Deepak Naik, VP Cloud Security Engineering, Qualys
10 iunie 2020 - citire 9 min
Actualizare 9 iunie 2020: Qualys adaugă procesul de detecție software malițios la oferta atractivă a Remote Endpoint Protection. Aceasta este disponibilă gratuit, pentru o perioadă de 60 de zile.
Articolul a fost actualizat pentru a reflecta această nouă capabilitate de detecție.
Organizațiile IT din întreaga lume reacționează la provocarea deschisă de COVID-19 prin asigurarea productivității angajaților din locații aflate la distanță. Deoarece ne confruntăm cu o explozie nemaivăzută de utilizatori care se conectează de la distanță la activele critice ale organizației, securitatea terminalelor reprezintă prioritatea tuturor profesioniștilor din domeniul IT și din securitatea informațiilor.
Pe măsură ce căutăm modalități de a securiza aceste terminale, devine imediat clar că soluțiile tradiționale de securitate a informațiilor implementate în rețeaua organizației sunt complet ineficiente în protejarea lor. Volumul mare de terminale care se conectează prin VPN creează deja o presiune majoră asupra lățimii de bandă, iar adăugarea de actualizări de amploare livrate la mii de terminale este nepractică. Suplimentar, terminalele aflate la distanță nu pot fi protejate prin dispozitivele de securitate de pe perimetrul rețelei, ca linie de apărare față de atacuri malițioase și intruziuni.
Cea mai eficientă modalitate de a aborda securitatea acestor terminale aflate la distanță este de a valorifica soluțiile bazate pe tehnologii de tip cloud. Acestea sunt superioare arhitectural să rezolve cazul securității terminalelor aflate la distanță, prin conectarea directă la cloud, prin internet, fără rutarea unui volum mare de trafic prin conexiunile VPN.
Qualys a lucrat cu mulți dintre clienții săi existenți pentru a lansa imediat un serviciu de protecție a terminalelor aflate la distanță, care îi va ajuta să facă față acestei provocări. Serviciul, care este furnizat gratuit timp de 60 zile, valorifică agentul Qualys Cloud și arhitectura acestuia cloud pentru a furniza vizibilitate completă către toate terminalele aflate la distanță. Mai mult, acesta oferă capacitatea suplimentară de a instala la distanță patch-uri și de a detecta software malițios care a fost ratat de către soluțiile antivirus. Această abordare asigură situația la zi a vulnerabilităților și a configurației terminalelor aflate la distanță, în timp real, cu abilitatea de a răspunde fără impact asupra lățimii de bandă a companiei, care devine critică într-un asemenea scenariu.
Pentru a ne ajuta clienții existenți, prioritizăm livrarea acestui serviciu pentru cei care deja folosesc avantajele platformei Qualys Cloud. Serviciul este extrem de ușor de activat pentru cei care au instalat agenți Qualys Cloud. Clienții existenți se pot înscrie aici – https://www.qualys.com/forms/remote-endpoint/
Clienții care doresc să obțină instalarea rapidă a agentilor Qualys Cloud, găsesc mai multe informații aici – https://www.qualys.com/docs/qualys-cloud-agent-windows-install-guide.pdf
Lucrăm la prioritizarea altor organizații care ar dori să se înscrie pentru acest serviciu.
Oferta Qualys Remote Endpoint Protection permite
#1 Urmărirea inventarului actualizat al tuturor componentelor hardware al terminalelor aflate la distanță și al aplicațiilor pe care acestea le execută.
Serviciul permite descoperirea continuă atât a dispozitivelor și a calculatoarelor gazdă aflate la distanță care se conectează la rețeaua companiei cât și locația lor geografică. În afara acestor informații de bază și a inventarului de chei, se generează metadate cum ar fi specificațiile hardware și ale software-ului instalat, serviciile, informațiile despre port și rețea, împreună cu software-ul și aplicațiile care rulează pe calculatoarele gazdă.
Puteți localiza terminalele folosite la distanță de către persoane-cheie din managementul executiv, pentru descoperirea de vulnerabilități critice, configurații greșite de securitate, amenințări, patch-uri lipsă, orice proces malițios.
#2 Obținerea unei imagini în timp real atât al vulnerabilităților critice relevante care influentează sistemul de operare, cât și al aplicațiilor existente pe terminalele aflate la distanță care prezintă un risc pentru acestea
Când vorbim de terminale aflate la distanță, este important să înțelegem situația completă a vulnerabilităților și amenințările care ar putea avea un impact asupra utilizatorilor și a mediului IT.
