Т.Халтар| CISA/CISM, профессор
Qualys-ийн Монгол дахь албан ёсны төлөөлөгч
Мэдээллийн Аюулгүй Байдлыг хангах
үүлэн шийдэлд ажиллах
2015.01.29

Танилцуулга
2
• Ажиллагааг эхлүүлэх анхан шатууд
•Үйлчилгээг тохируулах
•Хэрэглэгчийг нэмэх
•Хийх ажиллагааны хүрээг тодорхойлох
•Сканерыг суулгах, хуваарь тохируулах
•Аюулгүй байдлын аудит хийж эхлэх
•Анхны скан, үр дүнг тайлж унших
•QualysGuard-ийн хэрэгслүүд
•Сүлжээний зургаа гаргах, эд хөрөнгөө бүртгэх, ангилах
•Тохируулсан нэгбүрчилсэн скан хийх
•Аюулгүй байдлыг удирдах, тайлан гаргах
•Үндсэн үйл явцууд, аюулгүй байдлын аудит, тайлан
•Нийцлийг шалгах
•Эмзэг байдал, эрсдлийг удирдах
•Эрсдлийн удирдлагын системд тохируулга хийх

ҮНДСЭН ҮЕ ШАТУУД
1. Сүлжээгээ тодорхойлох
a) Сүлжээнд байгаа бүх төхөөрөмжийг адилтган тод-лох
b) Хост бүрийг дугаарлаж ангилж гаргана.
c) Сүлжээнд нөлөөлөх нөлөөллийг тодорхойлно.
“Qualys Potential Impact to Systems” баримтыг татаж авч судална
2. Автоматжуулах
a) Сканы хуваариа тогтоож автомат ажиллагааны тохируулга
b) Сүлжээг тодорхойлох скан, эмзэг байдлын скан, эрсдлийг бууруулах
тикет үүсгэх, тайлан гаргах ажиллагааг автоматжуулах
3. Уялдуулах
a) Сүлжээнд ашиглаж буй хамгаалалтын бусад төхөөрөмжүүд, тухайлбал
IPS, патч нөхөөсийн удирдлага, SIM гэх мэт 20 гаруй шийдэлтэй уялдуулж
нийцүүлэх боломжийг ашиглах
4. Сканерыг сүлжээний хэсгүүдэд байршуулах
a) Тархай бутархай хэсгүүдэд QualysGuard Scanner Appliances –ийг тараан
байршуулах
5. Эрсдэл, эмзэг байдал, нийцлийг тайлагнах (Security Risk,
6. Business Risk, and CVSS scores )
a) Security risk – хост бүр дээр илэрч буй эмзэг байдал, холбоотой эрсдлүүд
b) Business risk – хост бүрийн үнэ цэнэтэй хамааруулсан эрсдэл
c) CVSS – Эмзэг байдлын үнэлгээ шатлал

Ажиллагааг эхлүүлэх анхан шатууд
Анхны хандалт
 Хэрэглэгчийн бүртгэлийг бүрэн хийх
 Home page-аа сайн судлах
 Хостын эд хөрөнгүүдийг тод-лох, үзэх, хостуудыг нэмэх
 Хостууд дээр ажиллагаа хийх
Хэрэглэгчийн аккаунт нэмэх
 Хэрэглэгчийн үүрэг роль, давуу эрхийг тодорхойлох.
 Дэд хэрэглэгчдийг нэмэх, мэдээллийг шалгах
Хэрэглэгчийн үйл ажиллагааны хүрээг тогтоох
 Эд хөрөнгийн бүлэг болон банкны нэгжүүдийг нэмэх
 Хэрэглэгчийн аккуант нэмэх
 Хэрэглэгчийн болон эд хөрөнгийн ангиллын мэдээллийг үзэх, шалгах,
Сканерыг суулгах, тохируулах
 Инсталл хийх аккаунтыг нэмэх
 Бодит сканер татаж авах
 Виртуаль сканер татаж авах
Хэрэгслүүдийг удирдах
Сканеруудаа үзэх
Сканерын бүтээмжийн хүснэгтийг шалгах
Сканерт хэрэглэгч хандах хандалтыг баталгаажуулах

ЭХНИЙ ХАНДАЛТ

Хэрэглэгчийг бүртгэх
•Аккуантаа бүрэн бүртгэсний дараа эхлэхийн өмнө тохируулгуудаа
шалгана.
• Захиалгаа үүсгэж бүртгүүлсний дараа Qualys Registration - Start Now
гэсэн мессаж хүлээж авна. Нэг удаагийн линк, ID, нууц үг хамт ирнэ.
•Qualys Registration - Start Now эмэйл дахь холбоосоор орж Welcome
•Маягтыг гаргана.
•Түүгээр дамжин логин хуудасруу орж ID, нууц үг
•Зааврын дагуу маягтыг гүйцээн бөглөж нууц үгээ солино.
•Qualys –аас баталгаажуулсан захиа ирнэ.
Шинэ хэрэглэгч нэмэх бүрт тухайн хэрэглэгч үүнтэй ижил ажиллагааг
гүйцэтгэнэ. Үйлчилгээний нөхцөл гэдгийг зөвхөн үндсэн аккаунтын
хэрэглэгч зөвшөөрч тэмдэглэсэн байна.

Үндсэн хуудас
Сумаар заасан товчийг дарж нууц үгээ солино. Бусдыг нь өөрийн үзэмжээр
-Change your password – Нууц үгээ солих
-Change your Home Page – Үндсэн хуудсаа өөрчлөх
- View your account settings – аккаунтыг тохиргоог харах
- Return to the Quick Start Guide – Хурдах эхлэх зааварлуу буцах

Хостын эд хөрөнгөө харах
• Анх орж байгаа бол аккаунтын хостыг IP хаягаа хийж бүртгэнэ.
• Мөн эд хөрөнгийн таг онцлогууд, эзэмшигчийг оруулна.
• Хостуудыг нэмсний дараа дэлгэц ингэж харагдана.
Энэ тэмдгийг дарж хостын мэдээллүүдийг үзнэ.

Хостын эд хөрөнгө
• Хостын эд хөрөнгийн жагсаалтанд аккаунтад хамааралтай
бүх хостыг харуулна.
• Худалдан авсан захиалгад хамаарах бүх IP-г Account info
хэсгээс үзэж болно. Нэмж IP худалдан авах бол Qualys
түнштэй холбогдоно.

Хост нэмэх
• Хост нэмэхийн тулд New > IP Tracked Hosts гэж орно. (Хэрэв
танай сүлжээн дахь хостууд динамик IP хаягуудтай бол DNS
юмуу NetBIOS мөшгөх аргуудаас сонгох боломжийг та олж
харна. Удирдлагын интерфейсээ ашиглан шинэ хостуудаа
оруулна.

Хостын IP хаягууд
• Host IP хэсэгт IP хаяг, зэрэглэлийг оруулна.
Анхан шатны ажиллагаанууд Ь.Халтар
Host Attributes хэсэгт тухай хостын онцлогуудыг оруулж болно .

Хост дээр ажиллах
• Оруулсан аль нэг хостоо сонгоод Actions цэсийг ашиглаж
ажиллагаа хийнэ. Хостын онцлог шинж – attributes-ийг
өөрчилж хостыг нэмж хасаж скан хийх бүлгийг нэмж болно.

IP-г захиалгаас хасах
• IP хаягийг захиалгаас хасаж болох бөгөөд хассаны дараа
тухай хостын өгөгдөл дахин сэргэхгүй. IP хассаны үр дагавар:
– • IP нь Эд хөрөнгийн Asset Groups-ээс хасагдана.
– • Төлөвлөсөн скан идэхвгүй болно
– • Хостын өгөгдөл автоматаар цэвэрлэгдэж Тикет болон хасалтууд
устгагдана.

Виртуаль хост нэмэх
• Сүлжээний тохируулгаас хамааран виртуаль хост нэмж болно.
• Виртуаль хостын тохируулга нэмснээр бүх IP хаягуудыг
скандаж чадаж байна уу, илрүүлэлт нэмэгдэхүү гэдгийг
баталгаажуулан шалгаарай.
• Вируталь хостыг үзэхийн тулд Assets > Virtual Hosts хэмээн
орно.
• Виртуаль хостын жагсаалтруу ороод шинэ хост нэмж болно.
Үүний тулд New > Virtual Host гэж орно.

Сканерт хандах сүлжээний хандалтыг шалгах
• About хуудсаас Гадаад сканер болон сканер хэрэгслийн тухай
мэдээллийг судална.
• Танай сүлжээ сканер болон скандах гэж буй IP-ийн хоорондын
хандалтыг зөвшөөрч буй эсэхийг шалга.
• Гадаад сканер - External Scanners. Сүлжээний хүрээнээс
гадуурх IP-г шалгаж буй гадаад сканер нь Qualys-ийн Secure
Operating Centers (SOCs)-д байрлана. Бай IP-руу хандах
боломжтой байгаа тохиолдолд шалгалт хийгдэнэ.
• Сканер хэрэгсэл. Энэ нь дотоод шалгалтад зориулагдсан
бөгөөд сүлжээний дотор суулгана. Сканер хэрэгсэл нь
сүлжээний дотор байгаа бай IP-д хандах боломжтой байгаа
тохиолдолд шалгалт хийнэ. (Help > About-аас үз).

Нууц үгийн тохируулгыг шалгах
• Your Qualys login ID is permanent and assigned by Qualys. Your
password is a randomly generated “strong” password. You can
change your password if you wish at any time from your account
menu.
Менежер хэрэглэгч хэрэглэгчийн нууц үгийн тохируулгыг удирдах боломжтой.
Идэвхжүүлэхийн тулд Users > Setup > Security гэж ороод“Allow user
defined passwords” гэдгийг сонгоно.
Хийсэн тохируулга бүх хэрэглэгчийн нууц үгэнд хамааралтай.

ХЭРЭГЛЭГЧИЙН АККАУНТ НЭМЭХ

Хэрэглэгчийн үүрэг роль болон давуу эрх

Хэрэглэгчийн үүрэг роль болон давуу эрх
Үүрэг роль Эдлэх эрхүүд
Менежер хэрэглэгч
(АБ-ын дарга, АБ-ын
менежер)
Бүх эд хөрөнгөд хандах хамгийн давуу эрхтэй хэрэглэгч
Сүлжээг тандах(зураглал), аудит, тайлан гаргах, эрсдлийг бууруулах
Эд хөрөнгө, хэрэглэгчийг удирдах
Захиалгын бодлого тодорхойлох, нийтлэг тохируулга
Аудитор (АБ-ын
менежер, гадны зөвлөх
г.м)
Бодлогын нийцлийн модуль захиалсан үед байна.
•Бодлого, хасалт хийх хүсэлт, нийцлийн тайланг удирдах
•Нийцлийг хангах ѐстой бүх хостод хандах
Нэгжийн менежер
(Газрын дарга, салбар
эрхлэгч, бүсийн зах-л)
•Сүлжээг тандаж зураглал гаргах, аудит скан, тайлан гаргах, эрсдлийг бууруулах
•Өөрийн бүлэг дахь эд хөрөнгөд хандах (IP, домэйн, програмууд)
•Нэгжийн эд хөрөнгө, хэрэглэгчийг удирдах
Сканер (АБ-ын
инжинер, МТ-ийн
админ, гадны зөвлөх)
•Сүлжээг тандаж зураглал гаргах, аудит скан, тайлан гаргах, эрсдлийг бууруулах
•Өөрийн бүлэг доторхи өөрт ноогдуулсан эд хөрөнгөд хандах (IP, домэйн,
програмууд)
Уншигч (гүйцэтгэх ажил-
тан, гадны зөвлөх, аудитор,
МТ-ийн үнэлгээчин)
•Тайлагнах, эрсдлийг бууруулахын тулд өөрийн аккаунт дахь эд хөрөнгөд хандах
Холбогдогч (монито-
ринг, хяналтын төхөө-
рөмж, аудитор, анхаа-
руулгын систем г.м)
•Хэрэглэгчийн интерфейсэд хандахгүй
•Скан болон зураглалын талаар эмэйл, өгөгдөл хүлээж авах
•Эд хөрөнгийн талаарх мэдэгдлийг хүлээн авах
•Холбогдогч хэрэглэгчийн аккаунтийг менежер хэрэглэгч үүсгэж удирдлагын
зорилгоор ашиглана.

Эд хөрөнгийн бүлэг болон нэгжүүд

Эд хөрөнгийн бүлэг болон нэгжүүд
(зөвлөмж)
• Хамгийн багадаа нэг хэрэглэгчийн аккаунт нэмэх
– Менежерээс гадна хамгийн багадаа нэг шинэ хэрэглэгч нэмэх
– Ямар нэг нөөц менежерийн аккаунт нэмэх нь зөв
– Үндсэн менежер хандаж чадахаа больсон үед уг нөөц
менежерээр дамжуулан сэргээж болно
• Хэрэглэгчийг үүрэг, хариуцлагатай нь хамт нэмэх – менежер,
нэгжийн менежерүүд
– Эдгээр хэрэглэгч эхлэлийн шатанд чухал үүрэгтэй бөгөөд цааш нь
өөр хэрэглэгч нэмэх эрхтэй
• Уян хатан шийдэл бий болгох
– Үүрэг хариуцлагыг өөр хэрэглэгчдэд төлөөлүүлснээр өөрчлөгдөн
буй орчиндоо амархан дасан зохицох уян хатан шийдэл үүсгэж
чадна.

Менежер нэмэх
Users-д ороод New –г сонгоод мэдээллийг оруулна

Менежер нэмэх
User role гэдэгт Manager-ийг сонгоно.
Notification Options гэдэгт email notification-ийг сонгоно. Дараа уг хэрэглэгч
өөрөө тохируулна.
Аккаунтийг сануулсны дараа хандалтын мэдээлэл агуулсан бүртгэлийн
эмэйл уг хэрэглэгчид очно

Хэрэглэгчийн аккаунтийн тохируулга
Хэрэглэгчийн аккаунт Тодорхойлолт
General Information Нэр, холбоо барих өгөгдөл г.м ерөнхий мэдээлэл
User Role Хэрэглэгчийн үүрэг роль болон нэгж. Нэгжийн менежерт заавал нэгжийг
Options: Notification Эмэйлээр мэдэгдэх хэд хэдэн хувилбар байдаг. Түүнээс сонгоно
Options: SAML SSO Qualys нь хэрэглэгчийг таньж баталгаажуулахын тулд SAML SSO –г
ашиглахыг дэмждэг. Менежерүүд энэ хувилбарыг идэвхжүүлэх
боломжтой.
SAML ашиглан хандагч хэрэглэгчид API хандалт байхгүй.
Options: VeriSign Identity
Protection (VIP)
Qualys мөн VeriSign Identity Protection (VIP) –ын – хүчин зүйлтэй таньж
баталгаажуулах механизмыг ашигладаг. Менежер бүх хэрэглэгч юмуу
аль нэг чухал хэрэглэгчийн хувьд энэ хувилбарыг ашиглаж болно.
Asset Groups Зөвхөн сканер, Уншигч, Холбогдогчид ашиглана. Эд хөрөнгийн бүлгийг
тогтоох, ангилахын тулд энэ хэсгийг ашиглана. “Adding Scanners and
Readers”-ийг үзнэ үү.
Permissions Зөвхөн нэгжийн менежер, Сканер, Уншигчид үзэгдэнэ. Дараах
зөвшөөрлүүдээс сонгоно:
-Add assets (Unit Manager)
-Create/edit remediation policy (Unit Manager)
-Create/edit authentication records/vaults (Unit Manager)
- Create option profiles (Unit Manager, Scanner)
- Create/edit virtual hosts (Unit Manager, Scanner)
- Purge host information/history
- Manage compliance
- Manage web applications

