主持人 > 博客 > 管理 > 我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

大家好!

今天我想談談 Qualys 漏洞管理,這是一種基於雲的解決方案,用於查找和分析漏洞,我們的一個解決方案 服務.

下面我將展示掃描本身是如何組織的以及可以從結果中找到哪些有關漏洞的信息。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

可以掃描什麼

外部服務。 要掃描可以訪問 Internet 的服務,客戶端需要向我們提供其 IP 地址和憑據(如果您需要進行身份驗證掃描)。 我們使用 Qualys 雲掃描服務並根據結果發送報告。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

內部服務。 在這種情況下,掃描器會查找內部服務器和網絡基礎設施上的漏洞。 使用此類掃描,您可以清點操作系統、應用程序、開放端口及其背後的服務的版本。

安裝了 Qualys 掃描儀,用於在客戶的基礎設施內進行掃描。 Qualys 雲在此充當該掃描儀的指揮中心。

除了帶有 Qualys 的內部服務器外,還可以在掃描對像上安裝代理(雲代理)。 它們在本地收集有關係統的信息,而網絡和它們所工作的主機上幾乎沒有負載。 接收到的信息被發送到雲端。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

這裡有三個要點:身份驗證和掃描對象的選擇。

  1. 使用身份驗證。 一些客戶要求進行黑盒掃描,特別是對於外部服務:他們給我們提供了一系列 IP 地址,但沒有指定係統,並說“像黑客一樣”。 但黑客很少會盲目行動。 當談到攻擊(不是偵察)時,他們知道他們正在黑客攻擊。 

    Qualys 可能會盲目地發現虛假橫幅並掃描它們而不是目標系統。 如果不了解到底要掃描什麼,很容易超出掃描儀設置並“附加”正在檢查的服務。 

    如果您在掃描的系統(白盒)前運行身份驗證檢查,掃描將更有用。 因此,掃描儀將了解它的來源,並且您將收到有關目標系統漏洞的完整數據。

    我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施
    Qualys 有許多身份驗證選項。

  2. 集團資產。 如果您不加區別地立即對所有內容進行掃描,則將花費很長時間並給系統帶來不必要的負載。 最好根據主機和服務的重要性、位置、操作系統版本、基礎設施關鍵性和其他功能將主機和服務分組(在 Qualys 中稱為資產組和資產標籤),並在掃描時選擇特定組。
  3. 選擇掃描的技術窗口。 即使您已預見並準備好一切,掃描也會給系統帶來額外的負載。 它不一定會導致服務降級,但最好選擇一個特定的時間,例如備份或更新滾動。

從報告中可以了解到什麼?

根據掃描結果,客戶端會收到一份報告,其中不僅包含發現的所有漏洞的列表,還包含消除這些漏洞的基本建議:更新、補丁等。Qualys 有很多報告:有默認模板,並且您可以創建自己的。 為了避免對所有的多樣性感到困惑,最好首先自己決定以下幾點: 

  • 誰將查看此報告:經理還是技術專家?
  • 您想從掃描結果中獲得什麼信息。 例如,如果您想了解是否安裝了所有必要的補丁以及如何消除以前發現的漏洞,那麼這就是一份報告。 如果您只需要清點所有主機,則需要另一個。

如果您的任務是向管理層展示簡短但直觀的圖片,那麼您可以形成 執行報告。 所有漏洞將按級別、嚴重程度、圖表和圖表進行排序。 例如,前 10 個最嚴重的漏洞或最常見的漏洞。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

對於技術人員來說有 技術報告 以及所有的細節和細節。 您可以生成以下報告:

主持人報告。 當您需要清點基礎設施並全面了解主機漏洞時,這非常有用。 

這就是分析的主機列表的樣子,並指示其上運行的操作系統。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

讓我們打開感興趣的主機,查看發現的 219 個漏洞的列表,從最關鍵的第五級開始:

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

您可以在下面查看每個漏洞的詳細信息。 在這裡我們看到:

  • 第一次和最後一次修復漏洞的時間,
  • 工業數量的漏洞,
  • 修補程序以消除漏洞,
  • 在遵守 PCI DSS、NIST 等方面是否存在任何問題,
  • 是否有針對此漏洞的利用和惡意軟件,
  • 在系統中進行/不進行身份驗證的情況下掃描時是否檢測到漏洞等。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

如果這不是第一次掃描 - 是的,您需要定期掃描 🙂 - 然後使用 趨勢報告 您可以跟踪處理漏洞的動態。 漏洞的狀態將與之前的掃描進行比較顯示:之前發現並關閉的漏洞將被標記為已修復、未修補 - 活動、新漏洞 - 新。

漏洞報告。 在這份報告中,Qualys 將構建一個漏洞列表,從最關鍵的開始,指出要在哪個主機上捕獲此漏洞。 例如,如果您目前決定處理所有 XNUMX 級漏洞,該報告將會派上用場。

您也可以僅針對第四級和第五級漏洞進行單獨報告。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

補丁報告。 以下是為了消除所發現的漏洞而需要安裝的補丁的完整列表。 對於每個補丁,都有其處理哪些漏洞、需要在哪個主機/系統上安裝的解釋,以及直接下載鏈接。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

PCI DSS 合規性報告。 PCI DSS 標準要求每 90 天掃描一次可通過互聯網訪問的信息系統和應用程序。 掃描後,您可以生成一份報告,顯示哪些基礎設施不符合標準的要求。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

漏洞報告。 Qualys可以與服務台集成,然後所有發現的漏洞都會自動轉化為票據。 借助此報告,將可以跟踪已完成的票證和修復的漏洞的進度。

開放端口報告。 您可以在此處獲取有關開放端口及其上運行的服務的信息:

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

或生成有關每個端口上的漏洞的報告:

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

這些只是標準報告模板。 您可以為特定任務創建自己的任務,例如,僅顯示不低於第五級關鍵性的漏洞。 所有報告均可用。 報告格式:CSV、XML、HTML、PDF 和 docx。

我是如何變得脆弱的:使用 Qualys 掃描 IT 基礎設施

並記住: 安全不是一個結果,而是一個過程。 一次性掃描有助於發現當前的問題,但這並不是一個成熟的漏洞管理流程。
為了讓您更輕鬆地決定這項常規工作,我們做了基於Qualys漏洞管理的服務。

Habr 的所有讀者都有促銷活動: 訂購一年的掃描服務,可免費享受兩個月的掃描。 可以留下申請 這裡,在“註釋”字段中寫下 Habr。

來源: www.habr.com

添加評論