Хорошую подборку и краткое описание бесплатных и условно бесплатных (тестовых) сервисов Qualys подготовил мой друг Алексей Никитенко. Подробности тут
понедельник, 30 января 2012 г.
воскресенье, 29 января 2012 г.
Документирование процесса управления уязвимостями
Управление правами доступа в QualysGuard
Выбор и правильная настройка прав управления любой системой защиты (да и обработки информации) вопрос очень важный, к нему стоит подходить со всей ответственностью. Однако, стоит 1 раз четко определить для себя основные правила (стандарты) настройки прав пользователей и ролей, а также процедуры управления правами доступа, как задачи управления системой станут простыми и процессы прозрачными и понятными для исполнителей.
В данном посте я расскажу про возможные варианты настройки прав доступа к QualysGuard и их особенности.
В данном посте я расскажу про возможные варианты настройки прав доступа к QualysGuard и их особенности.
понедельник, 16 января 2012 г.
Перечень вопросов при выборе решения по управлению уязвимостями
Подготовил перечень вопросов, на которые стоит ориентироваться Заказчику при выборе решения по управлению уязвимостями.
Перечень подготовил независимый от решения/производителя, поэтому часть вопросов будет неприменимо к QualysGuard (например, 1.2, 1.4 и др.), вопрос про юридически ограничения больше направлен на коммерческое использование Nessus, часть вопросов (7-8) для многих простых решений по оценке уязвимостей останутся без ответа. Конечно перечень вопросов, не полный, его можно было бы расширить про поддержку языка программирования OVAL, добавить перечень поддерживаемых портов и протоколов, но это будет излишним. Для общей оценки этого достаточно, для более детальной нужно готовить более конкретную методику и программу испытаний для конкретных решений.
Итак, примеры вопросов:
Перечень подготовил независимый от решения/производителя, поэтому часть вопросов будет неприменимо к QualysGuard (например, 1.2, 1.4 и др.), вопрос про юридически ограничения больше направлен на коммерческое использование Nessus, часть вопросов (7-8) для многих простых решений по оценке уязвимостей останутся без ответа. Конечно перечень вопросов, не полный, его можно было бы расширить про поддержку языка программирования OVAL, добавить перечень поддерживаемых портов и протоколов, но это будет излишним. Для общей оценки этого достаточно, для более детальной нужно готовить более конкретную методику и программу испытаний для конкретных решений.
Итак, примеры вопросов:
вторник, 10 января 2012 г.
Видеоуроки по Qualys
Как я уже писал, на официальном сайте Qualys выложены видеоуроки. Для тех, кто только начал знакомиться с решениями Qualys они будут интересны и полезны.
Недавно мой хороший друг и коллега Алексей Никитенко начал записывать аналогичные уроки, но уже на русском языке. Эти уроки, в отличие от Qualys, содержат более подробную информации и дополнительные "фишки", которые будут полезны не только начинающим, но и продвинутым пользователям решения. Видео публикуется на официальном сайте компании и в facebook.
Qualys в Facebook
- http://www.facebook.com/qualys - официальная страница Qualys в FaceBook. Интересна как первоисточник информации.
- http://www.facebook.com/AnalizZashishennosty - официальная страница ЗАО "Анализ защищенности" FaceBook. Интересна материалами про Qualys на русском языке. Это и переводы официальных материалов Qualys, и самостоятельные наработки компании.
Подписаться на:
Сообщения (Atom)