Utilizând agentul Qualys Cloud, de mici dimensiuni, puteți descoperi și prioritiza vulnerabilitățile critice ale terminalelor – fie că vorbim de computere personale, complet aflate la distanță sau conectate prin VPN. Identificarea vulnerabilităților sistemului de operare nu este de obicei suficientă. Vulnerabilitățile sunt deseori prezente în software-ul de la terți cu utilizare uzuală, cum ar fi:
Browsere web
Plugin-uri și extensii de browser
Software de productivitate și de vizualizare PDF
Software VPN
Software pentru conferințe web
Software de arhivare
Aplicații de redare media (media players)
Capacitatea de a evalua vulnerabilitățile din software-ul terților este esențială pentru menținerea securității terminalelor aflate la distanță. Atacatorii știu ce software este instalat în mod uzual și adesea își concentrează atacurile asupra vulnerabilităților folosind kituri de exploatare, descărcări drive-by, cai troieni și alte tipuri de campanii la scară largă, pentru livrarea de încărcături malițioase cum sunt cele de tip ransomware, crypto mining, cele care fură parole și software-ul de tip botnet. Dezvăluirile recente de vulnerabilități au fost nu numai pentru software-ul terminalelor, dar și pentru chipset-urile wireless și driverele acestora, cum sunt kr00k și KNOB, care pot permite atacatorilor să citească date confidențiale dacă se află în apropierea traficului wireless.
Imaginea completă a fiecărei vulnerabilități existente pe terminalele aflate la distanță este esențială pentru a înțelege unde să vă concentrați eforturile de instalare a patch-urilor pentru a vă asigura că utilizatorii și mediul dumneavoastră IT sunt în siguranță. Împreună cu serviciul Remote Endpoint Protection am lansat o ‘listă de căutare a terminalelor aflate la distanță’, în special pentru evaluarea sistemelor de operare și a software-ului terț existent pe aceste terminale.
#3 Cu doar un click de mouse, din cloud, în numai cateva ore se poate face patching pentru terminalele aflate la distanță fără a utiliza lățimea de bandă limitată disponibilă prin VPN.
Creșterea numărului de terminale aflate la distanță poate copleși rețelele VPN și limita viteza de transfer. Echipele de securitate analizează utilizarea în mod eficient a lățimii de bandă limitată VPN și, de asemenea, să nu sufoce VPN-ul, prioritizând în același timp patch-urile, pe baza amenințărilor și vulnerabilităților. De exemplu, pentru a remedia un singur CVE (Common Vulnerability and Exposure), este adesea necesar să instalați mai multe patch-uri incrementale pentru diferite versiuni ale produselor afectate; astfel, se recomandă ca patching-ul să se efectueze prin descărcarea directă a patch-urilor pe terminale de pe site-urile web ale furnizorului și din CDN-uri (Content Distribution Network).
Chiar dacă este un prim pas important, instalarea patch-urilor aferente sistemelor de operare, de regulă, nu este suficientă. Patching-ul software-urilor terțe, ca cele de mai jos, reprezintă cheia menținerii securității terminalelor aflate la distanță.
Browsere web
Plugins și extensii de browsere
Software de productivitate și vizualizare PDF
Software VPN
Software pentru conferințe web
Software de arhivare
Aplicații de redare media (media players)
Suplimentar, serviciul Qualys Remote Endpoint Protection vă oferă prin Patch Management (administrarea patch-urilor) următoarele posibilități:
Corelarea automată a vulnerabilităților și a patch-urilor, care grăbește răspunsul de remediere, în special pentru terminalele cu profil înalt aflate la distanță.
Configurarea regulilor și fluxurilor de lucru, astfel încât patch-urile se auto-instalează atunci când întâlnesc anumite criterii cum sunt nivelul de securitate, scorul CVSS (Common Vulnerability Scoring System), CVE sau numele produsului.
Furnizarea de mesaje interactive către utilizatorii finali pentru conștientizare și încredere, îndemnându-i să instaleze patch-uri, să repornească computerele sau să îi informeze cu privire la implementările în curs.
# 4. Vizibilitatea stării dispozitivului prin identificarea configurațiilor greșite ce duc la expunerea terminalelor la exploatări.
Este important de monitorizat aceste calculatoare gazdă din punct de vedere al securității pentru a minimiza timpul de indisponibilitate al dispozitivelor sau al utilizatorului precum și pentru a reduce expunerea la breșe de securitate sau exploatări venite din partea unui program malițios sau APT (Advanced Persistent Threat). Acest lucru servește, de asemenea, ca o dovadă pentru complianță și auditul riscurilor.
Avantajul cheie al consolidării configurației este să o folosești ca pe un control compensator atunci când calculatoarele gazdă sunt expuse la amenințări venite din partea unor vulnerabilități care nu au fost patch-uite, în special când nu este posibilă instalarea imediată a patch-ului sau repornirea terminalelor, de exemplu, monitorizarea și întărirea setărilor RDP (Remote Desktop Protocol). Dacă o nouă vulnerabilitate RDP este publicată mâine, deja ai redus riscul la care ești supus aferent acestei vulnerabilități potențiale.
