Qualys cloud agent что это
Что такое системы управления уязвимостями на примере облачной платформы QualysGuard
Почему я решил написать этот текст.
Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.
С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.
Вернемся к самому сервису.
Сам сервис состоит из нескольких модулей, доступ к которым осуществляется из одного web интерфейса.
Основным модулем и наиболее интересным является модуль QualysGuard Vulnerability Management. О нем я и постараюсь вкратце рассказать.
Основное его отличие от обычных сканеров уязвимости, это возможность выстроить процесс управления уязвимостями (Vulnerability assessment)с помощью одного продукта. Обычные сканеры полезны для аудиторов т.к. показывают срез анализа на текущий момент. Но в компаниях все же нужен инструмент для выстраивания защиты от внешних угроз и здесь без процессного подхода не обойтись. Поэтому системы управления уязвимостями является следующим этапом развития систем анализа защищенности.
Я знаю, что схожие элементы реализованы в продукте McAfee VM и частично еще в одном-двух программных решениях западных вендоров.
Но основное отличие QualysGuard это то, что все это под соусом технологии SaaS. Т.е. минимальная стоимость владения, сервис по требованию, нет необходимости в отдельном инженере и т.д. что мы получаем от SaaS.
Т.е. для работы с внешними активами нужен только доступ через web браузер (желательно не IE) и интернет. Для внутреннего сканирования нужна дополнительно запущенная виртуальная машина на VMware\Oralce VirtualBox. И все:)
Я уверен, что появятся вопросы про защиту данных об уязвимостях, передаваемых и хранящихся в ЦОДе вендора (это все же технология SaaS), поэтому скажу только сама компания выстраивает отношения с клиентами на доверии, тратит ежегодно большие деньги на собственные аудиты и совершенствование защиты. Что позволяет Qualys доверять крупным мировым компаниям (все есть на сайте вендора). Для меня было интересно обнаружить, что все крупные ИТ вендор, продавая свои сканеры уязвимости, у себя используют именно QualysGuard.
Так же для крупных клиентов, боящихся хранить данные в Швейцарии, есть возможность развертывания своего ЦОДа.
На сем хочу завершить свою первую статью о своем опыте работы с разными технологиями. Постараюсь на следующей неделе рассказать о бесплатных сервиса Qualys и ответить на вопросы, которые получу.
Обзор компании Qualys (#QLYS)
Qualys — ведущий поставщик облачной платформы, предоставляющей решения в области информационных технологий It- безопасности. Компания обладает одной из крупнейших в отрасли баз знаний о сигнатурах уязвимостей. Все обновления безопасности производятся в режиме реального времени. Qualys уже установила стратегические партнерские отношения с ведущими поставщиками облачных услуг, такими как Amazon Web Services, Microsoft Azure и Google Cloud Platform. Более чем 19 000 активных клиентов в более чем 130 странах.
Набор решений в области ИТ, безопасности позволяет клиентам: 1) определять и управлять своими ИТ-активами в локальной среде, на конечных точках, в облаке и мобильных средах; 2) собирать и анализировать большие объемы данных по ИТ-безопасности; 3) обнаруживать уязвимости и определять их приоритетность; 4) рекомендовать и реализовывать меры по исправлению положения.
— Нет необходимости в покупки оборудования и обслуживании инфраструктуры, что снижает операционные расходы для клиентов;
— Отслеживание It-безопасности в режиме онлайн;
— Простое глобальное сканирование.
— Масштабирование. Облачная платформа — это масштабируемое, комплексное и решение для It-безопасности.
Компания работает с многочисленными клиентами (66% из Forbes Global 50, 46% из Global 500 и 25% из Global 2000, стандартизированных по Qualys)
Операционные и финансовые показатели:
Свободный денежный поток компании увеличился с ростом числа новых интегрированных платформ по обеспечению безопасности и продолжает восстановление после периода COVID-19.
Основные услуги #QLYS:
— Маркировка и управление активами. Позволяет клиентам легко идентифицировать, классифицировать и управлять большим количеством активов в высокодинамичных ИТ-средах.
