вторник, 25 октября 2011 г.

Жизненный цикл (процедура) оценки безопасности web-приложений

Полный цикл процедуры оценки безопасности web-приложений  состоит из следующих шагов:
  1. Выявление и выбор объекта сканирования.
  2. Подготовка приложения к сканированию.
  3. Проведение сканирования (оценки безопасности) приложения.
  4. Подготовка отчетов.

Жизненный цикл (процедура) внешнего сканирования PCI

Полный цикл процедуры оценки соответствия PCI DSS (внешнее сканирование) состоит из следующих шагов:
  1. Внешнее сканирование сети.
  2. Устранение уязвимостей.
  3. Повторное сканирование.
  4. Предоставление результатов сканирования.
P.S. Qualys является Approved Scanning Vendor (ASV).

Жизненный цикл (процедура) оценки соответствия политикам ИБ

Полный цикл процедуры оценки соответствия политикам информационной безопасности  состоит из следующих шагов:
  1. Создание политик информационной безопасности. На этом этапе мы определяем требования по настройке элементов ИТ-инфраструктуры. Это могут быть моменты связанные с управлением паролями, наличию определенных средств защиты (например АВЗ), наличие определенных служб и протоколов. Мы можем ориентироваться на требования по информационной безопасности, принятые в компании, или же на "лучшие мировые практики" (рекомендации NIST, CERT), стандарты (PCI DSS, ISO 27002, СТО БР ИББС) и/или требования и рекомендации (152-ФЗ и подзаконные акты). При необходимости данные требования могут быть задокументированны в компании в качестве корпоративного стандарта или требований. Затем в Qualys создатся политики проверки.
  2. Применение политик. На этом этапе элементы ИТ-инфраструктуры настраиваются в соответствии с определенными требованиями. Настройка может быть как групповой (например, через AD для Windows машин), так и по конкретным хостам. Настройка может быть произведена как в автматическом режиме, так и в ручную.
  3. Сканирование (compliance). На этом этапе мы проводим сканирование ИТ-инфраструктуры на соответствие определенным политикам информационной безопасности. P.S. Есди инвентаризация еще не была проведена, то сначала выполняется она.
  4. Подготовка и анализ отчетов. На этом этапе подготавливаются отчеты о результатах оценки соответствия.
  5. Управление несоответствиями. На этом этапе принимаются решения об устранении выявленных несоответствий. 
Более подробно о процедуре оценки соответствия будет написано в этом блоге далее.

Жизненный цикл (процедура) управления уязвимостями

Полный цикл процедуры управления уязвимостей состоит из следующих шагов:
  1. Инвентаризация активов. На этом этапе проводится сканирование сети и выявление всех хостов (имеющих IP-адрес).
  2. Категорирование активов. На этом этапе мы можем объединить выявленные активы в группы для дальнейшей более удобной работы с ними, а также провести их категорирование/определение критичности. Категорирование нам пригодится для автоматического расчета рисков информационной безопасности, связанных с определенными активами, а также для получения информации о динамике изменения уровня риска (повышение или снижение).
  3. Оценка уязвимостей. На этом этапе формируются политики сканирования (если цикл выполняется 1й раз), выбираются группы активов и проводится само сканирование.
  4. Подготовка и анализ отчетов. На этом этапе подготавливаются шаблоны отчетов (если цикл выполняется 1й раз) и создаются сами отчеты. Отчеты показывают нам информацию о текущем состоянии информационной безопасности и предлагают варианты по устранению уязвимостей.
  5. Исправление уязвимостей. На этом этапе необходимо внести изменения в ИТ-инфраструктуру согласно полученным рекомендациям. А именно, установить необходимые патчи и/или внести корректировки в настройки оборудования (например, закрыть ненужные порты, изменит пароли).
  6. Проверка работ. На этом этапе производится еще раз аналогичное сканирование с целью проверки того, что уязвимости были устранены.
Более подробно про каждый этап будет написано в этом блоге далее.

P.S. Легко заметить взаимосвязь с классическим циклом постоянного совершенствования PDCA. Тут есть и этапы планирования, и этапы внедрения/работы, и этапы контроля, и совершенствования/"доработки".

Ссылки на новости и блоги Qualys

http://news.qualys.com/ - новости Qualys
https://community.qualys.com/blogs/ - блог сообщества Qualys
https://community.qualys.com/ - сообщество Qualys
http://www.linkedin.com/company/qualys/ - группа в Linkedin

Qualys for dummies

Для желающих побольше узнать про управление уязвимостями, о проверке соответствия политикам ИБ, о проверке сооветствия PCI DSS и об оценке безопасности web-приложений, а также как эти задачи можно решать используя Qualys, существуют простые, но интересные книги:

Gartner о Qualys

В начале 2011 года известная международная компания Gartner провела исследование рынка систем по управлению/выявлению уязвимостей и подготовила свой отчет.
По результатам оценки решение QualysGuard Security and Compliance Suite получило высший рейтинг "Strong Positive", в очередной раз подтвердив, что является одним из лидеров на рынке решений по информационной безопасности.


