Xin chào tất cả mọi người!
Hôm nay tôi muốn nói về giải pháp đám mây để tìm kiếm và phân tích lỗ hổng Quản lý lỗ hổng Qualys, trên đó một trong những giải pháp của chúng tôi .
Dưới đây tôi sẽ chỉ ra cách tổ chức quá trình quét và thông tin nào về các lỗ hổng có thể được tìm thấy dựa trên kết quả.
Những gì có thể được quét
Dịch vụ bên ngoài. Để quét các dịch vụ có quyền truy cập Internet, khách hàng sẽ cung cấp cho chúng tôi địa chỉ IP và thông tin xác thực của họ (nếu cần quét xác thực). Chúng tôi quét các dịch vụ bằng đám mây Qualys và gửi báo cáo dựa trên kết quả.
Dịch vụ nội bộ. Trong trường hợp này, máy quét sẽ tìm kiếm các lỗ hổng trong máy chủ nội bộ và cơ sở hạ tầng mạng. Sử dụng quá trình quét như vậy, bạn có thể kiểm kê các phiên bản hệ điều hành, ứng dụng, cổng mở và dịch vụ đằng sau chúng.
Máy quét Qualys được cài đặt để quét trong cơ sở hạ tầng của khách hàng. Đám mây Qualys đóng vai trò là trung tâm chỉ huy cho máy quét này tại đây.
Ngoài máy chủ nội bộ có Qualys, các tác nhân (Cloud Agent) có thể được cài đặt trên các đối tượng được quét. Họ thu thập thông tin cục bộ về hệ thống và hầu như không tạo ra tải trọng nào trên mạng hoặc các máy chủ mà họ vận hành. Thông tin nhận được sẽ được gửi lên đám mây.
Có ba điểm quan trọng ở đây: xác thực và lựa chọn đối tượng để quét.
- Sử dụng xác thực. Một số khách hàng yêu cầu quét hộp đen, đặc biệt là đối với các dịch vụ bên ngoài: họ cung cấp cho chúng tôi một loạt địa chỉ IP mà không chỉ định hệ thống và nói “hãy giống như một hacker”. Nhưng hacker hiếm khi hành động mù quáng. Khi nói đến tấn công (không phải trinh sát), họ biết mình đang hack cái gì.
Một cách mù quáng, Qualys có thể tình cờ tìm thấy các biểu ngữ mồi nhử và quét chúng thay vì hệ thống mục tiêu. Và nếu không hiểu chính xác những gì sẽ được quét, bạn rất dễ bỏ lỡ cài đặt máy quét và “đính kèm” dịch vụ đang được kiểm tra.
Quá trình quét sẽ có lợi hơn nếu bạn thực hiện kiểm tra xác thực trước hệ thống đang được quét (hộp trắng). Bằng cách này, máy quét sẽ hiểu nó đến từ đâu và bạn sẽ nhận được dữ liệu đầy đủ về các lỗ hổng của hệ thống mục tiêu.
Qualys có nhiều tùy chọn xác thực. - Tài sản nhóm. Nếu bạn bắt đầu quét mọi thứ cùng một lúc và một cách bừa bãi, sẽ mất nhiều thời gian và tạo ra tải trọng không cần thiết cho hệ thống. Tốt hơn là nên nhóm các máy chủ và dịch vụ thành các nhóm dựa trên tầm quan trọng, vị trí, phiên bản hệ điều hành, mức độ quan trọng của cơ sở hạ tầng và các đặc điểm khác (trong Qualys, chúng được gọi là Nhóm tài sản và Thẻ tài sản) và chọn một nhóm cụ thể khi quét.
- Chọn cửa sổ kỹ thuật để quét. Ngay cả khi bạn đã suy nghĩ và chuẩn bị, việc quét vẫn tạo thêm căng thẳng cho hệ thống. Điều này không nhất thiết gây ra sự xuống cấp của dịch vụ, nhưng tốt hơn hết bạn nên chọn một thời điểm nhất định cho dịch vụ đó, chẳng hạn như để sao lưu hoặc chuyển qua các bản cập nhật.
Bạn có thể học được gì từ các báo cáo?
Dựa trên kết quả quét, khách hàng nhận được một báo cáo không chỉ chứa danh sách tất cả các lỗ hổng được tìm thấy mà còn có các đề xuất cơ bản để loại bỏ chúng: bản cập nhật, bản vá, v.v. Qualys có rất nhiều báo cáo: có các mẫu mặc định và bạn có thể tạo của riêng bạn. Để không bị nhầm lẫn về sự đa dạng, tốt hơn hết bạn nên tự mình quyết định những điểm sau:
- Ai sẽ xem báo cáo này: người quản lý hay chuyên gia kỹ thuật?
- bạn muốn nhận được thông tin gì từ kết quả quét? Ví dụ: nếu bạn muốn tìm hiểu xem tất cả các bản vá cần thiết đã được cài đặt hay chưa và công việc đang được thực hiện như thế nào để loại bỏ các lỗ hổng được tìm thấy trước đó, thì đây là một báo cáo. Nếu bạn chỉ cần kiểm kê tất cả các máy chủ thì một máy chủ khác.