— Отчетность и информационные панели. Предоставляет клиентам отчеты и информационные панели в зависимости от их ролей и прав доступа.
— Анкеты и сотрудничество. Настраиваемый механизм рабочего процесса, который позволяет клиентам легко создавать анкеты и фиксировать существующие бизнес-процессы и рабочие процессы для оценки средств контроля и сбора доказательств для проверки и документирования соответствия.
— Исправление и рабочий процесс. Интегрированный механизм рабочего процесса, который позволяет клиентам автоматически генерировать заявки в службу поддержки.
— Механизм корреляции и анализа больших данных. Предоставляет возможности Elasticsearch для индексации, поиска и сопоставления больших объемов данных о безопасности.
— Оповещения и уведомления. Создает уведомления по электронной почте.
⚠️Факторы риска:
— Платформа, веб-сайт и внутренние системы могут подвергаться преднамеренному нарушению или атаке со стороны конкурентов;
— Слабая диверсификация бизнес-модели. Решения в области ИТ, безопасности предоставляются из восьми центров обработки данных — США, Канаде, Швейцарии, Нидерландах, Объединенных Арабских Эмиратах и Индии;
— Сторонние торговые партнеры делают значительную часть доходов. За 2020 год примерно 42%, доходов поступил от продаж подписок от торговых партнеров;
— Значительная часть клиентов, торговых партнеров и сотрудников находится за пределами США.
— Показатели подвержены колебаниям курсов обмена валют. За 2020 год 28% расходов в иностранной валюте.
— Серьёзная конкуренция (Belden (Tripwire), Broadcom (Symantec Enterprise Security), CrowdStrike, F5 Networks, FireEye, International Business Machines, McAfee, Micro Focus International, Palo Alto Networks, Rapid7, Tenable Holdings и VMware., а также частных поставщиков безопасности, включая Barracuda Networks, BeyondTrust Software, Flexera, Forescout Technologies, Imperva, Tanium, Trustwave Holdings, Venafi и Veracode);
— Риски работы с поставщиками ПО.
📌 Мультипликаторы:
P/E = 61,85
Forward P/E = 37,82
EPS = 1,79
ROA = 10,20%
ROE = 18,20%
Маржа = 19,70%
Qualys сотрудничает с Red Hat для улучшения безопасности Linux и Kubernetes
Компания по обеспечению безопасности Qualys и Red Hat объединили усилия, чтобы повысить безопасность операционной системы RHEL CoreOS и платформы для управления контейнерами Red Hat OpenShift.
Решение, построенное на облачной платформе Qualys, легко интегрируется с рабочими процессами управления уязвимостями, отчетами и метриками клиентов, помогая снизить риски в облачных инфраструктурах.
Qualys Cloud Agent
Qualys Cloud Agent – это легкий программный агент, который использует 2-5% ресурсов ЦП. После установки он выполняет полную оценку конфигурации своего хоста во время работы в фоновом режиме и загружает этот снимок в облачную платформу Qualys. Сам агент обновляется и самовосстанавливается, поэтому его не нужно переустанавливать или перезагружать, чтобы поддерживать работоспособность последней версии.
OpenShift и CoreOS
OpenShift – это семейство программных продуктов для контейнеризации, разработанных Red Hat. Ее флагманский продукт OpenShift Container Platform построен вокруг Docker контейнеров спланированных и управляемых Kubernetes на фундаменте Red Hat Enterprise Linux.
CoreOS – это специализированная версия RHEL от Red Hat для OpenShift. CoreOS не только является базовой операционной системой, но и подчеркивает плоскость управления OpenShift.
Преимущества сотрудничества
Комбинация облачного агента для Red Hat Enterprise Linux CoreOS на OpenShift с решением безопасности контейнеров от Qualys обеспечивает непрерывную проверку сетевых пакетов и обнаружение уязвимостей во всей среде OpenShift. Решение использует платформу Qualys Cloud Platform и обеспечивает бесшовную интеграцию с существующими рабочими процессами клиентов по управлению уязвимостями. Это дополняется отчетностью и статистикой безопасности для снижения киберрисков.
Аарон Леви, глава отдела безопасности партнерской экосистемы Red Hat, заявил: «Безопасность – одна из самых серьезных проблем почти для каждой организации, и мы считаем, что сильная партнерская экосистема помогает решить эти проблемы, предоставляя нашим клиентам широкий выбор решений».
Сумед Такар, президент и генеральный директор Qualys, добавил: «Поскольку группы безопасности стремятся поддерживать современные приложения, созданные на основе передовых технологий, таких как Red Hat OpenShift, им необходимо защитить как работающие образы контейнеров, так и базовый кластер OpenShift».
Новые функции
Агент Qualys Cloud для CoreOS на OpenShift предоставляет менеджерам OpenShift следующие функции:
Защитник для интегрированного средства проверки уязвимостей Qualys в облаке для Azure и гибридных компьютеров
Центр безопасности Azure и Azure Defender теперь называются Microsoft Defender для облака. Кроме того, мы переименовали планы Azure Defender в планы Microsoft Defender. Например, Azure Defender для хранилища теперь называется Microsoft Defender для хранилища.
Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей.
Защитник для облака регулярно проверяет подключенные компьютеры, чтобы убедиться, что они используют средства оценки уязвимостей.
При обнаружении компьютера, для которого не развернуто решение для оценки уязвимостей, защитник для облака создает следующие рекомендации по безопасности:
Необходимо включить решение для оценки уязвимостей на виртуальных машинах
Используйте эту рекомендацию для развертывания решения для оценки уязвимостей на виртуальных машинах Azure и гибридных компьютеров с поддержкой ARC в Azure.
Разверните решение по оценке уязвимостей, которое лучше всего удовлетворяет ваши потребности и соответствует бюджету:
защитник майкрософт для контроль угроз и уязвимостей инструментов конечных точек — обнаружение уязвимостей и недействительных настроек в режиме реального времени с помощью датчиков, а также отсутствие необходимости агентов или периодических проверок. Приоритеты уязвимостей определяются на основе ландшафта угроз, обнаруженных в организации уязвимостей, конфиденциальных сведений на уязвимых устройствах и бизнес-контекста в целом. Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.
Интегрированное решение по оценке уязвимостей поддерживает как виртуальные машины Azure, так и гибридные компьютеры. чтобы развернуть средство проверки уязвимостей на локальных и многооблачных компьютерах, сначала подключите их к azure с помощью дуги azure, как описано в разделе Подключение компьютеров, не относящихся к azure, для защитника в облаке.
Защитник Azure для интегрированного решения по оценке уязвимостей в облаке работает легко. После развертывания дуги Azure компьютеры будут отображаться в защитнике для облака, а Log Analytics агент не потребуется.
Доступность
Обзор интегрированного сканера уязвимостей
Средство проверки уязвимостей, включенное в защитник Майкрософт для облака, включено в Qualys. Средство проверки Qualys — это один из ведущих инструментов для идентификации уязвимостей. Он доступен только в защитнике Майкрософт для серверов. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Defender для облака.
Как работает интегрированное средство проверки на предмет уязвимостей
Расширение сканера уязвимостей работает следующим образом:
Сбор информации. Расширение собирает артефакты и отправляет их для анализа в облачную службу Qualys в заданном регионе.
Чтобы гарантировать конфиденциальность и безопасность для клиентов, мы не делимся информацией о клиентах с компанией Qualys. Дополнительные сведения о стандартах конфиденциальности, встроенных в Azure.
Развертывание средства проверки на компьютерах в Azure и гибридной среде
На портале Azure откройте службу Defender для облака.
Выберите рекомендацию Необходимо включить решение для оценки уязвимостей на виртуальных машинах.
Компьютер «server16-Test» выше — это компьютер с поддержкой Arc Azure. сведения о развертывании сканера оценки уязвимостей на локальных и многооблачных компьютерах см. в статье Подключение машин, не относящихся к Azure, для защитника в облаке.
Защитник для облака работает с помощью дуги Azure. После развертывания дуги Azure компьютеры будут отображаться в защитнике для облака, а Log Analytics агент не потребуется.
Ваши компьютеры будут отображаться в одной или нескольких из следующих групп:
Работоспособные ресурсы — в защитнике для облака обнаружено решение для оценки уязвимостей, выполняемое на этих компьютерах.
Неработоспособные ресурсы — на этих виртуальных машинах можно развернуть расширение средства проверки на предмет уязвимостей.
Неприменимые ресурсы — на этих компьютерах нельзя развернуть средство проверки на предмет уязвимостей. На эту вкладку компьютер может попасть в тех случаях, если он работает на основе образа в кластере AKS, входит в масштабируемый набор виртуальных машин или работает под управлением операционной системы, которая не поддерживает интегрированное средство проверки на предмет уязвимостей:
| поставщик | ОС | Поддерживаемые версии |
|---|---|---|
| Microsoft | Windows | All |
| Amazon | Amazon Linux | версии 2015.09) — 2018.03 |
| Amazon | Amazon Linux 2 | 2017.03 — 2.0.2021 |
| Red Hat | Enterprise Linux | 5.4 +, 6, 7-7,9, 8 – 8.3 |
| Red Hat | CentOS | 5.4 +, 6, 7, 7.1-7,8, 8-8.4 |
| Red Hat | Fedora | 22-33 |
| SUSE | Linux Enterprise Server (SLES) | 11, 12, 15 |
| SUSE | openSUSE | 12, 13, 15.0-15.2 |
| SUSE | Leap | 42.1 |
| Oracle; | Enterprise Linux | 5,11, 6, 7 — 7,9, 8-8.4 |
| Debian | Debian | 7.x-10.x |
| Ubuntu | Ubuntu | 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS |
В списке неработоспособных компьютеров выберите один или несколько компьютеров, на которые вам нужно установить решение для оценки уязвимостей, и щелкните элемент Исправить.
Список может выглядеть иначе. Это зависит от используемой конфигурации.
Выберите рекомендуемый вариант, разверните встроенный сканер уязвимостей и Продолжайте.
Вам будет предложено еще раз подтвердить выбор. Щелкните элемент Исправить.
Через несколько минут расширение средства проверки будет установлено на всех выбранных компьютерах.
Сканирование начинается автоматически сразу после успешного развертывания расширения. Затем сканирование выполняется каждые 12 часов. Этот интервал нельзя настраивать.
Если развертывание на одном или нескольких компьютерах завершится сбоем, обеспечьте на целевых компьютерах возможность взаимодействия с облачной службой Qualys. Для этого добавьте следующие IP-адреса в списки разрешений (через стандартный порт HTTPS 443):
https://qagpublic.qg3.apps.qualys.com — центр обработки данных Qualys в США;
https://qagpublic.qg2.apps.qualys.eu — центр обработки данных Qualys в Европе.
Если ваш компьютер размещен в европейском регионе Azure, его артефакты будут обрабатываться в европейском центре обработки данных Qualys. Артефакты виртуальных машин во всех остальных регионах отправляются в центр обработки данных в США.
Автоматизация развертываний в большом масштабе
все средства, описанные в этом разделе, доступны из защитника для репозитория GitHub community облака. Там можно найти сценарии, службы автоматизации и другие полезные ресурсы, которые будут использоваться в защитнике для облачного развертывания.
Некоторые из этих средств влияют только на новые компьютеры, подключаемые после включения развертываний в большом масштабе. Другие развертываются на всех существующих компьютерах. Вы сможете сочетать разные подходы.
Вот лишь несколько примеров, позволяющих автоматизировать развертывание интегрированного средства проверки в большом масштабе:
Активация сканирования по запросу
Вы сможете активировать сканирование по запросу с самого компьютера с помощью локального или удаленного выполнения скриптов или через объект групповой политики (GPO). Кроме того, вы можете интегрировать такое сканирование в средства распространения программного обеспечения в конце задания развертывания исправлений.