Почему специалисты выбирают QualysGuard?

Вот несколько причин, почему специалисты в области информационной безопасности выбирают QualysGuard:
  • Высокое качество
  • Удобный интерфейс
  • Быстрое внедрение
  • Простая настройка и управление
  • Приемлемая цена
Более подробно об этом вы узнаете в предыдущих и последующих постах блога.

Архитектура Qualys

Архитектура решений QualysGuard состоит из следующих элементов (общая схема представлена на рисунке): 
  1. Единый выделенный центр обработки данных (SOC)
  2. Внутренний сканер (scanner appliance)
  3. Консоль управления QualysGuard (web-консооль)
  
 

Центр обработки данных предназначен для решения следующих задач:
  • Обеспечение возможности проведения внешнего сканирования
  • Управление внутренними сканерами (scanner appliance)
  • Ведение единой базы данных по уязвимостям
  • Обработка и централизованное хранение результатов сканирования
  • Поддержка и обеспечение работы консоли управления QualysGuard (поддержка сайта управления)
Благодаря использованию единого ЦОД пользователи решений QualysGuard всегда используют только актуальные базы данных уязвимостей и последние версии программного обеспечения (обновление происходит автоматически и без участия пользователя), при этом не занимаясь задачами поддержки необходимой ИТ-инфраструктуры и получая качественный уровень сервиса.

Внутренний сканер (scanner appliance) предназначен для проведения внутреннего сканирования элементов ИТ-инфраструктуры. Внутренний сканер собирает информацию об элементах ИТ-инфраструктуры, необходимую для оценки уязвимостей и проверки соответствия требованиям политик ИБ, и передает ее для обработки и хранения в ЦОД. Безопасность данных при передаче и хранении обеспечивается за счет использования надежных криптографических механизмов.

Консоль управления QualysGuard представляет собой удобную web-консоль, позволяющую управлять решениями Qualys с любого устройства, имеющего доступ в сеть интернет и оснащенного web-браузером. Интерфейс управления QualysGuard является интуитивно понятным, большинство настроек производятся просто «поставив галочку» или выбором из «выпадающего списка». Интерфейс поддерживает определенные информационные панели (dashboards), в реальном времени отображающие статистику по уязвимостям и/или результаты сканирования.


понедельник, 24 октября 2011 г.

Для кого предназначен QualysGuard?

Решения Qualys предназначены для различных пользователей, многие смогут найти в нем необходимый функционал и применять QualysGuard для решения своих задач.

Что такое QualysGuard?

Решение QualysGuard® Security and Compliance Suite представляет собой систему для эффективного проведения аудитов информационной безопасности ИТ-инфраструктуры (сети и приложений), а также проведения проверок соответствия политикам информационной безопасности. При этом QualysGuard позволяет не только выявить и оценить уязвимости ИТ-инфраструктуры и наличие несоответствий конфигураций устройств, а также построить удобную систему управления уязвимостями.

QualysGuard® Security and Compliance Suite включает в себя следующие модули:
QualysGuard Vulnerability Management (VM) - глобально масштабируемая система для построения процесса оценки и управления уязвимостями, а также связанными с ними рисками информационной безопасности.
QualysGuard Policy Compliance (PC) - система для проведения аудита и обеспечения контроля соответствия требованиям международных стандартов и внутренним политикам ИТ-безопасности.
QualysGuard PCI Compliance (PCI) - система для автоматизации проверки контроля соответствия требованиям стандарта PCI DSS для торговых компаний, поставщиков услуг и банков-эквайреров.
QualysGuard Web Application Scanning (WEB) - система контроля уязвимостей и оценки уровня защищенности web-приложений.
QualysGuard Malware Detection (Mal) - бесплатный сервис для обнаружения вредоносного кода для web-сайтов.
QualysGuard SECURE Seal - сервис для тестирования безопасности web-сайтов, который обнаруживает уязвимости, вредоносный код, утверждает SSL-сертификаты и выдает баннер ("печать/водяной знак"), подтверждающий безопасность сайта.

воскресенье, 23 октября 2011 г.

суббота, 22 октября 2011 г.

Полезные ссылки про Qualys

Первым информативным постом хочу опубликовать полезные ссылки по Qualys.

1. 
Официальный сайт компании Qualys
2. 
Дополнительна информация о Qualys (Products)
3. 
Дополнительна информация о Qualys
(User Guides)
4. 
Видеокурсы по обучению продуктам и решениям Qualys
(QualysGuard Video Series)
5. 
Дополнительная информация о Qualys
(Customers & Awards)
6. 
Панель управления Qualys (Европа)
7. 
Дополнительна информация о Qualys
(
SLA)
8. 
Дополнительна информация о Qualys
(
Online Support)

9. 
Техническая поддержка (общая)
10.         
Техническая поддержка (в России)

Intro

Сегодня начинаю вести отдельный блог по решениям Qualys (www.qualys.com).
По данной теме есть, что рассказать, да и просто систематизировать свои знания и идеи.