Причины провала проектов по тестированию (внедрению) систем управления уязвимостями

Как я уже упоминал, перед внедрением средств управления уязвимостями имеет смысл проводить их пилотное тестирование. В данном посте я решил обобщить опыт неудачных тестирований и рекомендации по решению данных проблем. Я не привязываюсь к конкретным решениям Qualys, это будет актуально для любых аналогичных систем.

Qualys и защита ПДн

152-ФЗ и другие подзаконные акты содержат много требований по организации и защите ПДн. Это и организационные, и технические меры. Решение Qualys PolicyCompliance можно очень эффективно использовать для выполнения задачи внутреннего контроля выполнения требований по ПДн, а конкретно для выполнение следующих статьей (требований): 152-ФЗ Ст.18.1 1.4); 152-ФЗ Ст.19.2.4); 152-ФЗ  Ст.19.2 9); П781 п.11 д); П781 п.12 з).

Порядок тестирования QualysVM

Периодически проводя презентации/тестирование QualysGuard® Vulnerability Management (VM) на стороне Заказчика, пришли вот к такой удобной последовательности действий (подойдет и для внедрения QualysGuard):

00. Подключение, настройка модуля appliance в ИТ-инфраструктуре Заказчика.
0. Активация учетной записи и привязка модуля appliance
1. Обзор интерфейса.
2. Старт mapping (построение карты сети) для внутреннего и внешнего сегментов.
3. Создание новых ролей работы с QualysGuard (при необходимости).
4. Просмотр результатов mapping. Выбор активов для сканирования и их категорирование (желательно).
5. Создание профиля сканирования (+доверенная авторизация, желательно).
6. Запуск внутреннего сканирования.
7. Запуск внешнего сканирования.
8. Просмотр и корректировка шаблонов отчетов.
9. Анализ результатов сканирования.

10. Исправление уязвимостей.
11. Повторное сканирование.

Такая схема позволяет достаточно быстро ознакомиться, настроить и начать работать с QualysGuard.

Шаги 00-3 просты и требуют 5-10 минут времени. Шаг 4 обычно занимает минут 10-25 зависит от заинтересованности Заказчика и готовности выбрать объекты для сканирования. Тут также рекомендуется провести категорирование активов, что позволит более наглядно получить представление о существующих рисках. Шаг 5 также занимает 10-25 минут в зависимости от интереса Заказчика к детальным настройкам профиля сканирования QualysGuard, а также наличия специально подготовленных учетных записей для доверенного сканирования (напомню. что доверенное сканирование позволяет QualysGuard получать более точную информацию о наличии уязвимостей). Шаги 6 и 7 запускаются в течении пары минут, но QualysGuard требуется время для проведения сканирования каждого хоста. Оно будет зависеть от операционной системы хоста, пропускной способности каналов связи, от профиля сканирования, наличия доверенной авторизации и т.д. В среднем стоит ориентироваться минут на 15-20 для 1го хоста. Во время сканирования можно провести шаг 8, посмотреть существующие шаблоны отчетов и, при необходимости, создать свои. Это занимает 10-15 минут. Анализ результатов сканирования обычно бывает 20-40 минут в зависимости от вопросов и интереса Заказчика..

Таким образом за 3-4 часа можно познакомиться с системой QualysGuard, научиться ей пользоваться и уже получить конкретные результаты и рекомендации. Часть уязвимостей уже тоже можно попробовать устранить в тот же день, а значит и повысить уровень информационной безопасности. 

Про уровни уязвимостей QualysGuard

Многие знают, что QualysGuard® Vulnerability Management для оценки уровня уязвимостей использует шкалу от 1 до 5.

