What is a Network Vulnerability Scanner?

Gli scanner di Rete Vulnerabilità confrontano gli elenchi infiniti di vulnerabilità critiche pubblicate con l'attività in tempo reale della rete di un'azienda, rilevando potenziali percorsi di attacco e semplificando la protezione dell'ultimo minuto. Sono un componente chiave all'interno di ogni cassetta degli attrezzi per la sicurezza.

Richiedi una Demo Scopri di più

Come funziona uno scanner di vulnerabilità della rete

Ecco come funziona uno scanner di vulnerabilità della rete.

#1: Crea l'inventario delle risorse

L'identificazione delle risorse è un obiettivo fondamentale quando si avvia una scansione. La maggior parte degli strumenti offre questa funzionalità automaticamente, mentre altri richiedono l'installazione di agenti sul dispositivo locale a cui si ha accesso diretto.

Le tecniche di scansione passiva sono in grado di registrare silenziosamente il traffico trasmesso intorno a una particolare rete, mentre la scansione attiva svolge un ruolo maggiore nella fase successiva.

#2: Stabilire la superficie di attacco

Da lì, lo scanner di vulnerabilità della rete inizia a elaborare le diverse app e software in esecuzione sugli host della rete. Lo scanner invia un flusso di pacchetti specializzati e valuta attentamente la risposta di ciascun host. Il modello di risposta ai pacchetti fornisce quindi indizi su quale software connesso alla rete è installato.

Punti di riferimento come le opzioni TCP, le dimensioni delle finestre e i valori di durata vengono confrontati con un database interno di metriche, portando infine a un'ipotesi di massima attendibilità.

Questo rilevamento remoto funziona alla grande per identificare server e app Web basati su cloud.

Altre scansioni attive funzionano installando agenti leggeri, che quindi raccolgono dati più approfonditi sui programmi sul dispositivo che potrebbero non essere immediatamente accessibili tramite la rete. Ciò fornisce un quadro più approfondito per gli strumenti di sicurezza dello scanner nel passaggio successivo.

#3: Identificare le potenziali minacce

Lo scanner di vulnerabilità della rete confronta quindi tutte le risorse con i database di vulnerabilità corrispondenti. Si tratta spesso di un database interno di un fornitore, ma può anche essere preso da archivi pubblici come il National vulnerabilità Database.

Gli scanner possono anche adottare un approccio leggermente diverso, come il controllo delle configurazioni del software rispetto a un elenco di best practice, come i criteri di autenticazione corretti utilizzati per un database sensibile.

Oltre a qualsiasi sovrapposizione con exploit noti, un moderno scanner di vulnerabilità dovrebbe anche eseguire la scansione di potenziali percorsi di attacco. In questo modo viene mappato il mapping dei potenziali movimenti di un utente malintenzionato verso risorse e database altamente sensibili. Questo è un vantaggio chiave per le scansioni locali, in quanto rilevano difetti locali che possono essere utilizzati per l'escalation dei privilegi e il movimento laterale.

Con tutti questi elementi, lo scanner è in grado di mappare percorsi di attacco completi o parziali.

#4: Genera rapporti

Dopo aver valutato l'ampiezza della superficie di attacco, ogni vulnerabilità e percorso di attacco viene condensato in un report leggibile. Da qui, spetta al tuo team di sicurezza implementare le modifiche necessarie.

I 2 tipi di strumenti di scansione delle vulnerabilità di rete

Le scansioni delle vulnerabilità possono essere eseguite sia dall'esterno che dall'interno della rete che viene testata.

Per una rapida panoramica, le scansioni esterne sono utili per determinare i punti di attacco a cui è possibile accedere dalla rete Internet pubblica; Le scansioni interne, d'altra parte, sono in grado di trovare difetti all'interno di una rete che un utente malintenzionato potrebbe utilizzare per spostarsi lateralmente dopo aver ottenuto l'accesso.

Scansioni autenticate

Le scansioni autenticate, o con credenziali, vengono denominate in base alla necessità di credenziali dell'account valide o diritti di accesso al sistema di destinazione. Lasciano che il processo di analisi includa:

  • Impostazioni specifiche dell'utente
  • Controlli di accesso
  • Autorizzazioni

Ciò significa che è in grado di trovare file malware locali e individuare configurazioni di password deboli. Ancora troppi professionisti presumono che le scansioni autenticate debbano essere eseguite localmente.

