Herkese Merhaba!
Bugün güvenlik açıklarının aranması ve analiz edilmesine yönelik bulut çözümünden bahsetmek istiyorum. Qualys Güvenlik Açığı Yönetimi .
Aşağıda taramanın nasıl organize edildiğini ve sonuçlara göre güvenlik açıklarına ilişkin hangi bilgilerin bulunabileceğini göstereceğim.
Neler taranabilir?
Dış Hizmetler. İnternet erişimi olan hizmetleri taramak için istemci bize IP adreslerini ve kimlik bilgilerini sağlar (eğer kimlik doğrulamalı bir tarama gerekiyorsa). Hizmetleri Qualys bulutunu kullanarak tarıyoruz ve sonuçlara göre bir rapor gönderiyoruz.
Dahili hizmetler. Bu durumda tarayıcı, dahili sunuculardaki ve ağ altyapısındaki güvenlik açıklarını arar. Böyle bir taramayı kullanarak işletim sistemlerinin, uygulamaların, açık bağlantı noktalarının ve bunların arkasındaki hizmetlerin sürümlerinin envanterini çıkarabilirsiniz.
İstemcinin altyapısında tarama yapmak için bir Qualys tarayıcı kurulur. Qualys bulutu burada bu tarayıcının komuta merkezi olarak hizmet veriyor.
Qualys ile dahili sunucuya ek olarak, taranan nesnelere aracılar (Cloud Agent) kurulabilir. Sistem hakkında yerel olarak bilgi toplarlar ve üzerinde çalıştıkları ağ veya ana bilgisayarlar üzerinde neredeyse hiç yük oluşturmazlar. Alınan bilgiler buluta gönderilir.
Burada üç önemli nokta var: kimlik doğrulama ve taranacak nesnelerin seçimi.
- Kimlik Doğrulamayı Kullanma. Bazı müşteriler, özellikle harici hizmetler için kara kutu taraması talep ediyor: sistemi belirtmeden bize bir dizi IP adresi veriyorlar ve "hacker gibi ol" diyorlar. Ancak bilgisayar korsanları nadiren körü körüne hareket eder. Saldırı söz konusu olduğunda (keşif değil), neyi hacklediklerini biliyorlar.
Qualys körü körüne tuzak pankartlara rastlayabilir ve hedef sistem yerine onları tarayabilir. Tam olarak neyin taranacağını anlamadan, tarayıcı ayarlarını gözden kaçırmak ve kontrol edilen hizmeti "eklemek" kolaydır.
Kimlik doğrulama kontrollerini taranan sistemlerin (beyaz kutu) önünde gerçekleştirirseniz tarama daha faydalı olacaktır. Bu şekilde tarayıcı bunun nereden geldiğini anlayacak ve siz de hedef sistemin güvenlik açıkları hakkında eksiksiz veri alacaksınız.
Qualys'in birçok kimlik doğrulama seçeneği vardır. - Grup varlıkları. Her şeyi bir anda ve ayrım yapmadan taramaya başlarsanız bu çok uzun zaman alacak ve sistemlere gereksiz bir yük oluşturacaktır. Ana bilgisayarları ve hizmetleri önem, konum, işletim sistemi sürümü, altyapı kritikliği ve diğer özelliklere (Qualys'te Varlık Grupları ve Varlık Etiketleri olarak adlandırılır) göre gruplara ayırmak ve tarama sırasında belirli bir grubu seçmek daha iyidir.
- Taranacak teknik bir pencere seçin. Düşünmüş ve hazırlanmış olsanız bile tarama sistem üzerinde ek bir stres yaratır. Bu mutlaka hizmetin bozulmasına neden olmayacaktır, ancak bunun için belirli bir zaman seçmek daha iyidir (örneğin, güncellemelerin yedeklenmesi veya devredilmesi gibi).
Raporlardan neler öğrenebilirsiniz?
Tarama sonuçlarına göre istemci, yalnızca bulunan tüm güvenlik açıklarının bir listesini değil, aynı zamanda bunları ortadan kaldırmak için temel önerileri de içeren bir rapor alır: güncellemeler, yamalar vb. Qualys'in çok sayıda raporu vardır: varsayılan şablonlar vardır ve kendinizinkini oluşturabilirsiniz. Tüm çeşitlilikte kafanızın karışmaması için öncelikle aşağıdaki noktalara kendiniz karar vermeniz daha iyidir:
- Bu raporu kim görüntüleyecek: yönetici mi yoksa teknik uzman mı?
- Tarama sonuçlarından hangi bilgileri almak istiyorsunuz? Örneğin, gerekli tüm yamaların kurulu olup olmadığını ve önceden bulunan güvenlik açıklarını ortadan kaldırmak için çalışmaların nasıl yapıldığını öğrenmek istiyorsanız, bu bir rapordur. Tüm ana bilgisayarların bir envanterini almanız gerekiyorsa, o zaman bir tane daha.
