isox Jul 4 2018 at 11:57

Zabbix как сканер безопасности

11 min

29K

Vulners corporate blogInformation Security**nix*

+29

Comments 19

cooper051 Jul 4 2018 at 12:13

Добрый день. Спасибо за статью, очень интересно. Есть несколько вопросов.
1. Это работает только для linix-хостов? Можно ли подобное делать для Windows систем?
2. В данном случае мы определяем только уязвимости установленных пакетов. Есть ли возможность сгружать в заббикс данные от сетевого сканера? Т.е. видеть в дашборде дыры, которые образуются в результате miss configuration (открытые порты, слабый пароль и т.д.)?

Samosvat Jul 4 2018 at 13:48

Добрый день.
Да, сейчас плагин работает только с linux системами. Та как мы им решали свою задачу в рамках компании QIWI.
Добавить функционал сканирования Windows-систем, как и добавить отображение уязвимостей от сетевого сканера — идея интересная, но нужен заказчик :)

cooper051 Jul 4 2018 at 14:10

Ну а в целом, Zabbix-агент позволяет собирать информацию об установленных приложениях и самое главное их версиях (под Windows)?

svk28 Jul 4 2018 at 14:32

Промазал =), ответ чуть ниже

rbobot Jul 11 2018 at 07:35

С сайта через раздел Аудит не получается указать Windows в поле ОС, есть какая-то серверная валидация ввода?

Unknown operation system. Can't find comparator and splitter for packages

Для того, что бы это заработало с Windows нужно что-то большее чем написать агента/плагин?
Если есть путь отдать серверу Windows (версия — билд?) и список софта, и получить на это ответ по уязвимостям, то в принципе готов написать на powershell аналог того, что есть у вас на питоне для линукса.

Samosvat Jul 11 2018 at 10:50

Да, чтобы заработало сканирование Windows, необходимо реализовать поддержку и на стороне агента и на стороне Vulners API.

svk28 Jul 4 2018 at 14:31

Команда:
>wmic product get name,version
выдаст список установленного ПО с именами и версиями, а заббикс-агент может запускать внешние скрипты, вывод которых отдавать заббикс-серверу…

cooper051 Jul 4 2018 at 14:41

Понял, спасибо.

jazzl0ver Jul 4 2018 at 15:01

К сожалению, эта команда охватывает не все установленное ПО:

C:\Utils>wmic product get name,version | find "SNMP"
C:\Utils>
C:\Utils>reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s | find "SNMP"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SNMP Informant Agent Standard Edition_is1

Здесь можно взять powershell-скрипт для получения списка установленного ПО: gallery.technet.microsoft.com/scriptcenter/Get-Software-Function-to-bd2e0204

Protos Jul 4 2018 at 14:55

Чем данный софт в целом отличается от Vulners Audit Scanner, тем что через Zabbix реализован?

isox Jul 4 2018 at 14:58

Технологии и API полностью идентичные.
Отличается дашбордами, кнопкой «починить» и быстрой интеграцией в систему, если вы используете Zabbix как систему мониторинга.

cooper051 Jul 4 2018 at 15:42

На самом деле, я бы использовал для визуализации какую-нибудь Grafana. Данные для графиков/таблиц можно выдергивать через Zabbix-API. Получается отдельный интерфейс для безопасников, чтобы они не лазили в IT-шном заббиксе.

Samosvat Jul 4 2018 at 15:51

Grafana великолепна и ничего не мешает прикрутить её к существующему решению и не смотреть в дашборды Zabbix. Но веб-интерфейс Zabbix умеет выполнять fix-команды по запросу.
А еще zabbix-агент умеет работать сразу с несколькими экземплярами Zabbix-сервера. И можно для "безопасников" поставить отдельный экземпляр Zabbix-сервера, в который будут собираться только нужные им данные. И основной Zabbix "не захламлять" и найденные уязвимости не на виду.

Protos Jul 4 2018 at 15:34

У вас там есть поля для указания причины не устранения уязвимости ?

Samosvat Jul 4 2018 at 15:40

Такое поле есть. Правда этот функционал еще в разработке :)

Samosvat Jul 5 2018 at 12:21

У вас там есть поля для указания причины не устранения уязвимости ?

Наверное стоит детальнее это прокомментировать. В интерфейсе это сейчас работает вот так:

При Подтверждении проблемы нужно поставить галочку Close problem и в поле Message написать — почему мы решили проблему закрыть, а не обновлять пакет:
После этого проблема будет считаться решенной (покрасится в зеленый цвет). И при наведении на нее будет показано то самое сообщение.

Осталось сделать чтобы Zabbix Threat Control не игнорировал галочку Close problem, которая указывает что проблема более не актуальна и её "закрыли" вручную. Вот это сейчас в работе.

Storchak Jul 10 2018 at 14:39

Индекс влияния — это количество затронутых уязвимым пакетом серверов, умноженное на CVSS-балл уязвимости. Зачастую бывает что уязвимость с не самым выскоким балом имеет гораздо большее распространение в инфраструктуре, и поэтому потенциально более опасна

Смею не согласиться. Допустим, у меня имеется 50 серверов с низким уровнем уязвимости и 1 сервер с критической уязвимостью. Из-за такого расчета индекса влияния на верхней позиции окажется строчка с 50 серверами, и, пока я буду устранять уязвимости на этих серверах (а ведь таких серверов/ПК может быть и гораздо больше), может произойти компрометация сервера через критическую уязвимость. Исходя из собственного опыта, в первую очередь я бы начал устранять критические уязвимости и уязвимости с высоким уровнем опасности, т.к. это занимает меньше времени и эффективнее снижает риски ИБ.

Samosvat Jul 11 2018 at 11:13

Да, вы все верно пишете!
Именно по этому мы в ZTC предлагаем группировку и по уязвимым серверам и по уязвимым пакетам.

Группировка по серверам отсортирована именно по максимальному баллу. Это позволяет видеть наиболее уязвимые сервера вверху списка.
Группировка по пакетам отсортирована по индексу влияния. Ну и балл уязвимого пакета тоже виден. При этом у вас есть понимание о масштабах распространения этого уязвимого пакета.

А далее вы сами можете выбирать: или обновлять наиболее уязвимвый сервер или же обновлять уязвимый пакет.

Dganic Jan 3 2019 at 07:51

Спасибо за отличный инструмент. Скажите не удалось ни у кого, портировать это для Windows?