Tuttavia, la valutazione remota è ora possibile in molti strumenti presenti sul mercato. Che si tratti di individuare il dispositivo in remoto in base all'indirizzo IP o di eseguire la scansione dei servizi Windows pertinenti, una volta configurati, i dispositivi presi di mira vengono scansionati regolarmente alla ricerca di vulnerabilità del software.

Questa maggiore visibilità significa che le scansioni autenticate spesso producono elenchi di vulnerabilità più lunghi e c'è un rischio maggiore di falsi positivi. Sapere come inserirli in potenziali modelli di attacco e, quindi, un corrispondente processo di correzione, è ciò che separa un buon scanner di vulnerabilità dal migliore.

Scansioni non autenticate

Le scansioni non autenticate vengono eseguite esternamente e non richiedono credenziali o diritti di accesso specifici. Il processo di scansione delle porte di cui abbiamo già parlato è un esempio di scansione non autenticata, così come la mappatura della rete.

È questo che fa gran parte del lavoro pesante per la protezione della rete vulnerabile: consente il rilevamento di difetti di codifica accessibili al pubblico come:

Essenzialmente, le scansioni non autenticate consentono di scoprire qualsiasi vulnerabilità che coinvolga l'input dell'utente da Internet.

Come massimizzare le scansioni delle vulnerabilità

Seguendo una serie di best practice, le scansioni delle vulnerabilità possono diventare significativamente più produttive.

#1: Adotta un approccio ibrido

In superficie, le scansioni non autenticate sembrano molto più utili. Poiché richiedono poche risorse, è più facile eseguirli spesso, soprattutto in fretta.

Tuttavia, per le organizzazioni che utilizzano provider di gestione delle identità e degli accessi, il caricamento delle credenziali per la scansione autenticata può essere molto più rapido. Alcuni strumenti leader di mercato ora consentono un rapido onboarding delle credenziali, il che significa che le scansioni con credenziali possono essere eseguite a un ritmo simile a quelle non autorizzate.

Ciò consente di eseguire test di sicurezza della rete interna molto più approfonditi. Oltre a questo, alcuni strumenti di scansione sono ora in grado di testare la resilienza del dispositivo al credential stuffing tentando di accedere con credenziali predefinite e ad alto rischio.

Poiché le scansioni confondono i confini tra rilevamento delle vulnerabilità e test di penetrazione, scegli la massima efficienza.

#2: Scegli la frequenza corretta

Più scansioni vengono eseguite, maggiore è la possibilità che venga rilevata una configurazione errata o una vulnerabilità di sicurezza prima che venga sfruttata in natura. Tuttavia, troppi rischi sono l'instabilità del sistema e l'aumento dei costi. Questo è il motivo per cui è meglio scegliere i momenti appropriati per eseguire scansioni più piccole e segmentate.

Questo ti aiuta anche a individuare i falsi positivi, poiché c'è meno rumore all'interno delle scansioni mirate. Le scansioni più tempestive vengono effettuate subito dopo l'implementazione di nuovi controlli. Questa scansione secondaria conferma se i nuovi controlli e le nuove correzioni hanno risolto il problema e verifica che non siano stati introdotti nuovi problemi.

Queste scansioni su scala ridotta sono ideali anche per valutare eventuali eventi dannosi di collaborazione sui file.

Per quanto riguarda la Conformità del settore, le esigenze specifiche possono variare:

  • Non sono stati indicati i tempi: SOC 2 e ISO 27001
  • Da trimestrale a una volta all'anno: HIPAA, PCI DSS e GDPR

Tuttavia, tieni presente che questi tempi non sono necessariamente adatti a tutte le aziende, dipende dalla tua tolleranza al rischio e dal tuo punto di partenza.

Implementa le modifiche post-scansione con Check Point Infinity

Check Point Infinity fornisce un servizio gestito di supporto per le piattaforme di valutazione delle vulnerabilità di rete in tutto il settore: da Microsoft Defender, a Tenable One e agli scanner di vulnerabilità di Check Point: stai tranquillo nelle scansioni continue dei nostri esperti, nei miglioramenti della sicurezza della rete e nei report mensili. Approfondisci il modo in cui semplifichiamo la gestione delle vulnerabilità oggi.

Per iniziare

Advanced Threat Prevention

IoT Security

Firewall di Nuova Generazione

Argomenti correlati

Che cos'è la scansione delle vulnerabilità?

Che cos'è il Centro operativo di sicurezza (SOC)?

Che cos'è l'IPS?

Cosa sono gli attacchi Zero Day?

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK