Что такое системы управления уязвимостями на примере сервиса QualysGuard

в 4:46, , рубрики: аудит безопасности, информационная безопасность, Песочница, системное администрирование, сканер уязвимостей, метки: , ,

Почему я решил написать этот текст.

Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.

С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov/, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.

Вернемся к самому сервису.

Сам сервис состоит из нескольких модулей, доступ к которым осуществляется из одного web интерфейса.
Основным модулем и наиболее интересным является модуль QualysGuard Vulnerability Management. О нем я и постараюсь вкратце рассказать.
Основное его отличие от обычных сканеров уязвимости, это возможность выстроить процесс управления уязвимостями (Vulnerability assessment)с помощью одного продукта. Обычные сканеры полезны для аудиторов т.к. показывают срез анализа на текущий момент. Но в компаниях все же нужен инструмент для выстраивания защиты от внешних угроз и здесь без процессного подхода не обойтись. Поэтому системы управления уязвимостями является следующим этапом развития систем анализа защищенности.

Процесс управления уязвимостями описан в стандарте NIST SP 800-53 v3
csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final_updated-errata_05-01-2010.pdf. Суть его в том, что есть несколько этапов по управлению уязвимостями и все они реализованы в QualysGaurd VM:

  1. — выявление внутренних и внешних активов в инфраструктуре;
    — выделение активов, уязвимостями которых мы хотим управлять, и задание для них уровней важности для компании;
    — само сканирование на уязвимости;
    — на основании правила управления уязвимостями, раздаются задачи на устранение уязвимостей на критичных для нас объектах;
    — повторное сканирование для обновления информации по открытым и закрытым специалистами уязвимостям и соответственно открытие новых задач на устранение при их выявлении;
    — получение руководством отчетов по работе отделов, сотрудников и изменении бизнес рисков.

Я знаю, что схожие элементы реализованы в продукте McAfee VM и частично еще в одном-двух программных решениях западных вендоров.

Но основное отличие QualysGuard это то, что все это под соусом технологии SaaS. Т.е. минимальная стоимость владения, сервис по требованию, нет необходимости в отдельном инженере и т.д. что мы получаем от SaaS.

Т.е. для работы с внешними активами нужен только доступ через web браузер (желательно не IE) и интернет. Для внутреннего сканирования нужна дополнительно запущенная виртуальная машина на VMwareOralce VirtualBox. И все:)

Я уверен, что появятся вопросы про защиту данных об уязвимостях, передаваемых и хранящихся в ЦОДе вендора (это все же технология SaaS), поэтому скажу только сама компания выстраивает отношения с клиентами на доверии, тратит ежегодно большие деньги на собственные аудиты и совершенствование защиты. Что позволяет Qualys доверять крупным мировым компаниям (все есть на сайте вендора). Для меня было интересно обнаружить, что все крупные ИТ вендор, продавая свои сканеры уязвимости, у себя используют именно Qualys.

Так же для крупных клиентов, боящихся хранить данные в Швейцарии, есть возможность развертывания своего ЦОДа.

На сем хочу завершить свою первую статью о своем опыте работы с разными технологиями. Постараюсь на следующей неделе рассказать о бесплатных сервиса Qualys и ответить на вопросы, которые получу.

Автор: lomac

Поделиться

* - обязательные к заполнению поля