ネットワーク脆弱性スキャナーの仕組み
ネットワーク脆弱性スキャナーの仕組みは次のとおりです。
#1:資産インベントリの作成
資産の特定は、スキャンを開始する際の基本的な目的です。 ほとんどのツールではこれが自動的に提供され、他のツールでは、直接アクセスできるローカル デバイスにエージェントをインストールする必要があります。
パッシブスキャン技術は、特定のネットワーク上でブロードキャストされるトラフィックを静かにログに記録することができますが、アクティブスキャンは次のステップでより大きな役割を果たします。
#2:攻撃対象領域の確立
そこから、ネットワーク脆弱性スキャナーは、ネットワークのホストで実行されているさまざまなアプリやソフトウェアを解決し始めます。 スキャナーは特殊なパケットのフローを送信し、各ホストの応答方法を慎重に評価します。 次に、応答するパケットのパターンから、ネットワークに接続されたソフトウェアがインストールされているかを知る手がかりが得られます。
TCPオプション、ウィンドウサイズ、有効期限の値などのランドマークは、メトリックの内部データベースと比較され、最終的に最も信頼性の高い推測につながります。
このリモート検出は、クラウドベースのサーバーとWebアプリを特定するのに最適です。
その他のアクティブスキャンは、軽量のエージェントをインストールすることで機能し、ネットワーク経由ですぐにはアクセスできない可能性のあるデバイス上のプログラムに関するより詳細なデータを収集します。 これにより、次のステップでスキャナーのセキュリティツールをより詳細に把握できます。
#3:潜在的な脅威を特定する
次に、ネットワーク脆弱性スキャナーは、すべての資産を対応する脆弱性データベースと比較します。 これは多くの場合、ベンダーの社内データベースですが、 National 脆弱性データベースなどの公開リポジトリから取得することもできます。
スキャナーは、ソフトウェア構成をベストプラクティスのリスト(機密性の高いデータベースに使用されている正しい認証基準など)と照合するなど、少し異なるアプローチをとる場合もあります。
既知のエクスプロイトとの重複に加えて、最新の 脆弱性スキャナー は潜在的な攻撃パスもスキャンする必要があります。 これにより、攻撃者の潜在的な動きが機密性の高いリソースやデータベースにマッピングされます。 これは、ローカルスキャンの主な利点であり、権限昇格や横移動に使用できるローカルの欠陥を検出します。
これらすべてが整うと、スキャナーは攻撃経路の全体または一部をマッピングできます。
#4:レポートの生成
攻撃対象領域の幅を評価した後、各脆弱性と攻撃パスは読み取り可能なレポートに凝縮されます。 ここから、必要な変更を実装するのはセキュリティ チーム次第です。
2種類のネットワーク脆弱性スキャンツール
脆弱性スキャンは、テスト対象のネットワークの 外部 と 内部 の両方から実行できます。
簡単に概要を説明すると、外部スキャンは、パブリックインターネットからアクセスできる攻撃ポイントを特定するのに適しています。一方、内部スキャンでは、攻撃者がアクセスした後に横方向に移動するために使用できるネットワーク内の欠陥を見つけることができます。
認証済みスキャン
認証済みスキャンまたは認証済みスキャンは、有効なアカウント資格情報またはターゲット・システムへのアクセス権の要件に基づいて名前が付けられています。 これにより、分析プロセスには次のものが含まれます。
これは、ローカルのマルウェアファイルを見つけて、脆弱なパスワード構成を見つけることができることを意味します。 それでも、認証されたスキャンをローカルで実行する必要があると思い込んでいる実務家が多すぎます。
しかし、現在では、市場に出回っている多くのツールでリモート評価が可能になりました。 IPアドレスでデバイスをリモートでターゲットにするか、関連するWindowsサービスをスキャンするかにかかわらず、一度設定すると、ターゲットデバイスはソフトウェアの脆弱性について定期的にスキャンされます。
この可視性の向上は、認証されたスキャンでより長い脆弱性リストが作成されることが多く、誤検知のリスクが高くなることを意味します。 これらを潜在的な攻撃パターンに結びつける方法、つまり対応する修復プロセスを知ることが、優れた脆弱性スキャナーと優れた脆弱性スキャナーを区別するものです。
認証されていないスキャン
認証されていないスキャンは外部で実行され、特定の資格情報やアクセス権は必要ありません。 すでに触れたポートスキャンプロセスは、ネットワークマッピングと同様に、認証されていないスキャンの一例です。
これにより、脆弱なネットワークを保護するための多くの面倒な作業が行われ、次のような一般にアクセス可能なコーディングの欠陥を検出できます。
基本的に、認証されていないスキャンにより、インターネットからのユーザー入力に関連するあらゆる脆弱性を検出できます。
脆弱性スキャンを最大限に活用する方法
いくつかのベストプラクティスに従うことで、脆弱性スキャンの生産性を大幅に向上させることができます。
#1:ハイブリッドなアプローチを取る
表面的には、認証されていないスキャンの方がはるかに便利に見えます。 リソースへの要求が最小限に抑えられるため、特に急いでいる場合に頻繁に実行するのが簡単になります。
しかし、IDおよびアクセス管理プロバイダーを使用している組織では、認証済みスキャン用の資格情報の読み込みをはるかに迅速に行うことができます。 市場をリードするツールの中には、迅速なクレデンシャル・オンボーディングを可能にしているものもあり、クレデンシャル・スキャンは未承認のスキャンと同様のペースで実行できます。
これにより、はるかに詳細な内部 ネットワークセキュリティテストが可能になります。 これに加えて、一部のスキャンツールでは、デフォルトの高リスクの資格情報を使用してログインを試みることにより、資格情報の詰め込みに対するデバイスの回復力をテストできるようになりました。
スキャンでは脆弱性検出と侵入テストの境界線が曖昧になるため、最大限の効率を選択してください。
#2:正しい周波数を選択してください
スキャンの実行回数が多いほど、設定ミスやセキュリティの脆弱性が悪用される前に発見される可能性が高くなります。 ただし、リスクが多すぎると、システムが不安定になり、コストが高くなります。 そのため、より小さくセグメント化されたスキャンを実行するのに適切な時間を選択するのが最善です。
これは、ターゲットスキャン内のノイズが少ないため、誤検知を見つけるのにも役立ちます。 最もタイムリーなスキャンは、新しいコントロールを実装した直後に行われます。 このセカンダリスキャンでは、新しいコントロールと修正によって問題が解決されたかどうかを確認し、新たな問題が発生していないことを確認します。
これらの小規模なスキャンは、悪意のあるファイルコラボレーションイベントの評価にも最適です。
業界のコンプライアンスに関しては、具体的な要求は異なる場合があります。
- 時間枠はありません: SOC 2 および ISO 27001
- 四半期ごとから年1回: HIPAA、PCI DSS、およびGDPR
ただし、これらのタイミングは必ずしもすべてのビジネスに適しているわけではなく、あなた自身のリスク許容度と出発点に依存することに注意してください。
スキャン後の変更をチェック・ポイント Infinityで実装
チェック・ポイント Infinity は、Microsoft Defender から Tenable One、チェック・ポイント独自の脆弱性スキャナーまで、業界全体のネットワーク脆弱性評価プラットフォームに対するマネージド・サービス・サポートを提供しています。当社の専門家による継続的なスキャン、ネットワーク・セキュリティの改善、月次レポートで安心です。脆弱性管理を効率化する方法をご覧ください。
フィードバック