主持人 > 博客 > 管理 > 我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

您好!

今天我想谈谈用于搜索和分析漏洞的云解决方案 Qualys Vulnerability Management,其中我们的一款 服务.

下面我将展示扫描本身是如何组织的,以及根据结果可以找到哪些漏洞信息。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

可以扫描什么

外部服务。 为了扫描可以访问 Internet 的服务,客户端向我们提供其 IP 地址和凭据(如果需要进行身份验证扫描)。 我们使用 Qualys 云扫描服务并根据结果发送报告。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

内部服务。 在这种情况下,扫描器会查找内部服务器和网络基础设施中的漏洞。 使用此类扫描,您可以清点操作系统、应用程序、开放端口及其背后的服务的版本。

安装 Qualys 扫描仪以在客户端基础设施内进行扫描。 Qualys 云充当该扫描仪的指挥中心。

除了带有 Qualys 的内部服务器外,还可以在扫描对象上安装代理(云代理)。 它们在本地收集有关系统的信息,并且几乎不会对网络或它们运行的​​主机造成任何负载。 接收到的信息被发送到云端。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

这里有三个要点:身份验证和扫描对象的选择。

  1. 使用身份验证。 一些客户要求进行黑盒扫描,特别是对于外部服务:他们给了我们一系列 IP 地址,但没有指定系统,并说“像黑客一样”。 但黑客很少会盲目行动。 当谈到攻击(而不是侦察)时,他们知道他们在攻击什么。 

    Qualys 可能会盲目地发现诱饵横幅并扫描它们而不是目标系统。 如果不了解到底要扫描什么,很容易错过扫描仪设置并“附加”正在检查的服务。 

    如果您在被扫描的系统(白盒)之前执行身份验证检查,扫描将会更有利。 这样,扫描仪将了解它的来源,并且您将收到有关目标系统漏洞的完整数据。

    我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施
    Qualys 有许多身份验证选项。

  2. 集团资产。 如果您立即开始不加区别地扫描所有内容,则将花费很长时间并给系统造成不必要的负载。 最好根据重要性、位置、操作系统版本、基础设施关键性和其他特征将主机和服务分组(在 Qualys 中称为资产组和资产标签),并在扫描时选择特定组。
  3. 选择要扫描的技术窗口。 即使您已经考虑并做好了准备,扫描也会给系统带来额外的压力。 它不一定会导致服务降级,但最好选择特定的时间,例如备份或更新更新。

从报告中您可以了解到什么?

根据扫描结果,客户端会收到一份报告,其中不仅包含发现的所有漏洞的列表,还包含消除这些漏洞的基本建议:更新、补丁等。Qualys 有很多报告:有默认模板,以及您可以创建自己的。 为了避免对所有的多样性感到困惑,最好首先自己决定以下几点: 

  • 谁将查看此报告:经理还是技术专家?
  • 您想从扫描结果中获得什么信息? 例如,如果您想了解是否安装了所有必要的补丁以及如何消除以前发现的漏洞,那么这就是一份报告。 如果您只需要清点所有主机,则需要另一个。

如果您的任务是向管理层展示简短但清晰的情况,那么您可以形成 执行报告。 所有漏洞都将按货架、严重程度、图表和图表进行分类。 例如,前 10 个最严重的漏洞或最常见的漏洞。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

对于技术人员来说有 技术报告 以及所有的细节和细节。 可以生成以下报告:

主持人报告。 当您需要清点基础设施并全面了解主机漏洞时,这非常有用。 

这就是分析的主机列表的样子,表明它们上运行的操作系统。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

让我们打开感兴趣的主机,查看已发现的 219 个漏洞的列表,从最关键的第五级开始:

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

然后您可以看到每个漏洞的详细信息。 在这里我们看到:

  • 第一次和最后一次检测到漏洞的时间,
  • 工业漏洞数量,
  • 修补程序以消除漏洞,
  • 在遵守 PCI DSS、NIST 等方面是否存在任何问题,
  • 是否有针对此漏洞的利用和恶意软件,
  • 是在系统中有/没有身份验证的情况下进行扫描时检测到的漏洞等。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

如果这不是第一次扫描 - 是的,您需要定期扫描 🙂 - 然后在帮助下 趋势报告 您可以追踪漏洞处理的动态。 漏洞的状态将与之前的扫描进行比较显示:较早发现并关闭的漏洞将被标记为已修复、未关闭的漏洞 - 活动的、新漏洞 - 新的。

漏洞报告。 在这份报告中,Qualys 将构建一个漏洞列表,从最关键的开始,指出要在哪个主机上捕获此漏洞。 例如,如果您决定立即了解第五级的所有漏洞,该报告将会很有用。

您也可以只对第四、五级漏洞单独上报。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

补丁报告。 在这里您可以看到需要安装以消除所发现的漏洞的补丁的完整列表。 对于每个补丁,都有其修复的漏洞、需要安装在哪个主机/系统上的说明以及直接下载链接。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

PCI DSS 合规性报告。 PCI DSS 标准要求每 90 天扫描一次可通过互联网访问的信息系统和应用程序。 扫描后,您可以生成一份报告,显示哪些基础设施不符合标准的要求。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

漏洞修复报告。 Qualys可以与服务台集成,然后所有发现的漏洞将自动转化为票据。 使用此报告,您可以跟踪已完成的票证和已解决的漏洞的进度。

开放端口报告。 您可以在此处获取有关开放端口及其上运行的服务的信息:

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

或生成有关每个端口上的漏洞的报告:

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

这些只是标准报告模板。 您可以为特定任务创建自己的任务,例如,仅显示不低于第五级关键性的漏洞。 所有报告均可用。 报告格式:CSV、XML、HTML、PDF 和 docx。

我是如何变得脆弱的:使用 Qualys 扫描 IT 基础设施

并记住: 安全不是结果,而是过程。 一次性扫描有助于发现当前的问题,但这并不是一个成熟的漏洞管理流程。
为了让您更轻松地决定这项常规工作,我们创建了基于 Qualys 漏洞管理的服务。

为所有 Habr 读者提供促销活动: 当您订购一年的扫描服务时,两个月的扫描是免费的。 可以留下申请 这里,在“评论”字段中写下 Habr。

来源: habr.com

添加评论