主攻弱點管理層面防護的Qualys公司,旗下產品目前都是以SaaS的雲端服務型式,用戶可隨時申請租用,系統的軟硬體不須使用單位自行架設與與維護。我們這次測試的是網站惡意程式監控服務Malware Detection Service(MDS)。

它的作用是定期偵測特定網站是否包含惡意程式。而在偵測技術上,根據Qualys官網的介紹,MDS主要是用了特徵碼比對和異常行為分析,而且對那些受到監控的網站上,並不需要額外安裝特製的軟體或置入程式碼。

MDS之前免費,現在則開始收費,這項服務臺灣目前沒有廠商代理,所以我們透過線上申請30天試用來驗證。

系統會以電子郵件寄給你一封通知MDS服務已啟用的信,當開啟信中的超連結之後,就會進到Qualys Portal的網站,這裡也就是MDS網頁主控臺的頁面,接著設定登入密碼,即可完成管理者身分設定(帳號是你申請的電子郵件信箱)。

提供自動化排程掃描與警示機制

第一次登入MDS時,Dashboard頁面的統計圖表區中間,就會出現「You have no malware results as of today. Please add a site to begin malware detection.」的訊息,並附上Add Site的按鈕,讓你知道現在就要用滑鼠按下去設定。接下來,只需要三個步驟,就可以對指定的網站開始執行監控任務。

我們可以手動輸入打算監控的網站名稱、網址,並選定掃描的網頁數量與掃描頻率高低,就可以開始排程執行。MDS也允許使用者用上傳CSV檔來匯入所需監控的網站資訊,此時網頁上會提示CSV的欄位格式,需依照網址、網站名稱、掃描頁面數量和掃描頻率的順序排列。上傳CSV時,MDS會驗證格式是否符合,除了欄位順序錯誤,若網址沒有加上http://(需全部小寫)、欄位順序錯誤,就會因通不過系統檢查,而無法上傳。

第二步是設定掃描排程,我們可以設定的是掃描頻率,例如只掃描一次或每日、週、月掃描一次,以及開始執行的時間與所在的時區。

最後,會出現回顧與確認頁面,按下Finish的按鈕後,即完成網站設定。MDS即會依照設定,自動定期掃描你所指定的網站。

以後若要新增網站,也是和上述一樣操作,登入網頁主控臺後,在Dashboard頁面的左上角,按下Add Site的按鈕後,只需要三個步驟的操作,就可以開始執行監控任務。整體而言,MDS雖然目前只提供英文的操作介面,但在監控網站設定上,仍算是簡易好上手。

在MDS試用版服務下,我們最多只能新增20個網站,而且將這些網址設定之後,不能自行刪除或更換(但可以設定啟動或關閉掃描作業)。

當我們完成設定一段時間後,若MDS偵測到受監控的網站有問題,會立即寄出電子郵件通知你,信件主旨也很一目了然,是:「ALERT! Qualys Found Malware On Your Web Site」,會提到系統目前檢查到的惡意程式是在哪一個網站,而要檢視詳情,需登入MDS主控臺查看,而這封信中不會包含MDS的登入網址。

為了驗證成效,我們在MDS上加入20個臺灣本地的網站,但30天下來,所偵測到的幾乎都是低嚴重性事件,也就是系統發現被監控的網頁上含有連至惡意網頁的連結。

可隨時了解受監控網站的安全狀態

在MDS主控臺上,Dashboard頁面會以長條圖呈現7天內或14天內的網站安全狀態,並顯示已被惡意程式感染的網站數量,與偵測出來的惡意程式統計數字,還有已完成與即將進行的掃描。

要了解MDS發現的惡意程式資訊,管理者可以從Scan頁面去查看每一次掃描後所發現的網站安全狀態,或是到Report頁面,由統計報表的形式去看特定網站內被MDS偵測到的惡意程式數量分布,以及每一個事件所牽涉到的細部資訊(Site Report和Summary Report)。

這裡的Report頁面可根據不同掃描作業、網站等角度來即時產生統計報表內容,而且可以匯出成PDF或HTML等格式。但同時間內使用者最多只能看3個報表頁面,若數量超過,系統會提示需關掉其他頁面或建議你執行報表匯出功能。

此外,若將管理者帳號登出MDS後再登入,你會發現這些剛剛產生的報表都不會保留在MDS系統內,若要比對3份以上報表的內容,仍要借助報表的檔案匯出機制。

對於所監控的網站安全狀態,管理者可以針對特定網站,產生3種對應的統計報表。

上述關於報表內容無法儲存在MDS內的狀況,我們原本以為是試用版的關係,但後來發現是因為有方法可以做到的。我們可以在報表產生後,按下Save Report的按鈕,這時除了將內容匯出成檔案,也會同時將報表儲存在Report List頁面上。若還是不行,可以到Admin模組下去檢視使用者帳號下的權限,看看是否啟用Report Permission。雖然可以對報表執行檢視、加標籤與刪除,但這裡仍有一些功能是無法作用的,例如寄送報表,很可能是正式付費使用者才能執行的部分。

可將管理權限授與不同使用者

跳脫MDS功能的操作,Qualys Portal的網站也提供Admin模組,讓管理者可以將本身的操作權限,分配給其他使用者。新增使用者時,同樣是以電子郵件信箱作為登入帳號,而登入密碼的設定則是在對方以自己電子郵件信箱登入時,選擇按下「Forgot Password」,就會由系統寄出身分認證信來開啟相關的設定程序。

若沒有特別配置,新增的使用者帳號權限預設是Default Access Role,只能登入MDS使用介面,但所有的監控資訊都無法看到,也沒有可設定的操作項目,除非管理者授權給他足夠的角色權限與物件存取。而管理者帳號權限預設是Malware Manager,但在Admin模組中我們看到仍有一些權限是預設未選取、需管理者自己手動勾選的項目,例如報表(發布、建立、編輯、刪除)與功能存取(使用者介面與API)。

 

支援用CSV檔匯入欲監控的網站

建立欲監控的網站清單時,除了一次建立一個之外,MDS也支援以匯入CSV檔的方式,來大量新增。

 

提供3 種網站安全掃描結果的統計報表

對於所監控的網站安全狀態,管理者可以針對特定網站,產生3種對應的統計報表。

 


 
產品資訊 建議售價●第1個網站免費,2個以上網站每個每年249美元起(美國地區)原廠●Qualys 網址●www.qualys.com 可辨識的威脅類型●異常行為、網路信譽、病毒、惡意網址嵌入 功能●網站行為分析、網站靜態分析、自動警示 事件嚴重等級●資訊(3種)、低、中(16種)、高(6種),共26種 報表匯出格式●ZIP(壓縮後的HTML)、PDF與加密PDF
 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容