What is a Network Vulnerability Scanner?

Os scanners de vulnerabilidade da rede comparam as listas intermináveis de vulnerabilidades críticas publicadas com a atividade em tempo real da rede de uma empresa, identificando possíveis caminhos de ataque e simplificando a proteção de última hora. Eles são um componente essencial em cada caixa de ferramentas de segurança.

Solicite uma demo Saiba mais

Como funciona um scanner de vulnerabilidade de rede

Veja como funciona um scanner de vulnerabilidade de rede.

#1: Criar inventário de ativos

Identificar ativos é um objetivo fundamental ao iniciar uma verificação. A maioria das ferramentas oferece isso automaticamente e algumas outras exigem que o usuário instale agentes no dispositivo local ao qual tem acesso direto.

As técnicas de varredura passiva são capazes de registrar discretamente o tráfego que está sendo transmitido em uma determinada rede, enquanto a varredura ativa desempenha um papel mais importante na próxima etapa.

#2: Estabeleça uma superfície de ataque

A partir daí, o scanner de vulnerabilidade de rede começa a trabalhar com os diferentes aplicativos e softwares em execução nos hosts da rede. O scanner envia um fluxo de pacotes especializados e avalia cuidadosamente como cada host responde. O padrão dos pacotes respondentes fornece pistas sobre o software conectado à rede que está instalado.

Pontos de referência, como opções de TCP, tamanhos de janela e valores de tempo de vida útil, são comparados com um banco de dados interno de métricas, o que acaba levando a uma estimativa de melhor confiança.

Essa detecção remota funciona muito bem para identificar servidores baseados em nuvem e aplicativos da Web.

Outras varreduras ativas funcionam com a instalação de agentes leves, que coletam dados mais detalhados sobre programas no dispositivo que podem não estar imediatamente acessíveis pela rede. Isso fornece uma imagem mais detalhada das ferramentas de segurança do scanner na próxima etapa.

#3: Identifique possíveis ameaças

Em seguida, o scanner de vulnerabilidade de rede compara todos os ativos com seus bancos de dados de vulnerabilidade correspondentes. Geralmente, esse é o banco de dados interno do fornecedor, mas também pode ser obtido de repositórios públicos, como o Banco de Dados Nacional de Vulnerabilidade.

Os scanners também podem adotar uma abordagem um pouco diferente, como verificar as configurações de software em uma lista de melhores práticas, como os critérios de autenticação corretos usados em um banco de dados confidencial.

Além de qualquer sobreposição com explorações conhecidas, um scanner de vulnerabilidade moderno também deve procurar possíveis caminhos de ataque. Isso mapeia os possíveis movimentos de um invasor em direção a recursos e bancos de dados altamente confidenciais. Esse é um benefício importante dos escaneamentos locais, pois eles detectam falhas locais que podem ser usadas para aumentar os privilégios e fazer movimentos laterais.

Com tudo isso instalado, o scanner é capaz de mapear caminhos de ataque completos ou parciais.

#4: Gere relatórios

Depois de avaliar a amplitude de sua superfície de ataque, cada vulnerabilidade e caminho de ataque é condensado em um relatório legível. A partir daqui, cabe à sua equipe de segurança implementar as mudanças necessárias.

Os dois tipos de ferramentas de verificação de vulnerabilidade de rede

As varreduras de vulnerabilidade podem ser realizadas tanto de fora quanto de dentro da rede que está sendo testada.

Para uma visão geral rápida, as varreduras externas são boas para determinar pontos de ataque que podem ser acessados pela Internet pública; as varreduras internas, por outro lado, são capazes de encontrar falhas em uma rede que um invasor poderia usar para se mover lateralmente depois de obter acesso.

Digitalizações autenticadas

Os escaneamentos autenticados ou credenciados são nomeados devido à exigência de credenciais de conta válidas ou direitos de acesso ao sistema de destino. Eles permitem que o processo de análise inclua:

  • Configurações específicas do usuário
  • Controles de acesso
  • Permissões

Isso significa que ele pode localizar arquivos de malware locais e detectar configurações de senha fracas. Ainda assim, muitos profissionais presumem que os escaneamentos autenticados precisam ser executados localmente.