Göreviniz yönetime kısa ama net bir resim göstermekse, o zaman Yönetici Raporu. Tüm güvenlik açıkları raflara, kritiklik düzeylerine, grafiklere ve diyagramlara göre sıralanacaktır. Örneğin, en kritik 10 güvenlik açığı veya en yaygın güvenlik açıkları.
Bir teknisyen için Teknik rapor tüm detayları ve detaylarıyla. Aşağıdaki raporlar oluşturulabilir:
Toplantı sahibi raporu. Altyapınızın bir envanterini çıkarmanız ve ana bilgisayardaki güvenlik açıklarının tam bir resmini elde etmeniz gerektiğinde yararlı bir şey.
Analiz edilen ana bilgisayarların listesi bu şekilde görünür ve üzerlerinde çalışan işletim sistemini gösterir.
Şimdi ilgimizi açalım ve en kritik olan beşinci seviyeden başlayarak bulunan 219 güvenlik açığının listesini görelim:
Daha sonra her bir güvenlik açığının ayrıntılarını görebilirsiniz. Burada şunu görüyoruz:
- güvenlik açığı ilk ve son kez tespit edildiğinde,
- endüstriyel güvenlik açığı numaraları,
- Güvenlik açığını ortadan kaldırmak için yama,
- PCI DSS, NIST vb. ile uyumlulukla ilgili herhangi bir sorun var mı?
- Bu güvenlik açığına yönelik bir istismar ve kötü amaçlı yazılım var mı?
- sistemde kimlik doğrulaması ile/olmadan tarama yaparken vb. tespit edilen bir güvenlik açığıdır.
Bu ilk tarama değilse - evet, düzenli olarak taramanız gerekir 🙂 - o zaman yardımla Trend raporu Güvenlik açıklarıyla çalışmanın dinamiklerini izleyebilirsiniz. Güvenlik açıklarının durumu önceki taramayla karşılaştırmalı olarak gösterilecektir: daha önce bulunan ve kapatılan güvenlik açıkları sabit, kapatılmamış olanlar - aktif, yeni olanlar - yeni olarak işaretlenecektir.
Güvenlik açığı raporu. Bu raporda Qualys, en kritik olandan başlayarak bu güvenlik açığının hangi ana bilgisayarda yakalanacağını belirten bir güvenlik açıkları listesi oluşturacaktır. Örneğin beşinci seviyenin tüm güvenlik açıklarını hemen anlamaya karar verirseniz, rapor yararlı olacaktır.
Ayrıca yalnızca dördüncü ve beşinci seviyedeki güvenlik açıklarına ilişkin ayrı bir rapor oluşturabilirsiniz.
Yama raporu. Burada, bulunan güvenlik açıklarını ortadan kaldırmak için yüklenmesi gereken yamaların tam listesini görebilirsiniz. Her yama için hangi güvenlik açıklarının giderildiği, hangi ana makineye/sisteme kurulması gerektiği ve doğrudan indirme bağlantısı hakkında bir açıklama bulunur.
PCI DSS Uyumluluk Raporu. PCI DSS standardı, İnternet'ten erişilebilen bilgi sistemleri ve uygulamalarının her 90 günde bir taranmasını gerektirir. Tarama sonrasında altyapının standardın gerekliliklerini karşılamadığını gösterecek bir rapor oluşturabilirsiniz.
Güvenlik Açığı Düzeltme Raporları. Qualys hizmet masasına entegre edilebilir ve ardından bulunan tüm güvenlik açıkları otomatik olarak bildirimlere dönüştürülür. Bu raporu kullanarak tamamlanan bildirimler ve çözülen güvenlik açıkları ile ilgili ilerlemeyi takip edebilirsiniz.
Bağlantı noktası raporlarını aç. Burada açık bağlantı noktaları ve bunlarda çalışan hizmetler hakkında bilgi alabilirsiniz:
veya her bağlantı noktasındaki güvenlik açıklarına ilişkin bir rapor oluşturun:
Bunlar yalnızca standart rapor şablonlarıdır. Belirli görevler için kendinizinkini oluşturabilirsiniz; örneğin, yalnızca beşinci kritiklik düzeyinden düşük olmayan güvenlik açıklarını gösterin. Tüm raporlar mevcuttur. Rapor formatı: CSV, XML, HTML, PDF ve docx.
Ve Hatırla: Güvenlik bir sonuç değil, bir süreçtir. Tek seferlik tarama, sorunların o andaki görülmesine yardımcı olur ancak bu, tam teşekküllü bir güvenlik açığı yönetimi süreciyle ilgili değildir.
Bu düzenli çalışmaya karar vermenizi kolaylaştırmak için Qualys Güvenlik Açığı Yönetimini temel alan bir hizmet oluşturduk.
Tüm Habr okuyucuları için bir promosyon var: Bir yıllık tarama hizmeti sipariş ettiğinizde iki aylık tarama ücretsizdir. Başvurular bırakılabilir , “Yorum” alanına Habr yazın.
Kaynak: habr.com