Сканирование по запросу активируют следующие команды:
Вопросы и ответы по интегрированному средству проверки на предмет уязвимостей (на платформе Qualys)
Существуют ли дополнительные расходы за лицензию Qualys?
Нет. Встроенный сканер предоставляется бесплатно всем пользователям защитника Майкрософт для серверов. С помощью рекомендации это средство проверки развертывается вместе с информацией о лицензировании и настройке. Дополнительные лицензии не требуются.
Какие предварительные условия и разрешения требуются для установки расширения Qualys?
Вам потребуются разрешения на запись для любого компьютера, на котором нужно развернуть расширение.
Расширение Microsoft Defender для оценки уязвимостей в облаке (на платформе Qualys), как и другие расширения, выполняется поверх агента виртуальной машины Azure. Поэтому оно работает как локальный узел в Windows и является корневым в Linux.
Во время установки защитник для облачных проверок проверяет, может ли компьютер взаимодействовать со следующими двумя центрами обработки данных Qualys (через порт 443 — по умолчанию для HTTPS):
Сейчас расширение не принимает данные для настройки прокси-сервера.
Можно ли удалить Защитник для расширения Cloud Qualys?
Если вы хотите удалить расширение с компьютера, это можно сделать вручную или с помощью любого программного средства.
Чтобы выполнить вход, потребуются следующие сведения:
Как обновляется расширение?
Как и в защитнике Майкрософт для самого облачного агента и во всех других расширениях Azure, незначительные обновления сканера Qualys могут автоматически выполняться в фоновом режиме. Все агенты и расширения тщательно тестируются перед автоматическим развертыванием.
Почему для моего компьютера в рекомендации отображается состояние «неприменимо»?
На странице сведений о рекомендации все компьютеры сгруппированы в следующие списки: работоспособно, неработоспособно и неприменимо.
Если у вас есть компьютеры в группе неприменимые ресурсы, это означает, что защитник для облака не может развернуть расширение средства проверки уязвимостей на этих компьютерах.
Ваш компьютер может оказаться на этой вкладке по следующим причинам:
Он не защищен защитником для облака. как описано выше, средство проверки уязвимостей, включенное в защитник Майкрософт для облака, доступно только для компьютеров, защищенных защитником Майкрософт для серверов.
Он работает на основе образа в кластере AKS или входит в масштабируемый набор виртуальных машин. Это расширение не может работать на виртуальных машинах в формате ресурсов PaaS.
Его операционная система не входит в следующий список поддерживаемых ОС:
| поставщик | ОС | Поддерживаемые версии |
|---|---|---|
| Microsoft | Windows | All |
| Amazon | Amazon Linux | версии 2015.09) — 2018.03 |
| Amazon | Amazon Linux 2 | 2017.03 — 2.0.2021 |
| Red Hat | Enterprise Linux | 5.4 +, 6, 7-7,9, 8 – 8.3 |
| Red Hat | CentOS | 5.4 +, 6, 7, 7.1-7,8, 8-8.4 |
| Red Hat | Fedora | 22-33 |
| SUSE | Linux Enterprise Server (SLES) | 11, 12, 15 |
| SUSE | openSUSE | 12, 13, 15.0-15.2 |
| SUSE | Leap | 42.1 |
| Oracle; | Enterprise Linux | 5,11, 6, 7 — 7,9, 8-8.4 |
| Debian | Debian | 7.x-10.x |
| Ubuntu | Ubuntu | 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS |
Что сканирует встроенный сканер уязвимостей?
Средство проверки работает на компьютере и ищет на нем уязвимости. Оно не может проверять сеть с этого компьютера.
Интегрируется ли сканер с имеющейся у меня консолью Qualys?
Защитник для расширения облака — это отдельный инструмент из существующего сканера Qualys. Ограничения лицензирования означают, что она может использоваться только в защитнике Майкрософт для облака.
