top of page
Keresés

Compliance Scan egy mérnök tollából

  • 7 nappal ezelőtt
  • 4 perc olvasás

Frissítve: 6 nappal ezelőtt


 


A sérülékenységek scannelése (vulnerability scan) mellett fontos - bár gyakran elhanyagolt - biztonsági tevékenység,  a különböző technikai megfelelőségi ellenőrzések lefolytatása (compliance scan). Ezen vizsgálatok a legtöbb esetben valamilyen előre definiált keretrendszernek (CIS Benchmarks, DISA STIG, Microsoft Security Baselines stb.) történő megfelelés ellenőrzésére szolgálnak A gyakorlatban ez elsősorban a végpontok konfigurációs beállításainak automatizált összevetését jelenti a kiválasztott keretrendszer ajánlásaival és kontrolljaival. A scanek futtatásának gyakorisága változó a szervezet érettségétől függően, általánosságban kijelenthető viszont, hogy mivel egy szervezet különböző hardening és vonatkozó egyéb előírásai ritkábban változnak, a compliance scanek is ritkábban kerülnek lefuttatásra a vulnerability scanekhez képest, ahol akár napról napra jelenhetnek meg új sérülékenységek. A ritkább futtatás mellett szól továbbá a scanek eredményeinek „magas zajszintje”. Sok a false positive találat, sok az ismert eltérés és az indokolt remediációs tevékenységek is jóval hosszabb időt vehetnek igénybe.


A legismertebb gyártók (Tenable, Rapid7, Qualys) mindegyike rendelkezik valamilyen compliance scan megoldással, a téma szemléltetéséhez én a Qualys Policy Audit modulját használtuk.


A gyártói dokumentáció a termék alábbi fő képességeit emeli ki:


A megfelelőségi kockázatok pontos priorizálása:

  • A kockázatkezelés összehangolása az alábbi szempontok alapján:

  • Audit hatás – Azokat a hibás konfigurációkat kezelje elsőként, amelyek közvetlenül befolyásolják a megfelelőségi eredményeket.

  • Üzleti kritikalitás – Fókuszáljon az üzletmenet szempontjából kritikus eszközökre.

  • Kontroll súlyossága – A hiányosságok priorizálása a kockázati kitettség és a megfelelőségi súly alapján.

  • Zsarolóvírus-kitettség – Az exploitálható konfigurációs hibákhoz kapcsolódó kockázatok csökkentése.


Teljes körű megfelelőség és javítás automatizálása:


  • ITSM integráció – Jegykezelés automatizálása ServiceNow és egyéb ITSM rendszerekkel.

  • Intelligens riasztások – A megfelelőségi problémák azonnali továbbítása a megfelelő csapatokhoz.

  • Audit javítási integráció – Előre definiált és egyedi szkriptek gyorsan orvosolják a hiányosságokat.

  • Auditkész riportok – Előírás-alapú jelentések generálása igény szerint.

  • Folyamatos megfelelőség – CI/CD alapú szkennelés biztosítja a környezetek folyamatos védelmét.

 

Megfelelőségi átláthatóság és sikeres audit biztosítása:

  • Megfelelőségi vakfoltok megszüntetése – A konfigurációk folyamatos monitorozása.

  • Magabiztos auditálás – Kontrollok validálása dashboardok és riportok segítségével.

  • 90+ előírás lefedése – Előre feltérképezett kontrollok a gyorsabb megfelelés érdekében.

  • Egyedi riportok – Igény szerinti betekintések biztosítása auditokhoz.


Qualys account megléte esetén a Policy Audit modulból igényelhető egy 30 napos próbaverzió, amelynek segítségével a termék szabadon tesztelhető. A próbaverzió funkcionalitásában megegyezik a teljes végleges verzióval. A licensz igénylése a Qualys felületről történik, amelyet egy rövid emailes validálás és eseti segítségnyújtás követhet.


Laborkörnyezetünk a Qualys felhő mellett egy on-prem scanner appliance-ből, illetve egy Windows Server 2022 virtuális gépből állt. A scan során a CIS Benchmark for Microsoft Server 2022 Standalone, v2.0.0 keretrendszert használtunk.


A Center for Internet Security (CIS) egy amerikai nonprofit szervezet, amely 2000 októberében jött létre. Küldetésnyilatkozata szerint a CIS feladata, hogy segítsen az embereknek, vállalkozásoknak és kormányzati szerveknek megvédeni magukat az egyre elterjedtebb kiberfenyegetésekkel szemben.


