Poznámka autora:Službu testuji v rámci své práce v Bielefeldském IT Service Center (BITS) na univerzitě v Bielefeldu. Tento článek odráží můj osobní pohled na Red Hat Insights. Dále bych rád upřesnil, že jsem členem komunity Red Hat Accelerators.
Po představení Red Hat Insights a zhlédnutí Advisoru je čas podívat se na správu zranitelností Insights.
Na řídicím panelu se zobrazuje pole s názvem Zranitelnost. Obr. 1 ukazuje, že se nás zjevně týká 13 zranitelností. Nyní se na ně můžeme podívat blíže. To se provádí jako obvykle prostřednictvím odkazu v poli nebo prostřednictvím nabídky vlevo.
V pohledu zranitelnosti nás čeká obvyklý tabulkový pohled (viz obr. 2). Zde jsou CVE uvedeny s jejich ID, datem zveřejnění, posouzením dopadu, základním skóre CVSS a počtem postižených systémů. Kromě toho máte možnost přiřadit obchodní riziko a stav pro vybrané nebo všechny CVE (viz žluté označení na obr. 2).
Obchodní riziko vám dává příležitost ohodnotit konkrétní CVE nebo skupinu CVE podle toho, jak by mohly ovlivnit vaši firmu nebo na ni mít negativní dopad (viz obr. 3). Tento stav se může lišit od Dopadu ve druhém sloupci v závislosti na určitých bezpečnostních opatřeních, která již máte zavedena. Stav udává, jak jsou zranitelnosti zpracovávány (viz obr. 4).
Stejně jako v Advisoru získáte detailní pohled s popisem každého CVE, vyhodnocením a přehledem útočných vektorů (viz obr. 5), stejně jako odkazy na znalostní bázi Red Hat, kde jsou podrobné informace o CVE a existující errata lze nalézt.
Posouzení správy zranitelnosti
K dnešnímu dni nemáme aktivní správu zranitelnosti. Snažíme se zajistit určitou úroveň zabezpečení pomocí správy oprav pro RHEL s Ansible, kterou jsem vyvinul pomocí nástrojů zahrnutých v RHEL a Ansible Engine. To zajišťuje, že dostupné bezpečnostní rady Red Hat jsou povinně instalovány na všechny systémy RHEL jednou za měsíc, pokud chybí.
Díky této správě oprav je na připojených testovacích systémech pouze 13 zranitelností a žádná z nich neměla skóre vyšší než osm.
Mezi systémy uvedenými v dashboardu byly systémy testovací infrastruktury, které nejsou napojeny na centrální správu záplat a jsou pouze nepravidelně záplatovány. Statistiky mi zde ukázaly, že riziko je příliš velké a že na tyto systémy se prostě zapomene. Z tohoto důvodu byli nyní tito hostitelé okamžitě zahrnuti do správy oprav.
Zajímavější jsou CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 a CVE-2019-11091, které Statistiky zobrazují některým hostitelům.
Tyto chyby zabezpečení mají společné to, že je nelze odstranit jednoduchou instalací aktualizace. Vzhledem k tomu, že se jedná o virtuální stroje (VM) na clusteru vSphere, je ke zmírnění zranitelností zapotřebí kombinace opatření.
V tomto konkrétním případě stačí postižené virtuální počítače vypnout a znovu zapnout pouze jednou. Tím se do hostovaného operačního systému rozšíří nové funkce CPU a zmírnění je dokončeno.
Musím přiznat, že tyto zranitelnosti by bez pochopení zůstaly dlouho neobjevené.
Nyní musím předpokládat, že v našem prostředí existují další zranitelné systémy. Vzhledem k tomu, že je nemám povoleno propojit se Statistikami, použiji k jejich nalezení skript poskytnutý společností Red Hat. Opravdu oceňuji, že Red Hat poskytuje takové skripty, aby pomohl svým zákazníkům zde. Stále existuje několik společností, které mohou bezpečně následovat tento příklad.
Osobně si myslím, že aktivní správa zranitelnosti má smysl. Zranitelná místa lze nalézt, posoudit a odpovídajícím způsobem řešit pouze průběžnou kontrolou. Zároveň jej lze použít ke kontrole, zda již byla či nebyla přijata opatření ke zlepšení úrovně strukturální bezpečnosti (např. správa oprav).
Obr. 6 ukazuje, že aktuálně neexistují žádné otevřené zranitelnosti. To by mělo být vždy cílem.
Sám jsem si užil test funkce správy zranitelností a nalezená zranitelnost mohla být během krátké doby uzavřena.
[ Zúčastněte se Red Hat Insights Ask Me Anything s produktovým manažerem Jeromem Marcem, zaměřeným na porovnávání systémů s Drift, 23. července 2020. ]