sa mga resulta.
Ano ang maaaring i-scan
Panlabas na serbisyo. Upang i-scan ang mga serbisyong may access sa Internet, binibigyan kami ng kliyente ng kanilang mga IP address at kredensyal (kung kailangan ang isang pag-scan na may pagpapatunay). Nag-scan kami ng mga serbisyo gamit ang Qualys cloud at nagpapadala ng ulat batay sa mga resulta.
Mga panloob na serbisyo. Sa kasong ito, hinahanap ng scanner ang mga kahinaan sa mga panloob na server at imprastraktura ng network. Gamit ang naturang pag-scan, maaari mong imbentaryo ang mga bersyon ng mga operating system, application, bukas na port at mga serbisyo sa likod ng mga ito.
Ang isang Qualys scanner ay naka-install upang mag-scan sa loob ng imprastraktura ng kliyente. Ang Qualys cloud ay nagsisilbing command center para sa scanner na ito dito.
Bilang karagdagan sa panloob na server na may Qualys, maaaring mai-install ang mga ahente (Cloud Agent) sa mga na-scan na bagay. Nangongolekta sila ng impormasyon tungkol sa system nang lokal at halos walang load sa network o sa mga host kung saan sila nagpapatakbo. Ang natanggap na impormasyon ay ipinadala sa cloud.
Mayroong tatlong mahahalagang punto dito: pagpapatunay at pagpili ng mga bagay na ii-scan.
- Paggamit ng Authentication. Ang ilang mga kliyente ay humihingi ng blackbox scan, lalo na para sa mga panlabas na serbisyo: binibigyan nila kami ng hanay ng mga IP address nang hindi tinukoy ang system at sinasabing "maging parang isang hacker." Ngunit ang mga hacker ay bihirang kumilos nang walang taros. Pagdating sa pag-atake (hindi reconnaissance), alam nila kung ano ang kanilang hina-hack.
Blindly, maaaring matisod ng Qualys ang mga decoy na banner at i-scan ang mga ito sa halip na ang target na sistema. At nang hindi nauunawaan kung ano ang eksaktong i-scan, madaling makaligtaan ang mga setting ng scanner at "ilakip" ang serbisyong sinusuri.
Magiging mas kapaki-pakinabang ang pag-scan kung magsasagawa ka ng mga pagsusuri sa pagpapatunay sa harap ng mga system na ini-scan (whitebox). Sa ganitong paraan mauunawaan ng scanner kung saan ito nanggaling, at makakatanggap ka ng kumpletong data tungkol sa mga kahinaan ng target na sistema.
Ang Qualys ay may maraming mga pagpipilian sa pagpapatunay. - Mga asset ng pangkat. Kung sinimulan mong i-scan ang lahat nang sabay-sabay at walang pinipili, magtatagal ito at lumikha ng hindi kinakailangang pag-load sa mga system. Mas mainam na pangkatin ang mga host at serbisyo sa mga pangkat batay sa kahalagahan, lokasyon, bersyon ng OS, kritikal na imprastraktura at iba pang mga katangian (sa Qualys ay tinatawag silang Mga Grupo ng Asset at Mga Tag ng Asset) at pumili ng partikular na pangkat kapag nag-scan.
- Pumili ng teknikal na window upang i-scan. Kahit na nag-isip at naghanda ka, ang pag-scan ay lumilikha ng karagdagang diin sa system. Ito ay hindi kinakailangang maging sanhi ng pagkasira ng serbisyo, ngunit ito ay mas mahusay na pumili ng isang tiyak na oras para dito, tulad ng para sa isang backup o rollover ng mga update.
Ano ang matututuhan mo sa mga ulat?
Batay sa mga resulta ng pag-scan, ang kliyente ay makakatanggap ng isang ulat na naglalaman hindi lamang ng isang listahan ng lahat ng mga kahinaan na natagpuan, ngunit pati na rin ang mga pangunahing rekomendasyon para sa pag-aalis ng mga ito: mga update, mga patch, atbp. Ang Qualys ay may maraming mga ulat: mayroong mga default na template, at maaari kang lumikha ng iyong sarili. Upang hindi malito sa lahat ng pagkakaiba-iba, mas mahusay na magpasya muna para sa iyong sarili sa mga sumusunod na punto:
- Sino ang titingin sa ulat na ito: isang manager o isang teknikal na espesyalista?
- anong impormasyon ang gusto mong makuha mula sa mga resulta ng pag-scan? Halimbawa, kung gusto mong malaman kung ang lahat ng kinakailangang mga patch ay naka-install at kung paano ginagawa ang trabaho upang maalis ang mga dating nahanap na kahinaan, ito ay isang ulat. Kung kailangan mo lang kumuha ng imbentaryo ng lahat ng host, isa pa.
Kung ang iyong gawain ay magpakita ng maikli ngunit malinaw na larawan sa pamamahala, maaari kang bumuo Executive Report. Ang lahat ng mga kahinaan ay pag-uuri-uriin sa mga istante, antas ng pagiging kritikal, mga graph at mga diagram. Halimbawa, ang nangungunang 10 pinaka kritikal na kahinaan o ang pinakakaraniwang kahinaan.
Para sa isang technician meron Ulat ng Teknikal kasama ang lahat ng mga detalye at detalye. Ang mga sumusunod na ulat ay maaaring mabuo:
Ulat ng mga host. Isang kapaki-pakinabang na bagay kapag kailangan mong kumuha ng imbentaryo ng iyong imprastraktura at makakuha ng kumpletong larawan ng mga kahinaan ng host.
Ito ang hitsura ng listahan ng mga nasuri na host, na nagpapahiwatig ng OS na tumatakbo sa kanila.
Buksan natin ang host ng interes at tingnan ang isang listahan ng 219 na nakitang mga kahinaan, simula sa pinaka-kritikal, antas limang:
Pagkatapos ay makikita mo ang mga detalye para sa bawat kahinaan. Dito natin makikita:
- kapag natukoy ang kahinaan sa una at huling pagkakataon,
- mga numero ng kahinaan sa industriya,
- patch upang maalis ang kahinaan,
- mayroon bang anumang mga problema sa pagsunod sa PCI DSS, NIST, atbp.,
- mayroon bang pagsasamantala at malware para sa kahinaang ito,
- ay isang kahinaan na nakita kapag nag-scan nang may/walang pagpapatotoo sa system, atbp.
Kung hindi ito ang unang pag-scan - oo, kailangan mong regular na mag-scan π - pagkatapos ay sa tulong Ulat ng Trend Maaari mong subaybayan ang dynamics ng pagtatrabaho sa mga kahinaan. Ang katayuan ng mga kahinaan ay ipapakita kumpara sa nakaraang pag-scan: ang mga kahinaan na nakita nang mas maaga at sarado ay mamarkahan bilang mga naayos, hindi sarado - aktibo, bago - bago.
Ulat sa kahinaan. Sa ulat na ito, bubuo ang Qualys ng isang listahan ng mga kahinaan, simula sa pinaka-kritikal, na nagsasaad kung saang host mahuhuli ang kahinaang ito. Magiging kapaki-pakinabang ang ulat kung magpasya kang agad na maunawaan, halimbawa, ang lahat ng mga kahinaan ng ikalimang antas.
Maaari ka ring gumawa ng hiwalay na ulat lamang sa mga kahinaan ng ikaapat at ikalimang antas.
Ulat ng patch. Dito makikita mo ang isang kumpletong listahan ng mga patch na kailangang i-install upang maalis ang mga kahinaan na natagpuan. Para sa bawat patch mayroong isang paliwanag kung anong mga kahinaan ang inaayos nito, kung aling host/system ang kailangan nitong i-install, at isang direktang link sa pag-download.
Ulat sa Pagsunod ng PCI DSS. Ang pamantayan ng PCI DSS ay nangangailangan ng pag-scan ng mga sistema ng impormasyon at mga application na naa-access mula sa Internet bawat 90 araw. Pagkatapos ng pag-scan, maaari kang bumuo ng isang ulat na magpapakita kung ano ang hindi nakakatugon sa imprastraktura sa mga kinakailangan ng pamantayan.
Mga Ulat sa Pagreremedia ng Kahinaan. Maaaring isama ang Qualys sa service desk, at pagkatapos ay awtomatikong isasalin sa mga tiket ang lahat ng nahanap na kahinaan. Gamit ang ulat na ito, maaari mong subaybayan ang pag-unlad sa mga nakumpletong tiket at nalutas ang mga kahinaan.
Buksan ang mga ulat sa port. Dito makakakuha ka ng impormasyon sa mga bukas na port at serbisyong tumatakbo sa kanila:
o bumuo ng isang ulat sa mga kahinaan sa bawat port:
Ito ay mga karaniwang template ng ulat lamang. Maaari kang lumikha ng iyong sarili para sa mga partikular na gawain, halimbawa, ipakita lamang ang mga kahinaan na hindi mas mababa kaysa sa ikalimang antas ng pagiging kritikal. Ang lahat ng mga ulat ay magagamit. Format ng ulat: CSV, XML, HTML, PDF at docx.
At tandaan: Ang kaligtasan ay hindi isang resulta, ngunit isang proseso. Ang isang beses na pag-scan ay nakakatulong upang makita ang mga problema sa sandaling ito, ngunit ito ay hindi tungkol sa isang ganap na proseso ng pamamahala ng kahinaan.
Upang gawing mas madali para sa iyo na magpasya sa regular na gawaing ito, lumikha kami ng isang serbisyo batay sa Pamamahala ng Kahinaan ng Qualys.
Mayroong promo para sa lahat ng mga mambabasa ng Habr: Kapag nag-order ka ng serbisyo sa pag-scan sa loob ng isang taon, libre ang dalawang buwang pag-scan. Maaaring iwan ang mga aplikasyon , sa field na βKomentoβ isulat ang Habr.
Pinagmulan: www.habr.com