Wie ich verwundbar wurde: Scannen der IT-Infrastruktur mit Qualys

    Hallo allerseits!

    Heute möchte ich über die Cloud-Lösung zur Suche und Analyse von Schwachstellen sprechen. Qualys Vulnerability Management, auf der einer unserer Services aufbaut .

    Im Folgenden werde ich zeigen, wie das Scannen selbst organisiert ist und welche Informationen zu Schwachstellen anhand der Ergebnisse ermittelt werden können.



    Was kann gescannt werden


    Externe Dienstleistungen. Zum Scannen von Diensten mit Internetzugang stellt der Client uns ihre IP-Adressen und Anmeldeinformationen zur Verfügung (falls Sie einen Scan mit Authentifizierung benötigen). Wir scannen Services über die Qualys Cloud und senden daraufhin einen Bericht.



    Interne Dienste In diesem Fall sucht der Scanner nach Schwachstellen auf internen Servern und in der Netzwerkinfrastruktur. Mit diesem Scan können Sie eine Bestandsaufnahme der Betriebssystemversionen, Anwendungen, offenen Ports und der dahinter stehenden Dienste durchführen.

    Zum Scannen innerhalb der Client-Infrastruktur wird ein Qualys-Scanner installiert. Die Qualys Cloud dient als Kommandozentrale für diesen Scanner.

    Zusätzlich zum Back-End-Server mit Qualys können Sie Cloud Agents auf Scanobjekten installieren. Sie sammeln lokal Informationen über das System, belasten das Netzwerk und die Hosts, auf denen sie arbeiten, praktisch nicht. Die empfangenen Informationen werden an die Cloud gesendet.



    Es gibt drei wichtige Punkte: Authentifizierung und Auswahl der Objekte zum Scannen.

    1. Die Verwendung von Authentifizierungs . Einige Kunden fordern einen Blackbox-Scan an, insbesondere für externe Dienste: Sie geben uns einen Bereich von IP-Adressen ohne Angabe eines Systems und sagen "sei wie ein Hacker". Aber Hacker handeln selten blind. Wenn es um Angriffe geht (nicht um Geheimdienste), wissen sie, dass sie hacken. 

      Qualys könnte blind auf gemischte Banner stoßen und diese anstelle des Zielsystems scannen. Und selbst ohne zu verstehen, was genau gescannt wird, können die Scannereinstellungen leicht übersehen und der zu überprüfende Dienst „angehängt“ werden. 

      Das Scannen ist nützlicher, wenn Sie vor den gescannten Systemen (Whitebox) Authentifizierungsprüfungen durchführen. Der Scanner versteht also, woher er stammt, und Sie erhalten vollständige Daten zu den Schwachstellen des Zielsystems.


      Qualys bietet viele Authentifizierungsoptionen.
    2. Konzernvermögen . Wenn Sie alles auf einmal und wahllos scannen, ist dies lang und führt zu einer zusätzlichen Belastung des Systems. Es ist besser, Hosts und Services nach Wichtigkeit, Standort, Betriebssystemversion, kritischer Infrastruktur und anderen Merkmalen (in Qualys werden sie als Asset-Gruppen und Asset-Tags bezeichnet) in Gruppen zu gruppieren und beim Scannen eine bestimmte Gruppe auszuwählen.
    3. Wählen Sie ein technisches Fenster zum Scannen. Auch wenn Sie alles geplant und vorbereitet haben, führt das Scannen zu einer zusätzlichen Belastung des Systems. Dies führt nicht zwangsläufig zu einer Verschlechterung des Dienstes. Es ist jedoch besser, einen bestimmten Zeitpunkt dafür zu wählen, z. B. für Sicherungs- oder Rollback-Updates.

    Was kann aus den Berichten gelernt werden?


    Basierend auf den Ergebnissen des Scans erhält der Client einen Bericht, in dem nicht nur alle gefundenen Schwachstellen aufgelistet sind, sondern auch grundlegende Empfehlungen zu deren Beseitigung: Updates, Patches usw. Qualys verfügt über eine Vielzahl von Berichten: Es gibt Standardvorlagen, und Sie können Ihre eigenen erstellen. Um nicht in seiner ganzen Vielfalt durcheinander zu kommen, ist es besser, zunächst folgende Punkte selbst zu entscheiden: 

    • Wer wird diesen Bericht sehen: Manager oder technischer Spezialist?
    • Welche Informationen möchten Sie gemäß den Ergebnissen des Scans erhalten? Wenn Sie beispielsweise herausfinden möchten, ob alle erforderlichen Patches installiert sind und wie die Arbeit zur Beseitigung zuvor gefundener Sicherheitsanfälligkeiten ausgeführt wird, ist dies ein Bericht. Wenn Sie nur eine Bestandsaufnahme aller Hosts durchführen müssen, müssen Sie eine andere durchführen.

