Всім привіт!
Сьогодні хочу розповісти про хмарне рішення щодо пошуку та аналізу вразливостей Qualys Vulnerability Management, на якому побудований один із наших .
Нижче покажу, як організовано саме сканування та яку інформацію щодо вразливостей можна дізнатися за підсумками.
Що можна просканувати
Зовнішні послуги. Для сканування сервісів, що мають вихід в інтернет, клієнт надає нам їх IP-адреси та облікові дані (якщо потрібний скан з автентифікацією). Ми скануємо сервіси за допомогою хмар Qualys і за підсумками надсилаємо звіт.
Внутрішні послуги. У цьому випадку сканер шукає вразливості на внутрішніх серверах та інфраструктурі мережі. За допомогою такого сканування можна провести інвентаризацію версій операційних систем, програм, відкритих портів та сервісів, що знаходяться за ними.
Для сканування всередині інфраструктури клієнта встановлюється сканер Qualys. Хмара Qualys виконує тут функцію центру команд цього сканера.
На додаток до внутрішнього сервера Qualys на об'єкти сканування можна встановити агенти (Cloud Agent). Вони збирають інформацію про систему локально, практично не створюють навантаження на мережу та на хости, на яких працюють. Отримана інформація надсилається в хмару.
Тут три важливі моменти: автентифікація та вибір об'єктів для сканування.
- Використання аутентифікації. Деякі клієнти просять провести сканування Blackbox, особливо для зовнішніх сервісів: віддають нам діапазон IP-адрес без вказівки системи і кажуть «будьте як хакер». Але хакери рідко діють наосліп. Коли справа доходить до атаки (не розвідки), вони знають, що зламують.
Наосліп Qualys може натрапити на банери-обманки і просканувати їх замість цільової системи. А ще без розуміння, що саме скануватиметься, легко промахнутися з налаштуваннями сканера і «прикласти» сервіс, що перевіряється.
Сканування принесе більше користі, якщо проводити перевірки з автентифікацією перед системами, що скануються (whitebox). Так сканер розумітиме, куди він прийшов, і ви отримаєте повні дані про вразливість цільової системи.
Qualys має багато опцій з аутентифікації. - Групувати активи. Якщо запускати сканування по всьому відразу і без аналізу, це буде довго і створить зайве навантаження на системи. Хости, сервіси краще об'єднати у групи за важливістю, розташуванням, версією ОС, критичністю інфраструктури та іншими ознаками (у Qualys вони називаються Asset Groups та Asset Tags) та вибирати при скануванні конкретну групу.
- Вибирайте технічне вікно для сканування. Навіть якщо ви все передбачили та підготувалися, сканування створює додаткове навантаження на систему. Воно необов'язково викличе деградацію сервісу, але краще йому вибрати певний час, як резервного копіювання чи накату оновлень.
Що можна дізнатися зі звітів?
За підсумками сканування клієнт отримує звіт, в якому буде не тільки список усіх знайдених уразливостей, але й базові рекомендації щодо їх усунення: оновлення, патчі та ін. Звітів Qualys багато: є дефолтні шаблони, і можна створювати свої. Щоб не заплутатися у всьому різноманітті, краще спочатку визначитися для себе за такими моментами:
- хто дивитиметься цей звіт: менеджер чи технічний фахівець?
- яку інформацію хочете отримати за результатами сканування. Наприклад, якщо ви хочете з'ясувати, чи встановлені всі необхідні патчі і як ведеться робота усунення раніше знайдених уразливостей, це один звіт. Якщо вам потрібно просто провести інвентаризацію всіх хостів, то інший.
Якщо у вас завдання показати коротку, але наочну картину керівництву, то можна сформувати Executive Report. Всі вразливості будуть розкладені по поличках, рівнях критичності, графіків та діаграм. Наприклад, топ-10 найкритичніших вразливостей або найуразливіші, що найчастіше зустрічаються.
Для технічного спеціаліста є Технічний звіт з усіма деталями та подробицями. Можна сформувати такі звіти:
Звіт по хостам. Корисна штука, коли потрібно провести інвентаризацію інфраструктури та отримати повну картину за вразливістю хостів.
Ось так виглядає список проаналізованих хостів із зазначенням ОС, що працюють на них.
Відкриємо хост, що цікавить, і побачимо список із 219 знайдених уразливостей, починаючи від найкритичніших, п'ятого рівня:
Далі можна переглянути подробиці з кожної вразливості. Тут ми бачимо:
- коли вразливість була зафіксована вперше і востаннє,
- індустріальні номери вразливостей,
- патч для усунення вразливості,
- чи є проблеми з відповідністю стандарту PCI DSS, NIST та ін.,
- є експлойт і malware для цієї вразливості,
- чи виявляється вразливість при скануванні з/без автентифікації в системі та ін.
Якщо це вже не перше сканування – так, скануватися потрібно регулярно 🙂 – то за допомогою Звіт про тенденції можна простежити динаміку роботи з уразливістю. Статус уразливостей буде показаний у порівнянні з попереднім скануванням: уразливості, які були знайдені раніше та закриті, будуть відзначені як fixed, незакриті – active, нові – new.
Звіт з уразливостей. У цьому звіті Qualys побудує список уразливостей, починаючи з найкритичніших, із зазначенням, на якому хості цю вразливість ловити. Звіт нагоді, якщо ви вирішили в моменті розібратися, наприклад, з усіма вразливістю п'ятого рівня.
Також можна зробити окремий звіт лише за вразливістю четвертого та п'ятого рівнів.
Звіт з патчів. Тут видається повний перелік патчів, які потрібно поставити, щоб усунути знайдені вразливості. Для кожного патча є пояснення, які вразливості він лікує, на який хост/систему потрібно встановити, і пряме посилання на завантаження.
Звіт на відповідність стандартам PCI DSS. Стандарт PCI DSS вимагає сканування інформаційних систем та програм, доступних з Інтернету, кожні 90 днів. Після скану можна сформувати звіт, який покаже, що інфраструктура відповідає вимогам стандарту.
Звіти щодо усунення вразливостей. Qualys можна інтегрувати з сервісом, і тоді всі знайдені вразливості будуть автоматично переводитися в тикети. За допомогою цього звіту якраз можна буде відслідковувати прогрес по виконаних тикетах та усунених уразливостей.
Звіти з відкритих портів. Тут можна отримати інформацію щодо відкритих портів та сервісів, що працюють на них:
або сформувати звіт щодо вразливостей на кожному порту:
Це лише стандартні шаблони звітів. Можна створювати свої під конкретні завдання, наприклад, показати лише вразливості не нижче за п'ятий рівень критичності. Усі звіти доступні. Формат звітів: CSV, XML, HTML, PDF та docx.
І пам'ятайте: безпека – це результат, а процес. Разове сканування допомагає побачити проблеми в моменті, але це не про повноцінний процес управління вразливістю.
Щоб вам було легше вирішити цю регулярну працю, ми зробили сервіс на базі Qualys Vulnerability Management.
Для всіх читачів Хабра діє акція: при замовленні сервісу із сканування на рік два місяці сканів безкоштовні. Заявки можна залишати , у полі «Коментар» пишіть Хабр.
Джерело: habr.com