Как быстро это средство проверки будет обнаруживать новые критические уязвимости?
В течение 48 часов с момента раскрытия сведений о критической уязвимости Qualys внедряет эту информацию в свои процессы обработки и появляется возможность обнаруживать уязвимые компьютеры.
Дальнейшие шаги
Защитник для облака также предлагает анализ уязвимостей для:
Qualys Cloud Agent.
A single agent for real-time, global visibility and response.
Over 56 million Cloud Agents actively deployed across the globe
Install anywhere with minimal impact, stay updated in real time
Cloud Agent revealed that a tiny fraction of our desktops accounted for around 50 percent of our critical vulnerabilities—enabling us to obtain a dramatic improvement in our overall security posture for relatively little effort.
Eddie Dynes Information Security and Compliance Manager at London Gatwick Airport
Beyond traditional network scanning and response
Cloud Agents work where it’s not possible or practical to do network scanning. They’re our preferred method for assets like dynamic IP client machines, remote/roaming users, static and ephemeral cloud instances, and systems sensitive to external scanning. Cloud Agents continuously collect data from across your entire infrastructure, and consolidate it in the Qualys Cloud Platform for you to view. Cloud Agents also allow you to quickly respond to issues. Whether it’s killing processes, quarantining files or endpoints, patching vulnerabilities, removing exploits, fixing misconfigurations or uninstalling software, our singular agent can do it all.
You can’t secure what you can’t see or don’t know. Deploying Cloud Agents provide organizations with real-time visibility of their global IT assets – regardless of location – illuminating the dark places within their networks, and providing actionable intelligence and response capabilities.
Quickly deploy our lightweight Cloud Agents to achieve real-time, fully authenticated IT, security and compliance of your physical assets – like laptops, desktops, servers, data centers, tablets, smart phones, and OT. Qualys Cloud Agents also protect virtual environments – like cloud workloads, VDI, public/private clouds, Kubernetes, and Docker. Flexible installation options make it easy to include in COE, master server, Docker/Kubernetes, and VDI images. Cloud Agents run on all major desktop and mobile device operating systems.
With tens of millions of agents deployed worldwide, Qualys Cloud Agents are built for scale. A true, single-agent architecture keeps the Qualys Cloud Agent smaller and more powerful than other multi-agent solutions. Rolling out additional IT, security and compliance capabilities across global hybrid-IT environments can be achieved seamlessly without the burden of adding and managing additional single-purpose agents. Qualys Cloud Agents work with Asset Management, Vulnerability Management, Patch Management, EDR, Policy Compliance, File Integrity Monitoring and other Qualys apps.
Beyond vulnerability management!
Cloud Agents do more than just identify critical and zero-day vulnerabilities, they gather local asset management information like application inventories, scan for vulnerabilities in low bandwidth situations, ensure policy compliance in a remote workforce, respond with decisive actions via EDR, and keep systems up to date with Patch Management – regardless of location. Qualys Cloud Agents also provide fully authenticated on-asset scanning, with enforcement, where it’s not possible or practical to perform network scans.
Extend coverage with Qualys Gateway Service (QGS)
Hard-to-achieve visibility
Qualys Gateway Service lets your organization utilize Cloud Agents in secured environments. It securely extends the power of Qualys Cloud Platform into highly locked-down data centers, industrial networks, OT environments, and anywhere direct Internet access is restricted. It does this through virtual appliances managed from the Qualys Cloud Platform.
Cost-effective
Together, Qualys Cloud Agent and Qualys Gateway Service provide an easily optimized, bandwidth-efficient platform. Qualys QGS eliminates the cost and complexity of having to deploy, manage, maintain, and secure third-party proxies and web gateways for Cloud Agent installations at scale. It also creates a local cache for downloaded content from Cloud Agents such as manifests, updates, etc., and when used with Qualys Patch Management, stores patches.
See for yourself. Try Qualys for free.
Start your free trial today. No software to download or install. Email us or call us at 1 (800) 745-4355.