În evaluarea configurărilor de securitate (dacă sunteți un client al modului de Policy Compliance), integrat în serviciul de Remote Endpoint Protection, s-au introdus două noi politici, calculate în mod automat pe baza datelor colectate de către agentul Qualys Cloud. Politicile sunt orientate pe urmărirea setărilor de securitate critice aplicabile pentru terminalele aflate la distanță, cum sunt cele de mai jos:
Setările de parolă și administrare a conturilor
Setările antivirus, setările anti-phishing
Criptarea datelor aflate în repaus
Securitatea browserului web
#5 Detectarea de software malițios ratat de către antivirus și prioritizarea răspunsului pe baza categoriei și a familiei software-ului malițios
Qualys Malware Detection integrat cu oferta Remote Endpoint Protection și propulsat de agentul Qualys Platform and Cloud, folosește reputația fișierelor și clasificarea amenințărilor pentru a detecta fișierele malițioase cunoscute pe terminalele aflate la distanță. Ca urmare, organizațiile pot reacționa mult mai rapid la software-ul malițios, mărind în cele din urmă nivelul general de securitate.
Determinarea reputației fișierelor bazate pe informații despre amenințări se extinde dincolo de semnăturile antivirus tradiționale pentru descoperirea software-ului malițios, utilizând mai multe metode de detecție precum: analiza statică a fișierelor, analiza dinamică a fișierelor, detectarea pe baza surselor comunității și multe altele. Acest lucru permite funcției de detecție a programelor malițioase (Malware Detection) să identifice software-ul malițios ratat de antivirus, oferind un al doilea strat de apărare pentru terminalele aflate la distanță.
Suplimentar, funcția de detecție a programelor malițioase (Malware Detection) furnizează context adițional care servește la investigare și la prioritizarea răspunsului – tipul de amenințare pe categorie (troian, backdoor, keylogger, PUA (Potentially Unwanted Application), etc.) și numele de familie al software-ului malițios (TrickBot, Kwampirs, Carbanak, Offergenerator, etc.).
Timpul analiștilor de securitate a informațiilor este prețios; ei trebuie să se concentreze pe amenințările reale din mediul lor, pe care soluțiile antivirus le ratează, mai întai pe troieni și backdoors, apoi pe cele cu un impact mai redus, cum ar fi cele care țintesc bara de instrumente a browserului și adware. Modulul de detectare a programelor malițioase (Malware Detection) facilitează găsirea celor mai importante atacuri, ajuta la identificarea sistemelor infectate, afli cât de răspândită este infestarea, transmite alerte în timp real pe email, foloseste sisteme de ticketing, Slack, PagerDuty, și integrare Splunk.
#6 O singură fereastră vizuală pentru managementul executiv și cel al securității IT
Unul dintre indicatorii cheie pentru asigurarea disponibilității serviciului este starea generală a securității tuturor terminalelor aflate la distanță.
Tabloul de bord unificat, integrat cu modulul Remote Endpoint Protection, oferă posibilitatea managementului executiv să monitorizeze la nivel înalt fiecare aspect al efortului pentru asigurarea securității informatice al organizației, de la inventarierea terminalelor aflate la distanță până la identificarea acelora sensibile la vulnerabilitatea SMBv3 (Server Message Block), sau pentru a găsi câte terminale așteaptă o repornire după instalarea unui patch, toate dintr-un singur panou de comandă.
Mai jos sunt exemplele de indicatori cheie și tendințe pe care panoul de comandă vă permite să le urmăriți –
Terminale cu versiuni software de VPN depășite
Terminale în care rulează SMB v1/2, cu certificate slabe
Terminale cărora le lipsesc patch-uri critice Microsoft Patch Tuesday față de terminale care nu au fost repornite după instalarea patch-urilor.
Terminale cu vulnerabilități specifice, cum ar fi SMB v3, Bluekeep care în același timp rulează servicii ca SMB, RDP și prezintă o autentificare slabă.
Aceasta vă ajută, să vizualizați într-un singur loc informațiile prețioase furnizate de diferitele aplicații de securitate, cum sunt Vulnerability Management și Patch Management.
Sumar:
Cu efect imediat, Qualys, Inc. vă furnizează noua sa soluție cloud Remote Endpoint Protection în mod gratuit, pentru a permite echipelor ce se ocupă cu securizarea informațiilor să obțină vizibilitate instantanee și continuă a calculatoarelor aflate la distanță. Aceste echipe vor fi capabile să identifice patch-urile lipsă aferente unor vulnerabilități critice și să le instaleze din cloud. Patch-urile sunt livrate în siguranță direct de pe site-urile web ale furnizorilor și din rețelele de distribuire a conținutului (CDN), impactul asupra conectivității internet și asupra lățimii de bandă al organizației fiind minor sau inexistent. Serviciul Malware Detection detectează software-ul malițios ratat de către antivirus și îl clasifică în categorii de amenințare și familii de software malițios pentru a prioritiza răspunsul la incident.
Sperăm ca acest serviciu să vă ajute să obțineți rapid controlul asupra terminalelor aflate la distanță. Vă rugăm să vă adresați administratorului dvs. de cont pe parte tehnică (TAM) pentru orice întrebări, comentarii sau feedback.
Clienții noi se pot adresa la sales@qualys.com pentru cereri de activare.
Deepak Naik
Vice President – Platform Security Engineering & Ops, Qualys, Inc
Resurse suplimentare:
Instruire: Biblioteca video Patch Management Cum vă permite Qualys Patch Management să corelați automat vulnerabilitățile și patch-urile, reducând timpul de răspuns de remediere.