大家好!
今天,我想谈谈用于搜索和分析漏洞Qualys漏洞管理的云解决方案,在该解决方案上
建立了我们的一项
服务 。
在下面,我将显示扫描本身的组织方式以及可以从结果中找到哪些漏洞信息。
可以扫描什么
外部服务。 要扫描具有Internet访问权限的服务,客户端会向我们提供其IP地址和凭据(如果您需要使用身份验证进行扫描)。 我们使用Qualys云扫描服务,并因此发送报告。
内部服务 在这种情况下,扫描程序将在内部服务器和网络基础结构上查找漏洞。 使用此扫描,您可以清点操作系统版本,应用程序,打开的端口以及它们背后的服务。
要在客户端基础结构内部进行扫描,需要安装Qualys扫描仪。 这里的Qualys云充当此扫描仪的命令中心。
除了具有Qualys的后端服务器之外,您还可以在扫描对象上安装Cloud Agents。 他们在本地收集有关系统的信息,实际上不会在网络和它们工作所在的主机上产生负载。 接收到的信息将发送到云。
有三个要点:身份验证和选择要扫描的对象。
- 使用认证 一些客户要求进行黑盒扫描,尤其是对于外部服务:他们给我们提供了一系列IP地址,而没有指定系统,而是说“像黑客一样”。 但是黑客很少会盲目行动。 当涉及到攻击(不是情报)时,他们知道他们正在黑客攻击。
盲目地,Qualys可能会偶然发现混合的标语并对其进行扫描,而不是扫描目标系统。 而且,如果不了解要精确扫描的内容,很容易错过扫描仪设置并“附加”所检查的服务。
如果您在扫描的系统(白盒)之前执行身份验证检查,则扫描将更加有用。 因此,扫描程序将了解其来源,您将收到有关目标系统漏洞的完整数据。
Qualys有许多身份验证选项。 - 集团资产 。 如果您立即开始一次扫描所有内容,那将很长,并且会给系统带来额外的负担。 最好根据重要性,位置,操作系统版本,关键基础架构和其他功能(在Qualy中将其称为资产组和资产标签)将主机和服务分组,并在扫描时选择特定的组。
- 选择一个技术窗口进行扫描。 即使您已计划和准备了所有内容,扫描也会对系统造成额外的负担。 它不一定会导致服务降级,但是最好为它选择一个特定的时间,例如备份或回滚更新。
从报告中可以学到什么?
根据扫描结果,客户端会收到一份报告,其中不仅会列出所有已发现的漏洞,而且还会列出消除这些漏洞的基本建议:更新,补丁程序等。Qualys有很多报告:有默认模板,您可以创建自己的模板。 为了不对所有多样性感到困惑,最好首先自己决定以下几点:
- 谁可以看这个报告:经理还是技术专家?
- 您想根据扫描结果接收什么信息。 例如,如果您想了解是否已安装所有必需的补丁程序以及如何进行工作以消除先前发现的漏洞,那么这就是一份报告。 如果只需要清点所有主机的清单,则另外一个。
如果您有任务向管理层显示简短但清晰的图片,则可以创建
执行报告 。 所有漏洞都将在货架,严重性级别,图表和图表中列出。 例如,最重要的十个漏洞或最常见的漏洞。
对于技术人员,有
一份包含所有详细信息的
技术报告 。 您可以生成以下报告:
主机报告 。 当您需要清点基础结构并完整了解主机的漏洞时,这很有用。
这是一份经过分析的主机的列表,其中指示了它们上运行的操作系统。
让我们打开感兴趣的主机,从最关键的第五个级别开始,查看发现的219个漏洞的列表:
此外,您可以查看每个漏洞的详细信息。 在这里我们看到:
- 第一次和最后一次修复漏洞时,
- 漏洞编号
- 修复漏洞
- 是否符合PCI DSS,NIST标准等问题,
- 是否存在针对此漏洞的利用和恶意软件
- 在系统中通过/不通过身份验证进行扫描时是否检测到漏洞?
如果这不是第一次扫描-是的,您需要定期进行扫描:)-然后使用
趋势报告,您可以跟踪使用漏洞的动态。 与以前的扫描相比,将显示漏洞的状态:较早发现和关闭的漏洞将被标记为已修复,已打开-活动-新-新。
漏洞报告。 在此报告中,Qualys将构建一个漏洞列表,从最严重的漏洞开始,指明在哪个主机上捕获此漏洞。 如果您决定处理当前事件,例如,处理第五级的所有漏洞,该报告将非常有用。
您也可以仅针对第四级和第五级漏洞进行单独报告。
补丁报告。 这是为了消除发现的漏洞而需要安装的修补程序的完整列表。 对于每个修补程序,都有其处理的漏洞,需要在哪个主机/系统上安装以及直接下载链接的说明。
PCI DSS符合性报告 。 PCI DSS标准要求每90天扫描一次可从Internet访问的信息系统和应用程序。 扫描后,您可以生成一个报告,该报告显示基础结构不符合标准的要求。
漏洞修复报告 。 Qualys可以与服务台集成,然后找到的所有漏洞都将自动转换为票证。 借助此报告,将可以跟踪已完成票证和已修复漏洞的进度。
打开端口报告 。 在这里,您可以获得有关开放端口和在其上工作的服务的信息:
或在每个端口上生成漏洞报告:
这些只是标准的报告模板。 您可以为特定任务创建自己的漏洞,例如,仅显示不少于关键程度第五级的漏洞。 所有报告均可用。 报告格式:CSV,XML,HTML,PDF和docx。
请记住:安全不是结果,而是过程。 一次扫描有助于立即发现问题,但这并不是管理漏洞的完整过程。
为了使您更轻松地决定这项常规工作,我们提供了基于Qualys漏洞管理的服务。
所有Habr阅读器都有特别优惠:订购一年的扫描服务时,两个月的扫描免费。 可以将应用程序保留
在此处 ,在“注释”字段中编写Habr。