ХЭРЭГЛЭГЧИЙН АЖИЛЛАГААНЫ ХҮРЭЭГ ТОГТООХ

ХЭРЭГЛЭГЧИЙН АЖИЛЛАГААНЫ ХҮРЭЭГ ТОГТООХ
• Сүлжээгээ болон түүнийг удирдаж буй ажилтнуудаа сайн
судалж ойлгох. Хэрэглэгчийн одоо болон ирээдүйн тоог үнэлж
тэдний үүрэг хариуцлагыг тодорхойлж зохих эд хөрөнгийн
бүлэг, нэгжид хамааруулж өгнө.
• Эд хөрөнгийг ангилах зааварыг сайтар судалж дагах. Эд
хөрөнгийг бүлгийг үүсгэх үедээ тэдгээрийг нэрлэх, зохион
байгуулах дүрмийг ашиглана. Жишээлбэл сүлжээний
зураглалаас эд хөрөнгийн удирдлагын ажлын урсгалыг гаргаж
судалсны үндсэн дээр эд хөрөнгүүдийг бүлэгт ангилж болно.
• Эд хөрөнгийн ангилал, бүлгийг нэмэх
• Хэрэглэгчийн аккаунт нэмэх
• Хэрэглэгчид болон тэдэнд хамаарах эд хөрөнгийг бүлгийг
нягтлах

Эд хөрөнгийн бүлгийг нэмэх
• Хэрэглэгчийг нэмэхийн өмнө эд хөрөнгийг бүлгүүдийг
үүсгэсэн байх ёстой.
• Эд хөрөнгийн бүлгийг нэмэхийн тулд Assets > Asset Groups гэж
ороод жагсаалтаас New > Asset Group-ийг сонгоно
Эд хөрөнгийн үзүүлэлт Тохируулга
IPs Скандах бай болох IP хаягууд/зэрэглэл
Domains Сүлжээний зураглал гаргахад ашиглах домэйнууд
Scanner Appliances Банкны сүлжээн доторхи Интранет дахь
төхөөрөмжүүдийг скандан шалгах Сканер програм.
Захиалгад дотоод сканерыг оруулсан тохиолдолд
энэ хэсэг гарч ирнэ.
Business/CVSS Info Тайланд бизнесийн эрсдлийг тооцоолоход ашиглах
бизнеси мэдээлэл, түүний дотор бизнест нөлөөлөх
нөлөөллийн түвшин. Эд хөрөнгийн шинэ бүлэгт
“High” гэсэн түвшинг автоматаар өгдөг.

Сканер болон Уншигчийг нэмэх
• Сканер, Уншигчийн хувьд та тэдгээрийн эд хөрөнгөд хандаж скандан
шалгах эрхийг баталгаажуулна. Үүний тулд баруун талд байх assigned asset
groups гэдэгрүү зүүн талд байх asset group-ээс нэмнэ.

Бизнес нэгжүүдийг нэмэх
• Бизнес нэгж нь эд хөрөнгийн бүлгээс бүрдэх учир эхлээд эд хөрөнгийн бүлгийг
үүсгэсэн. Одоо бизнес нэгжүүдээ нэмнэ. Нэгжийн менежерийг нэмэх үедээ үүнийг
хийж болно. Эсхүл Users > Business Units-д ороод жагсаалтаас New > Business Unit

Нэгжийн менежерийг нэгжид нэмэх
• Шинэ юмуу байгаа нэгжид нэгжийн менежерийг нь нэмж болно.
Нэгжийн менежер зөвхөн нэг нэгжид хамаарах бөгөөд цааш нь өөр
хэрэглэгчийг нэмэх эрхтэй. Нэмэхийн тулд Users –д ороод
аккаунтийн жагсаалтаас New > User –ийг сонгоно. Цааш нь зохих
тохируулгуудыг хийнэ.

Хэрэглэгчийн шатлал
Хаан банкны бизнес бүтцийн дагуу хэрэглэгч нараа жагсаасан жагсаалтыг
дараах шатлалд үзүүлсэн.
Users хэсэгрүү орж Edit business unit – ээр хэрэглэгч нарыг шилжүүлж болно.

Сканерыг суулгах, тохируулах
Танай байгууллагад сканер
төхөөрөмж шаардагдахгүй.
Qualys-ийн веб сайтаас сканер
програмыг татаж авч дотоод
сүлжээндээ суулгана.