Nếu nhiệm vụ của bạn là trình bày một bức tranh ngắn gọn nhưng rõ ràng cho ban quản lý thì bạn có thể hình thành Bản báo cáo điều hành. Tất cả các lỗ hổng sẽ được sắp xếp theo giá, mức độ nghiêm trọng, đồ thị và sơ đồ. Ví dụ: 10 lỗ hổng nghiêm trọng nhất hoặc các lỗ hổng phổ biến nhất.
Đối với một kỹ thuật viên có Tường trình kỹ thuật với tất cả các chi tiết và chi tiết. Các báo cáo sau đây có thể được tạo ra:
Báo cáo máy chủ. Một điều hữu ích khi bạn cần kiểm kê cơ sở hạ tầng của mình và có được bức tranh hoàn chỉnh về các lỗ hổng của máy chủ.
Đây là danh sách các máy chủ được phân tích, cho biết hệ điều hành đang chạy trên chúng.
Hãy mở máy chủ quan tâm và xem danh sách 219 lỗ hổng được tìm thấy, bắt đầu từ cấp độ năm quan trọng nhất:
Sau đó, bạn có thể xem chi tiết cho từng lỗ hổng. Ở đây chúng ta thấy:
- khi lỗ hổng được phát hiện lần đầu tiên và lần cuối cùng,
- số lượng dễ bị tổn thương công nghiệp,
- vá để loại bỏ lỗ hổng,
- có bất kỳ vấn đề nào với việc tuân thủ PCI DSS, NIST, v.v. không?
- có cách khai thác và phần mềm độc hại nào cho lỗ hổng này không,
- là lỗ hổng được phát hiện khi quét có/không có xác thực trong hệ thống, v.v.
Nếu đây không phải là lần quét đầu tiên - vâng, bạn cần quét thường xuyên 🙂 - thì với sự trợ giúp Báo cáo xu hướng Bạn có thể theo dõi động lực làm việc với các lỗ hổng. Trạng thái của các lỗ hổng sẽ được hiển thị so với lần quét trước: các lỗ hổng đã được tìm thấy trước đó và đã đóng sẽ được đánh dấu là các lỗ hổng đã sửa, chưa được phát hiện - đang hoạt động, các lỗ hổng mới - mới.
Báo cáo về lỗ hổng. Trong báo cáo này, Qualys sẽ xây dựng danh sách các lỗ hổng, bắt đầu từ lỗ hổng nghiêm trọng nhất, cho biết máy chủ nào sẽ phát hiện lỗ hổng này. Báo cáo sẽ hữu ích nếu bạn quyết định hiểu ngay lập tức, chẳng hạn như tất cả các lỗ hổng cấp độ thứ năm.
Bạn cũng chỉ có thể tạo một báo cáo riêng về các lỗ hổng cấp độ thứ tư và thứ năm.
Báo cáo bản vá. Tại đây bạn có thể xem danh sách đầy đủ các bản vá cần được cài đặt để loại bỏ các lỗ hổng được tìm thấy. Đối với mỗi bản vá, có phần giải thích về những lỗ hổng mà nó sửa, nó cần được cài đặt trên máy chủ/hệ thống nào và liên kết tải xuống trực tiếp.
Báo cáo tuân thủ PCI DSS. Tiêu chuẩn PCI DSS yêu cầu quét các hệ thống thông tin và ứng dụng có thể truy cập từ Internet cứ sau 90 ngày. Sau khi quét, bạn có thể tạo một báo cáo cho biết cơ sở hạ tầng nào không đáp ứng các yêu cầu của tiêu chuẩn.
Báo cáo khắc phục lỗ hổng. Qualys có thể được tích hợp với bộ phận dịch vụ và sau đó tất cả các lỗ hổng được tìm thấy sẽ tự động được chuyển thành phiếu. Bằng cách sử dụng báo cáo này, bạn có thể theo dõi tiến trình trên các yêu cầu đã hoàn thành và các lỗ hổng đã được giải quyết.
Báo cáo cổng mở. Tại đây bạn có thể nhận thông tin về các cổng và dịch vụ mở đang chạy trên chúng:
hoặc tạo báo cáo về các lỗ hổng trên mỗi cổng:
Đây chỉ là những mẫu báo cáo tiêu chuẩn. Bạn có thể tạo của riêng mình cho các nhiệm vụ cụ thể, chẳng hạn như chỉ hiển thị các lỗ hổng không thấp hơn mức độ nghiêm trọng thứ năm. Tất cả các báo cáo đều có sẵn. Định dạng báo cáo: CSV, XML, HTML, PDF và docx.
Và hãy nhớ: An toàn không phải là kết quả mà là một quá trình. Quá trình quét một lần giúp phát hiện các vấn đề ngay lập tức, nhưng đây không phải là quy trình quản lý lỗ hổng chính thức.
Để giúp bạn quyết định công việc thường xuyên này dễ dàng hơn, chúng tôi đã tạo một dịch vụ dựa trên Quản lý lỗ hổng Qualys.
Có khuyến mãi dành cho tất cả độc giả của Habr: Khi bạn đặt dịch vụ quét trong một năm, bạn sẽ được miễn phí hai tháng quét. Các ứng dụng có thể được để lại , trong trường “Nhận xét”, hãy viết Habr.
Nguồn: www.habr.com