понедельник, 30 января 2012 г.

Бесплатные и тестовые сервисы Qualys

Хорошую подборку и краткое описание бесплатных и условно бесплатных (тестовых) сервисов Qualys подготовил мой друг Алексей Никитенко. Подробности тут 

воскресенье, 29 января 2012 г.

Документирование процесса управления уязвимостями

При правильном подходе внедрения процесса управления уязвимостями через некоторое время возникнет необходимость в его документировании. Далее в посте рекомендуемый перечень документов и краткие комментарии к ним.






Управление правами доступа в QualysGuard

Выбор и правильная настройка прав управления любой системой защиты (да и обработки информации) вопрос очень важный, к нему стоит подходить со всей ответственностью. Однако, стоит 1 раз четко определить для себя основные правила (стандарты) настройки прав пользователей и ролей, а также процедуры управления правами доступа, как задачи управления системой станут простыми и процессы прозрачными и понятными для исполнителей.

В данном посте я расскажу про возможные варианты настройки прав доступа к QualysGuard и их особенности.

понедельник, 16 января 2012 г.

Перечень вопросов при выборе решения по управлению уязвимостями

Подготовил перечень вопросов, на которые стоит ориентироваться Заказчику при выборе решения по управлению уязвимостями.

Перечень подготовил независимый от решения/производителя, поэтому часть вопросов будет неприменимо к QualysGuard (например, 1.2, 1.4 и др.),  вопрос про юридически ограничения больше направлен на коммерческое использование Nessus, часть вопросов (7-8) для многих простых решений по оценке уязвимостей останутся без ответа. Конечно перечень вопросов, не полный, его можно было бы расширить про поддержку языка программирования OVAL, добавить перечень поддерживаемых портов и протоколов, но это будет излишним. Для общей оценки этого достаточно, для более детальной нужно готовить более конкретную методику и программу испытаний для конкретных решений.

Итак, примеры вопросов:

вторник, 10 января 2012 г.

Видеоуроки по Qualys


Как я уже писал, на официальном сайте Qualys выложены видеоуроки. Для тех, кто только начал знакомиться с решениями Qualys они будут интересны и полезны.

Недавно мой хороший друг и коллега Алексей Никитенко начал записывать аналогичные уроки, но уже на русском языке. Эти уроки, в отличие от Qualys, содержат более подробную информации и дополнительные "фишки", которые будут полезны не только начинающим, но и продвинутым пользователям решения. Видео публикуется на официальном сайте компании и в facebook.

Qualys в Facebook

Пара полезных ссылок:
  • http://www.facebook.com/qualys - официальная страница Qualys в FaceBook. Интересна как первоисточник информации.
  • http://www.facebook.com/AnalizZashishennosty - официальная страница ЗАО "Анализ защищенности" FaceBook. Интересна материалами про Qualys на русском языке. Это и переводы официальных материалов Qualys, и самостоятельные наработки компании.