    Wenn Sie die Aufgabe haben, dem Management ein kurzes, aber klares Bild zu vermitteln, können Sie einen Executive Report erstellen . Alle Schwachstellen werden in Regalen, Schweregraden, Grafiken und Diagrammen dargestellt. Zum Beispiel die 10 wichtigsten Sicherheitslücken oder die am häufigsten auftretenden Sicherheitslücken.





    Für den Techniker gibt es einen technischen Bericht mit allen Details und Details. Die folgenden Berichte können generiert werden:

    Hostbericht . Dies ist hilfreich, wenn Sie eine Bestandsaufnahme der Infrastruktur durchführen und sich ein umfassendes Bild über die Schwachstellen von Hosts machen möchten. 

    Hier ist eine Liste der analysierten Hosts mit einer Angabe der auf ihnen ausgeführten Betriebssysteme.



    Lassen Sie uns den Host of Interest öffnen und eine Liste der 219 gefundenen Schwachstellen anzeigen, beginnend mit der kritischsten, fünften Ebene:



    Als Nächstes sehen Sie die Details für jede Schwachstelle. Hier sehen wir:

    • Wann wurde die Sicherheitsanfälligkeit zum ersten und letzten Mal behoben?
    • Zahlen zu Schwachstellen in der Industrie,
    • Patch zur Behebung der Schwachstelle,
    • Gibt es irgendwelche Probleme mit der Einhaltung des PCI-DSS, des NIST-Standards usw.
    • Gibt es einen Exploit und Malware für diese Sicherheitsanfälligkeit?
    • Wird beim Scannen mit / ohne Authentifizierung im System usw. eine Sicherheitslücke entdeckt?



    Wenn dies nicht der erste Scan ist - ja, Sie müssen ihn regelmäßig scannen :) - , können Sie mithilfe von Trend Report die Dynamik der Arbeit mit Schwachstellen verfolgen. Der Status von Schwachstellen wird im Vergleich zum vorherigen Scan angezeigt: Schwachstellen, die zuvor gefunden und geschlossen wurden, werden als behoben, offen - aktiv, neu - neu markiert.

    Vulnerability Report. In diesem Bericht erstellt Qualys eine Liste der Schwachstellen, beginnend mit der kritischsten, und gibt an, auf welchem ​​Host diese Schwachstelle abgefangen werden soll. Der Bericht ist nützlich, wenn Sie sich entscheiden, sich mit dem Moment zu befassen, zum Beispiel mit allen Schwachstellen der fünften Ebene.

    Sie können auch einen separaten Bericht nur über Schwachstellen der vierten und fünften Ebene erstellen.



    Patch-Bericht.Hier finden Sie eine vollständige Liste der Patches, die installiert werden müssen, um die gefundenen Schwachstellen zu beseitigen. Zu jedem Patch gibt es Erklärungen, welche Schwachstellen es behandelt, auf welchem ​​Host / System Sie installieren müssen und einen direkten Download-Link.





    PCI-DSS-Konformitätsbericht . Nach dem PCI-DSS-Standard müssen alle 90 Tage Informationssysteme und Anwendungen gescannt werden, auf die über das Internet zugegriffen werden kann. Nach dem Scan können Sie einen Bericht erstellen, aus dem hervorgeht, dass die Infrastruktur nicht den Anforderungen des Standards entspricht.





    Schwachstellenberichte . Qualys kann in den Service Desk integriert werden, und alle gefundenen Schwachstellen werden automatisch in Tickets übersetzt. Mit Hilfe dieses Berichts können nur die Fortschritte bei abgeschlossenen Tickets und behobenen Schwachstellen verfolgt werden.

    Öffnen Sie Port Reports . Hier können Sie Informationen zu offenen Ports und den darauf ausgeführten Diensten abrufen



    oder einen Schwachstellenbericht für jeden Port erstellen:



    Dies sind nur Standardberichtsvorlagen. Sie können eigene für bestimmte Aufgaben erstellen, z. B. nur Schwachstellen anzeigen, die nicht unter der fünften Kritikalitätsstufe liegen. Alle Berichte sind verfügbar. Berichtsformat: CSV, XML, HTML, PDF und docx.



    Und denken Sie daran: Sicherheit ist kein Ergebnis, sondern ein Prozess. Ein einziger Scan hilft dabei, die aktuellen Probleme zu erkennen. Dies ist jedoch kein vollständiger Prozess zum Verwalten von Schwachstellen.
    Um Ihnen die Entscheidung für diese reguläre Arbeit zu erleichtern, haben wir einen auf Qualys Vulnerability Management basierenden Service eingerichtet.

    Für alle Leser von Habr gibt es eine Aktion:Wenn Sie einen Scan-Service für ein Jahr bestellen, sind zwei Monate kostenlos. Bewerbungen können hier hinterlassen werden , im Feld "Kommentar" schreibt Habr.

    Jetzt auch beliebt: