What is a Network Vulnerability Scanner?

Les scanners de vulnérabilité du réseau comparent les listes interminables de vulnérabilités critiques publiées avec l'activité en temps réel du réseau d'une entreprise, en identifiant les voies d'attaque potentielles et en rationalisant la protection de dernière minute. Il s'agit d'un élément clé de toute boîte à outils de sécurité.

Demande de démo En savoir plus

Comment fonctionne un scanner de vulnérabilité réseau

Voici comment fonctionne un scanner de vulnérabilité de réseau.

#1 : Créer un inventaire des actifs

L'identification des actifs est un objectif fondamental lors du lancement d'une analyse. La plupart des outils offrent cette possibilité automatiquement, tandis que d'autres nécessitent l'installation d'agents sur les appareils locaux auxquels vous avez un accès direct.

Les techniques d'analyse passive permettent d'enregistrer discrètement le trafic diffusé sur un réseau donné, tandis que l'analyse active joue un rôle plus important dans l'étape suivante.

#2 : Établir la surface d'attaque

À partir de là, l'analyseur de vulnérabilité du réseau commence à identifier les différentes applications et logiciels fonctionnant sur les hôtes du réseau. Le scanner envoie un flux de paquets spécialisés et évalue soigneusement la réponse de chaque hôte. Le schéma des paquets qui répondent donne alors des indices sur les logiciels connectés au réseau qui sont installés.

Des points de repère tels que les options TCP, la taille des fenêtres et les valeurs de durée de vie sont comparés à une base de données interne de mesures, ce qui permet d'aboutir à une estimation la plus fiable possible.

Cette détection à distance fonctionne parfaitement pour identifier les serveurs et les applications web basés sur cloud.

D'autres analyses actives fonctionnent en installant des agents légers, qui collectent ensuite des données plus approfondies sur les programmes présents sur l'appareil et qui ne sont peut-être pas immédiatement accessibles via le réseau. Cela permet d'obtenir une image plus détaillée pour les outils de sécurité de l'analyseur à l'étape suivante.

#3 : Identifier les menaces potentielles

L'analyseur de vulnérabilité du réseau compare ensuite tous les biens avec les bases de données de vulnérabilité correspondantes. Il s'agit souvent de la base de données interne d'un fournisseur, mais elle peut également provenir de bases de données publiques telles que la base de données nationale sur la vulnérabilité.

Les scanners peuvent également adopter une approche légèrement différente, en vérifiant les configurations logicielles par rapport à une liste de bonnes pratiques, comme l'utilisation de critères d'authentification corrects pour une base de données sensible.

Outre les recoupements avec des exploits connus, un scanner de vulnérabilité moderne doit également rechercher les voies d'attaque potentielles. Cela permet de cartographier les mouvements potentiels d'un attaquant vers des ressources et des bases de données hautement sensibles. Il s'agit là d'un avantage essentiel des analyses locales, car elles détectent les failles locales qui peuvent être utilisées pour l'escalade des privilèges et les déplacements latéraux.

Avec tous ces éléments en place, le scanner est en mesure de cartographier des chemins d'attaque complets ou partiels.

#4 : Générer des rapports

Après avoir évalué la largeur de votre surface d'attaque, chaque vulnérabilité et chemin d'attaque est condensé dans un rapport lisible. À partir de là, c'est à votre équipe de sécurité de mettre en œuvre les changements nécessaires.

Les 2 types d'outils d'analyse de la vulnérabilité des réseaux

Les analyses de vulnérabilité peuvent être effectuées aussi bien de l 'extérieur que de l'intérieur du réseau testé.

Les analyses externes permettent de déterminer les points d'attaque accessibles depuis l'internet public ; les analyses internes, quant à elles, sont capables de trouver des failles au sein d'un réseau qu'un attaquant pourrait utiliser pour se déplacer latéralement après avoir obtenu l'accès.

Scans authentifiés

Les analyses authentifiées, ou créditées, sont nommées ainsi parce qu'elles exigent des identifiants de compte valides ou des droits d'accès au système cible. Ils permettent au processus d'analyse d'inclure :

  • Paramètres spécifiques à l'utilisateur
  • Contrôles d'accès
  • Permissions

Cela signifie qu'il peut trouver des fichiers logiciels malveillants locaux et repérer des configurations de mots de passe faibles. Encore trop de praticiens partent du principe que les analyses authentifiées doivent être exécutées localement.