No entanto, a avaliação remota agora é possível em muitas ferramentas no mercado. Seja direcionando remotamente o dispositivo por endereço IP ou examinando os serviços relevantes do Windows, uma vez configurados, os dispositivos direcionados são examinados regularmente quanto à vulnerabilidade do software.

Essa visibilidade mais profunda significa que as varreduras autenticadas geralmente produzem listas de vulnerabilidade mais longas, e há um risco maior de falsos positivos. Saber como encadeá-los em padrões de ataque em potencial e, portanto, em um processo de correção correspondente, é o que separa um bom scanner de vulnerabilidade do melhor.

Escaneamentos não autenticados

As verificações não autenticadas são realizadas externamente e não exigem credenciais ou direitos de acesso específicos. O processo de varredura de portas que já mencionamos é um exemplo de varredura não autenticada, assim como o mapeamento de rede.

É isso que faz grande parte do trabalho pesado para proteger a rede vulnerável: permite a detecção de falhas de codificação acessíveis ao público, como, por exemplo, a falha de código:

Essencialmente, as varreduras não autenticadas permitem a descoberta de qualquer vulnerabilidade que envolva a entrada do usuário na Internet.

Como maximizar suas varreduras de vulnerabilidade

Seguindo uma série de práticas recomendadas, suas varreduras de vulnerabilidade podem se tornar significativamente mais produtivas.

#1: Adote uma abordagem híbrida

Superficialmente, os escaneamentos não autenticados parecem muito mais úteis. Como eles exigem o mínimo de recursos, é mais fácil executá-los com frequência, especialmente com pressa.

Mas, para organizações que usam provedores de gerenciamento de identidade e acesso, o carregamento de credenciais para digitalização autenticada pode ser feito muito mais rápido. Algumas ferramentas líderes de mercado agora permitem a rápida integração de credenciais, o que significa que as verificações credenciadas podem ser realizadas em um ritmo semelhante às não autorizadas.

Isso permite um teste de segurança de rede interna muito mais aprofundado. Além disso, algumas ferramentas de varredura agora podem testar a resistência do dispositivo ao preenchimento de credenciais, tentando fazer logins com credenciais padrão e de alto risco.

À medida que as varreduras confundem as linhas entre detecção de vulnerabilidade e teste de penetração, escolha a eficiência máxima.

#2: Escolha a frequência correta

Quanto mais varreduras forem realizadas, maior será a chance de uma configuração incorreta ou vulnerabilidade de segurança ser encontrada antes de ser explorada na natureza. No entanto, muitos arriscam a instabilidade do sistema e custos mais altos. É por isso que é melhor escolher os horários apropriados para executar escaneamentos menores e segmentados.

Isso também ajuda a identificar falsos positivos, pois há menos ruído nas varreduras direcionadas. As verificações mais oportunas são feitas logo após a implementação de novos controles. Essa verificação secundária confirma se os novos controles e correções resolveram o problema e garante que nenhum problema novo tenha sido introduzido.

Essas varreduras de menor escala também são ideais para avaliar qualquer evento malicioso de colaboração de arquivos.

Quanto à Conformidade do setor, as exigências específicas podem variar:

  • Sem prazos determinados: SOC 2 e ISO 27001
  • Trimestralmente a uma vez por ano: HIPAA, PCI DSS e GDPR

No entanto, observe que esses horários não são necessariamente adequados para todas as empresas, pois dependem de sua própria tolerância ao risco e do seu ponto de partida.

Implemente suas alterações pós-verificação com o Check Point Infinity

A Check Point Infinity fornece suporte de serviço gerenciado para plataformas de avaliação de vulnerabilidade de rede em todo o setor: do Microsoft Defender ao Tenable One e aos próprios scanners de vulnerabilidade da Check Point - fique tranquilo com os scanners contínuos de nossos especialistas, melhorias de segurança de rede e relatórios mensais. Saiba mais sobre como simplificamos o gerenciamento de vulnerabilidade hoje.

Iniciar

Prevenção avançada contra ameaças

Segurança da IoT

Firewall de última geração

Tópicos relacionados

O que é verificação de vulnerabilidade?

O que é o Centro de Operações de Segurança (SOC)?

O que é IPS?

O que é ataque de Dia Zero?

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK