Gli scanner di vulnerabilità possono aiutare il personale IT di un'azienda a identificare i punti deboli in tutta la sua rete, come le porte a cui potrebbero accedere utenti non autorizzati e il software privo delle ultime patch di sicurezza, contribuendo a garantire la conformità della rete con i criteri di sicurezza dell'organizzazione. Gli scanner passivi enfatizzano il monitoraggio dell'attività di rete, mentre gli scanner attivi sono in grado di simulare attacchi e riparare i punti deboli. Entrambi i tipi di scanner possono coesistere all'interno di una rete, completando le capacità l'uno dell'altro.
Nozioni di base sulla scansione delle vulnerabilità
Gli scanner di vulnerabilità restituiscono dati relativi a potenziali rischi per la sicurezza che consentono al personale IT di visualizzare la rete come potrebbe fare un potenziale hacker, vedendo chiaramente le potenziali strade per attacchi denial of service o ottenendo informazioni attraverso lo sniffing di pacchetti. Gli scanner di vulnerabilità spesso danno la priorità ai punti deboli che scoprono, assegnando valori diversi per rappresentare il potenziale danno che un hacker potrebbe causare all'interno di una rete sfruttando una specifica debolezza. Ciò consente agli amministratori di rete di dare la priorità al lavoro di riparazione indicando quali nodi presentano i maggiori rischi per la sicurezza.
Scanner attivi
Gli scanner attivi inviano trasmissioni ai nodi della rete, esaminando le risposte che ricevono per valutare se un nodo specifico rappresenta un punto debole all'interno della rete. Un amministratore di rete può anche utilizzare uno scanner attivo per simulare un attacco alla rete, scoprire i punti deboli che un potenziale hacker potrebbe individuare o esaminare un nodo a seguito di un attacco per determinare in che modo un hacker ha violato la sicurezza. Gli scanner attivi possono intervenire per risolvere autonomamente i problemi di sicurezza, come il blocco di un indirizzo IP potenzialmente pericoloso.
Scanner passivi
Gli scanner passivi identificano i sistemi operativi attivi, le applicazioni e le porte in una rete, monitorando l'attività per determinare le vulnerabilità della rete. Tuttavia, sebbene gli scanner passivi possano fornire informazioni sui punti deboli, non possono intraprendere azioni per risolvere i problemi di sicurezza. Questi scanner possono controllare il software corrente e le versioni delle patch sui dispositivi in rete, indicando quali dispositivi stanno utilizzando un software che rappresenta un potenziale gateway per hacker o attacchi di trojan e fare riferimento a queste informazioni su database pubblici contenenti elenchi di patch correnti. Un amministratore di rete può impostare scanner passivi in modo che funzionino in modo continuo o funzionino a intervalli specificati.
Limitazioni e carenze della scansione delle vulnerabilità
Sebbene gli scanner di vulnerabilità possano facilitare le attività di sicurezza della rete, non possono sostituire l'esperienza di personale addestrato. Gli scanner sono in grado di restituire falsi positivi, indicando un punto debole dove non esiste, e falsi negativi, in cui lo scanner trascura un rischio per la sicurezza. Il personale qualificato deve controllare attentamente i dati restituiti dai loro scanner per rilevare risultati errati. La valutazione delle minacce di uno scanner si basa esclusivamente sul suo database di exploit noti e uno scanner non può estrapolare i dati che scopre per concepire metodi nuovi e innovativi che un hacker può utilizzare per attaccare la rete. La scansione delle vulnerabilità occupa anche una notevole quantità di larghezza di banda, rallentando potenzialmente le prestazioni della rete.