Про обучение Qualys

16-17 ноября 2011 года в Москве прошли официальное обучение и сертификация по продуктам и услугам Qualys.

На курсе присутствовали 26 ИТ/ИБ-специалистов из различных отраслей бизнеса (нефтегазовый сектор, банки и процессинговые центры, телеком, гос.сектор, консультанты и интеграторы ИТ и ИБ). Курс читали Эдвинас Пранцулис (Edvinas Pranculis) (региональный менеджер по продажам в России, Восточной Европе и Центральной Азии) и Алексей Никитенко (ЗАО "Анализ защищенности", генеральный директор).

По окончанию курса слушатели прошли итоговое сертификационное тестирование по модулю VM Qualys (по модулям PC и WAS сертификат предоставляется по факту прохождения курса, сертификация специалистов по другим решениям и продуктам не предусмотрена). Тестирование состояло из 22 вопросов на английском языке, для прохождения теста необходимо правильно ответить на 17 или более вопросов. Тесты заполнялись на бумаге и были отправлены для проверки в региональное отделение Qualys (в Германии), результаты будут известны в течение месяца.

Следующее обучение по решениям Quayls будет в начале 2012 года, узнавайте подробности у партнеров Qualys.

Модуль опросников в PC

На конференции Qualys в Мюнхене Matt Alderman (Director of Product manager, Qualys) рассказал про развитие модуля Qualys PolicyCompliance (PC), проверяющего соответствие настроек элементов ИТ-инфраструктуры определенным политикам.

Вкратце, PC в скором ожидает глобальное обновление/расширение существующего функционала. Все идет к тому, что PC будет не просто заниматься контролем технических настроек, но и позволит проводить комплексные аудиты соответствия различным стандартами ИБ, а также управлять процессами ИБ (аналогично GRCM-системам).

Опыт внедрения Qualys (Daimler)

Интересным опытом внедрения и использования решений Qualys поделился в своей презентации на конференции в Мюнхене Roberto Leinhos (Network Security Manager, Daimler). В презентации рассказывается проект построения централизованной ссистему управления уязвимостями при помощи решения QualysGuard® Vulnerability Management (VM).

Из презентации мы можем узнать:

1. о предпосылках к внедрению и проблемах ИБ, а также о целях и задачах проекта;
2. о выгодах и результатах внедрения и использования Qualys;
3. об организации основных процедур работы с Qualys;
4. о структуре управления и разделении ролей и ответственности за работу с Qualys$
5. о рисках проекта и полученных уроках;
6. об основных фактах о проекте;
7. история успеха и дальнейшие планы.

Данная презентация будет интересна не только крупным компаниям, желающим внедрить централизованную систему управления уязвимостями, но и тем, кто хочет просто попробовать решения Qualys.

P.S. Daimler является крупнейшим пользователем решений Qualys. Вот интересная статитсика :

• общее кол-во сотрудников компании - 260 100;
• сотрудников в ИТ - 4620;
• кол-во IP-адресов в подписке Qualys - 400 000;
• кол-во внутренних сканеров (appliance) - 300;
• кол-во ролей управления Qualys - 120;
• кол-во пользователей Qualys - 300.

Презентации с конференции (Мюнхен 2011)

В этом посте я выложу сылки на презентации с конференции Qualys в Мюнхене 2011.
Официальная группа конференции в QualysCommunity - https://community.qualys.com/groups/qsc-2011-munich

Про конференцию Qualys (Мюнхен 2011)

8 ноября 2011 года в Мюнхене (Германия) прошла ежегодная конференция Qualys. На ней рассматривались различные вопросы:

• ведущие разработчики и менеджеры Qualys рассказывали о ближайших изменениях и дополнениях в основных решениях Qualys, а также о более долгосрочных целях и планах  комании (доклады 1-7, 9-12, 16);
• представители заказчиков и консалтинговых компаний рассказывали про свой опыт использования решений Qualys для обеспечения информационной безопасности (доклады 14-15);
• эксперты в области информационной безопасности рассказали про актуальные сетевые угрозы (доклады 8 и 13).

Интерфейс QualysGuard (общее введение)

Я уже писал про удобство консоли QualysGuard, теперь хочу показать ее.
Краткий видео-экскурс вы можете посмотреть тут.

Доступ к европейским серверам Qualys производится по ссылке https://qualysguard.qualys.eu/ из любого веб-браузера.
При этом мы попадаем вот на эту страницу:

На ней мы видим основные новости (в центре), форму для входа (логин/пароль справа вверху) и ссылки на форумы и доп. информацию (справа внизу).

Как внедрять QualysGuard?

Внедрение решений QualysGuard принципиально не отличается от внедрения других средств мониторинга и защиты информации. Ну, разве что из за удобной архитектуры решения, внедрить и первично настроить QualysGuard можно очень быстро (в течении нескольких часов).
Мы рекомендуем придерживаться такого сценария:

1. Решить, какие задачи информационной безопасности мы хотим решать, и как в этом могут помочь решения QualysGuard. В частности см. здесь и здесь.
2. Более подробно посмотреть про решения QualysGuard. Например,тут и тут.
3. При необходимости, можно отправить сотрудников на ежегодные (обычно 2 раза в год) бесплатные курсы по QualysGuard. Организацинную информацию по курсам вы можете узнать у партнеров Qualys.
4. Запросить у партнеров Qualys тестовый доступ к панели управления системой, несколько пробных лицензий для проведения сканирования (Обычно предоставляют порядка 50 для модулей PC и VM, и 5 для модуля WAS. Но тут уж как договоритесь с партнером), и, при необходимости, тестовый внутренний сканер (appliance). Также партнеры Qualys могут помочь Вас с развертыванием и настройкой системы, обучением специалистов.
   При этом Вы можете также посмотреть и потестировать аналогичные решения других, в том числе и российских, производителей.
5. Запросить у партнеров коммерческое предложение / договор на использование решений QualysGuard. Сравнить цены и функционал других аналогичных решений и выбрать подходящее.
6. Начать использовать QualysGuard для небольшой области.
7. Построить процессы работы с QualysGuard. В зависимости от модулей QualysGuardэто могут быть: управление уязвимостями (поиск и устранение) или технический аудит ИБ (проверка соответствия политикам ИБ и устранение несоответствий). Желательно данные процедуры задокументировать и обязательно обучить персонал.
8. Расширить область применения QualysGuard (добавить дополнительные IP-адреса в подписку (масштабировать) и/или приобрести лицензии на другие модули QualysGuard).

Актуальность решений Qualys (SANS TOP 20)

Многие знают об интересном отчете SANS "20 Critical Security Controls". В документе приведены основные процессы и механизмы информационной безопасности, которые следует внедрить в организации для обеспечения практической безопасности.

PDF документа.

Русский перевод документа есть в этом блоге.

Дак вот, рассмотрим данные механизмы с точки зрения возможности их реализации посредством решений Qualys.

№	Механизм безопасности	Решение Qualys
1.	Inventory of Authorized and Unauthorized Devices Инвентаризация разрешенных и несанкционированно подключенных устройств	Позволяет реализовать контроль. Инвентаризация и периодический контроль сетевых устройств являются стандартными функциями для модулей VM и PC Qualys. Можно настроить автоматическое сканирование сети и оповещение заинтересованных лиц при появлении новых устройств.
2.	Inventory of Authorized and Unauthorized Software Инвентаризация разрешенного и несанкционированно установленного программного обеспечения	-
3.	Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers Безопасные настройки аппаратного и программного обеспечения для серверов, рабочих станций и ноутбуков	Позволяет реализовать контроль. Модуль PC Qualys позволяет проверить настройки серверов, рабочих станций и ноутбуков.
4.	Secure Configurations for Network Devices such as Firewalls, Routers, and Switches Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.)	Позволяет реализовать частично. Модуль PC Qualys позволяет проверить настройки основных сетевых устройств.
5.	Boundary Defense Защита периметра	Позволяет реализовать контроль защиты периметра (модуль VM).
6.	Maintenance, Monitoring, and Analysis of Security Audit Logs Сопровождение, мониторинг и анализ журналов регистрации событий	-
7.	Application Software Security Безопасность прикладного ПО	- Позволяет проверить web-приложения (модуль WAS).
8.	Controlled Use of Administrative Privileges Контроль использования административных привилегий	-
9.	Controlled Access Based on the Need to Know Контроль доступа на основе принципа "должен знать"	-
10.	Continuous Vulnerability Assessment and Remediation Постоянный анализ уязвимостей и их устранение	Позволяет реализовать. Модуль VM, позволяющий проводить анализ защищенности сети, является основным модулем Qualys.
11.	Account Monitoring and Control Мониторинг и контроль учетных записей	-
12.	Malware Defenses Защита от вредоносного кода	- Модуль PC позволяет проверить наличие средств анивирусной защиты и наличие обновлений на серверах и рабочих станциях.
13.	Limitation and Control of Network Ports, Protocols, and Services Ограничение и контроль сетевых портов, протоколов и служб	Позволяет проконтролировать сетевые протоколы, порты и службы (модули VM и PC).
14.	Wireless Device Control Защита и контроль беспроводных устройств	-
15.	Data Loss Prevention Предотвращение утечек данных	-
16.	Secure Network Engineering Обеспечение безопасности сети (построение)	-
17.	Penetration Tests and Red Team Exercises Тестирование на проникновение	Модуль VM может частично сымитировать возможные атаки злоумышленников (провести тест на проникновение/  проверить безопасность сети).
18.	Incident Response Capability Организация реагирования на инциденты	-
19.	Data Recovery Capability Организация возможностей восстановления данных	-
20.	Security Skills Assessment and Appropriate Training to Fill Gaps Оценка навыков по безопасности, проведение необходимых тренингов	-

Большинство из этих требований требует внедрения определнных классов средств мониторинга и защиты. Это, например, средства АВЗ для 13, системы DLP для 15, системы управления событиями для 6.  При этом решения Qualys позволяют полностью или частично "закрыть" 9 основных направлений информационной безопасности, что является превосходным показателем.