A CIS Benchmarkeket a Consensus Community és a CIS SecureSuite tagjai közösen dolgozzák ki (utóbbi a CIS tagok egy olyan csoportja, amely további eszközökhöz és erőforrásokhoz fér hozzá). A Consensus Community informatikai biztonsági szakértőkből áll, akik tudásukkal és tapasztalatukkal támogatják a globális internetes közösséget. A CIS SecureSuite tagjai különböző méretű és típusú szervezetekből tevődnek össze, ideértve kormányzati szerveket, felsőoktatási intézményeket, nonprofit szervezeteket, IT auditorokat és tanácsadókat, biztonsági szoftvergyártókat és egyéb szervezeteket. A CIS Benchmarkok és más, a CIS által ingyenesen biztosított eszközök lehetővé teszik az IT szakemberek számára, hogy riportokat készítsenek, amelyek összehasonlítják rendszereik biztonsági állapotát a konszenzuson alapuló szabványhoz képest.


A scan futtatása előtt rengeteg konfigurációs beállítás vár a felhasználóra. A legfontosabb lépés a megfelelő policy kiválasztása. Ez a PA modul „Policies” füle alatt történik.

Létrehozhatunk a vállalati igényeknek megfelelő saját keretrendszert, illetve meglévő keretrendszert is választhatunk. Ez utóbbi esetben kattintsunk az „Import from Library” lehetőségre. Itt egy nagy könyvtárban böngészve válasszuk ki a nekünk megfelelőt (az én esetemben ez a már említett CIS Benchmark for Microsoft Server 2022 Stand-alone, v2.0.0) :



A PA modul „Assets” fülén belül az „Address Management” résznél adjuk hozzá a szükséges IP címeket:



Fontos lépés továbbá az „Option Profile” konfigurálás. Itt én a „Compliance” elnevezésű profilt bővítettem ki a szükséges keretrendszerrel:



Az eredményes scan lefolytatása érdekében fontos, hogy engedélyezzük az authentikációt a scanner appliance részére:



Amennyiben ezt még nem állítottuk be korábban a VMDR modul használatához kapcsolódóan, szükséges a cél szerveren egy technikai felhasználó létrehozása, illetve a bejelentkezési adatok megadása a PA „Scans – Authentication” fül alatt:



Ha mindezzel végeztünk futtassunk egy OnDemand scant:



Miután lefutott a scan, mindenképpen ellenőrizzük, hogy sikeres volt-e az authentikáció:


Majd térjünk rá az eredmények kiértékelésére:



A riport tételesen felsorolja, hogy a keretrendszer mely beállításai megfelelőek és melyek esetében van szükség konfigurációs módosításokra. Ha bővebb információra van szükségünk, kattinstuk rá egy konkrét találatra:



Az eredményt természetesen a VMDR modulhoz hasonlóan lehetőségünk van riport formájában is exportálni.A bemutatott labor jól szemlélteti, hogy a megfelelőségi vizsgálatok (compliance scanek) fontos szerepet töltenek be a szervezetek biztonsági állapotának értékelésében és fenntartásában. Míg a sérülékenységvizsgálatok az aktuálisan kihasználható hibák azonosítására fókuszálnak, addig a megfelelőségi ellenőrzések a rendszerek konfigurációs megfelelőségét mérik egy előre definiált, iparági ajánlásokon alapuló keretrendszerhez viszonyítva.

A Qualys Policy Audit modul használatával végrehajtott vizsgálat rávilágított arra, hogy egy alapértelmezett rendszerkonfiguráció számos ponton eltérhet a CIS Benchmark ajánlásaitól. Az ilyen eltérések azonosítása és priorizálása lehetővé teszi a biztonsági érettség növelését, valamint hozzájárul a szabályozási és audit követelmények teljesítéséhez is.

Összességében elmondható, hogy a megfelelőségi vizsgálatok a modern információbiztonsági gyakorlat elengedhetetlen elemei, különösen automatizált és folyamatosan monitorozott környezetekben.

 
 

MEGVÉDENÉD A VÁLLALATODAT?

Mi a biztonsági célod? Válaszd ki:

KAPCSOLAT

Socurity IT Kft.

mail

sales(at)socurity.hu

Adatvédelmi tájékoztató

onlinecall

+36-30-483-24-41

+36-70-904-92-81

socialmedia

Socurity IT © 2024

bottom of page