Cependant, l'évaluation à distance est désormais possible avec de nombreux outils sur le marché. Qu'il s'agisse de cibler des appareils à distance par adresse IP ou d'analyser les services Windows concernés, une fois configurés, les appareils ciblés sont ensuite analysés régulièrement pour détecter les vulnérabilités logicielles.

Cette visibilité accrue signifie que les analyses authentifiées produisent souvent des listes de vulnérabilité plus longues et que le risque de faux positifs est plus élevé. Savoir les transformer en schémas d'attaque potentiels - et donc en processus de remédiation correspondant - est ce qui différencie un bon scanner de vulnérabilité du meilleur.

Analyses non authentifiées

Les analyses non authentifiées sont effectuées en externe et ne nécessitent pas d'informations d'identification ou de droits d'accès spécifiques. Le processus de balayage des ports que nous avons déjà évoqué est un exemple de balayage non authentifié, tout comme la cartographie du réseau.

C'est elle qui fait le gros du travail pour protéger les réseaux vulnérables : elle permet de détecter les failles de codage accessibles au public, telles que les suivantes

Essentiellement, les analyses non authentifiées permettent de découvrir n'importe quelle vulnérabilité impliquant l'entrée d'un utilisateur sur l'internet.

Comment maximiser vos analyses de vulnérabilité ?

En suivant un certain nombre de bonnes pratiques, vos analyses de vulnérabilité peuvent devenir nettement plus productives.

#1 : Adoptez une approche hybride

À première vue, les analyses non authentifiées semblent bien plus utiles. Comme ils sont peu gourmands en ressources, il est plus facile de les exécuter souvent, surtout dans l'urgence.

Mais pour les organisations qui utilisent des fournisseurs de gestion des identités et des accès, le chargement des informations d'identification pour le balayage authentifié peut être beaucoup plus rapide. Certains outils leaders sur le marché permettent désormais une intégration rapide des informations d'identification, ce qui signifie que les analyses d'informations d'identification peuvent être effectuées à un rythme similaire à celui des analyses d'informations non autorisées.

Cela permet de tester de manière beaucoup plus approfondie la sécurité du réseau interne. Par ailleurs, certains outils d'analyse sont désormais en mesure de tester la résistance des appareils au bourrage d'identifiants en tentant de se connecter avec des identifiants par défaut et des identifiants à haut risque.

Alors que les analyses brouillent les frontières entre la détection de la vulnérabilité et les tests de pénétration, optez pour une efficacité maximale.

#2 : Choisir la bonne fréquence

Plus le nombre d'analyses est élevé, plus les chances de découvrir une mauvaise configuration ou une vulnérabilité de sécurité avant qu'elle ne soit exploitée dans la nature sont grandes. Cependant, un nombre trop élevé de ces derniers risque d'entraîner une instabilité du système et une augmentation des coûts. C'est pourquoi il est préférable de choisir des moments appropriés pour effectuer des balayages plus petits et segmentés.

Cela vous permet également de repérer les faux positifs, car il y a moins de bruit dans les analyses ciblées. Les analyses les plus opportunes sont effectuées juste après la mise en œuvre de nouveaux contrôles. Cette deuxième analyse confirme que les nouveaux contrôles et correctifs ont résolu le problème et qu'aucun nouveau problème n'a été introduit.

Ces analyses à petite échelle sont également idéales pour évaluer tout événement de collaboration de fichiers malveillants.

En ce qui concerne la conformité de l'industrie, les exigences spécifiques peuvent varier :

  • Aucun délai n'a été fixé : SOC 2 et ISO 27001
  • Tous les trimestres ou une fois par an : HIPAA, PCI DSS et GDPR

Notez toutefois que ces délais ne conviennent pas nécessairement à toutes les entreprises, car ils dépendent de votre tolérance au risque et de votre point de départ.

Implémentez vos modifications post-scan avec Check Point Infinity

Check Point Infinity fournit un service de support géré pour les plateformes d'évaluation de la vulnérabilité du réseau dans l'ensemble du secteur : de Microsoft Defender à Tenable One en passant par les scanners de vulnérabilité propres à Check Point. Vous pouvez compter sur les analyses continues de nos experts, les améliorations de la sécurité du réseau et les rapports mensuels. Découvrez comment nous rationalisons la gestion de la vulnérabilité dès aujourd'hui.

Commencez

Prévention avancée des menaces

Sécurité de l’IdO

Pare-feu de nouvelle génération

Sujets connexes

Qu'est-ce que l'analyse de vulnérabilité ?

Qu'est-ce qu'un centre d'opérations de sécurité (SOC) ?

Qu'est-ce que l'IPS ?

Qu'est-ce qu'une attaque « zero-day » ?

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK