Skenování zranitelností vs. penetrační testování – nenechte se nachytat
Při skenování zranitelností se využívá automatických a poloautomatických nástrojů. Díky tomu je skenování časově úsporné, periodicky opakovatelné a ekonomické. V žádném případě však nedokáže nahradit penetrační testování, protože je pouze jeho podmnožinou, nemá tedy takovou komplexitu.
Přesto bývají tyto dvě služby zavádějícím způsobem zaměňovány s cílem přesvědčit objednatele, že obdržel mimořádně výhodnou nabídku. Takové praktiky s sebou nesou vysoké riziko. Závěry o stavu zabezpečení organizace po provedení skenování zranitelností v žádném případě nemohou, co do úplnosti, konkurovat výstupu z penetračního testu. Ten je mnohem náročnější a využívá mnohem sofistikovanější kombinace různých vektorů útoku, vedeného zkušenými specialisty.
O tom, jak probíhá penetrační testování v naší režii, si můžete podrobně přečíst na stránkách představujících jednotlivé služby.
Přínosy skenování zranitelností
Sken zranitelností přináší rychlý, a komplexní audit zabezpečení vaší IT infrastruktury. Můžete díky němu identifikovat potencionálně zranitelná místa.
- Nasazení neaktuální verze serverové technologie se známými zranitelnostmi
- Použití zastaralého a nedostačujícího šifrování
- Špatně ošetřené uživatelské vstupy ve formulářích
- Chybějící nebo nedostatečné prvky autentifikace prohlížeče vůči serveru
- Odhalená či nedostatečně chráněná citlivá data a mnoho dalších zranitelností
Hlavní síla automatického skenování zranitelností spočívá v možnosti (respektive nutnosti) opakovat ho v pravidelně stanovených intervalech (databáze známých zranitelností se neustále rozšiřuje), nebo alespoň po provedení větších změn ve vašich systémech.
Vulnerability scan představuje ekonomickou cestu k udržení přehledu o stavu zabezpečení vaší organizace. Z toho důvodu je také jedním z prvních nástrojů, po kterém sáhne útočník pokoušející se zjistit, jak rychle a obtížně lze infiltrovat vaši infrastrukturu nebo webové aplikace. Když zařadíte pravidelné skenování do své bezpečnostní rutiny, získáte tím možnost reagovat na nově vznikající hrozby s předstihem, což je vždy efektivnější než řešit následky kybernetického incidentu.
Průběh a výstup skenu zranitelností
Ke skenování zranitelností využíváme spolehlivé a osvědčené nástroje, mezi nimi nechybí Nessus Professional, OpenVas, Acunetix nebo Burp Suite Professional, avšak doplněné o vlastní podpůrné skripty podle druhu testované infrastruktury.
Při naší práci postupujeme podle metodiky, kterou zde pro zjednodušení shrneme do tří kroků:
1. Definice cílů skenu zranitelností
V úvodu spolupráce se dohodneme, které části vaší IT infrastruktury budou skenovány. Na základě toho odvodíme časovou dotaci z našich, ale rovněž i z vašich zdrojů. Optimální je samozřejmě (minimálně u prvního skenu) zahrnout všechny systémy v síti. Po vyhodnocení výsledků je možné stanovit různou frekvenci skenů jednotlivých součástí podle jejich kritičnosti.
Vnější perimetr, tedy systémy a služby umístěné mimo prostředí vaší interní sítě, je vhodné prověřit klasických síťovým skenem. V tomto případě stačí informovat kompetentní zaměstnance o jeho provedení. Skenem těchto z internetu dostupných systémů získáme katalog potenciálních zranitelností, který si stejně snadno může opatřit i případný útočník. U skenu webové aplikace pak doporučujeme využít detailní autentizovaný sken.
2. Analýza a verifikace výsledků
Syrovým výstupem skenu je katalog zranitelností získaných na základě porovnání odpovědí testovaných systémů s databází známých zranitelností. Jednotlivé položky jsou automaticky kategorizovány dle několika parametrů: funkční zařazení v rámci firemní infrastruktury, použitý operační systém, typ zranitelností apod.
Výsledky poté manuálně prověřujeme na falešnou pozitivitu. Verifikované zranitelnosti jsou kategorizovány dle stupnice CVSS. Z toho následně vychází i celkové hodnocení zranitelností testovaných systémů.
3. Report, návrh na odstranění zjištěných zranitelností a návrh dalšího postupu
Výstupem skenování je obsáhlá zpráva, která se skládá z následujících součástí.
- Katalogu zjištěných potenciálních zranitelností
- Hodnocení jejich závažnosti dle CVSS, doplněného komentářem
- Doporučených opatření pro odstranění či minimalizaci rizika plynoucího ze zranitelnosti
- Návrhu dalšího postupu
Po implementaci doporučených opatření je vhodné provést kontrolní sken pro ověření účinnosti. Následně se můžeme dohodnout na provádění opakovaných skenů vybraných systémů. Frekvence bude stanovena s ohledem na počet a závažnost zjištěných zranitelností, úroveň důležitosti daného systému a další parametry.
Nenechte nic náhodě a objednejte si sken zranitelností