Вот, что она значит:

Уровень  (Severity)	Критичность уязвимости	Описание
1	Minimal	Злоумышленник может получить дополнительную информацию о хосте (открытые порты, сервисы и пр.) и может использовать данную информацию для поиска других уязвимостей.
2	Medium	Злоумышленник может собрать чувствительную информацию о хосте, например, версии установленного программного обеспечения. Далее он может использовать известные уязвимости для данной версии программного обеспечения.
3	Serious	Злоумышленник может получить доступ к специфичной информации, хранящейся на хосте, включая настройки безопасности (например, правила фильтрации, перечень служб безопасности и пр.), может получить неавторизованный доступ к ряду сервисов (например, ретрансляции почты). Вред от действий злоумышленника может быть достаточно серьезным (организация DoS-атак, подготовка и реализация более серьезных атак).
4	Critical	Злоумышленник может контролировать хост и перехватывать критичную информацию. Уязвимости данного уровня включают, например, возможность получения полного доступа на чтение ко всем файлам, хранящимся на хосте, в том числе и к перечню всех пользователей.
5	Urgent	Злоумышленник может получить полный контроль над хостом, включая права на чтение и запись файлов, удаленное выполнение команд, внесение изменений в настройки.

При таком подходе необходимо к кратчайшие сроки устранять уязвимости 4 и 5 уровня и планировать устранение уязвимостей более низкого уровня.

P.S. Другие продукты, оценивающие уязвимости могут использовать свои собственные шкалы. Так, например, у Nessus их 4: "Low", "Medium", "High" и "Critical". При этом уровень "привязывается" напрямую к CVSS (Common Vulnerability Scoring System): L<5, M<7, H<10, C=10. Qualys также ориентируется на эту шкалу, но исходит из возможных последствий эксплуатации уязвимостей, поэтому 4й уровень Qualys может быть 5-10 по шкале CVSS. 

Стоит учитывать разницу в шкалах при сравнении результатов отчетов, сделанных разными решениями по оценке и управлению уязвимостями.

Ближайшие обновления QualysGuard

На 15 декабря 2011 запланировано несколько интересных обновлений QualysGuard (QualysGuard®, Version 6.23):

1. Расширены возможностей аутентификации для доверенного сканирования Oracle.
2. !!!Добавлена возможность самостоятельного удаления IP-адресов из подписки (лицензии). Напомню, что до этого в случае необходимости удаления неверных IP-адресов (добавленных по ошибке, или "мертвых" IP), которые пользователи добавляли в подписку, требовалось проходить не простую процедуру взаимодействия с технической службой Qulays. Теперь "подчистить" перечень IP-адресов можно самостоятельно. А это очень полезно, т.к. стоимость решений Qualys напрямую зависит от количества IP-адресов в подписке.
3. Добавлена новая иконка, отображающая статус подключения сканера к ЦОДу Qualys. 
4. Внесены небольшие улучшения в отчеты QualysQuard Vulnurability Management, связанные с датами последних сканирований и датами исправления уязвимостей.
5. В модуле QualysQuard Policy Compliance улучшен интерфейс для создания политик контроля. Теперь слева от текста создаваемой политики отображаются группы контролей и другая необходимая инфомация.
6. !!! В модуле QualysQuard Policy Compliance появилась функция определения золотого образа/сечения (Golden Image). По сути, мы показываем Qualys некий "идеальный" актив, который система будет использовать как эталон/стандарт, создав предварительно необходимые правила (политику). Остальные аналогичные активы (их настройки) мы уже можем сравнивать с ним. 
7. !!! В модуле QualysQuard Policy Compliance добавлена функция подсказок необходимости обновления устаревших контролей.
8. Внесены изменения в работу с API (интерфейса программирования приложений, позволяющего эффективно взаимодействовать с внешними программными продуктами).
9. !!! Переход с версии QualysQuard WAS (Web Application Scanning) 1.0 на WAS 2.1 (хотя некоторые пользователи уже работали с тестовой версией WAS 2.0...). Тут и новый интерфейс, и обновленные отчеты и Dashboard, улучшенное управление ролями и областью сканирования, добавление тэгов, поддержка аутентификации Selenium и клиентских сертификатов.

Узнать дополнительную информацию и посмотреть скриншоты тут и тут.