Cosa significa scansione della vulnerabilità?

Autore: Kent Weigle, Vicarius

Condividi    

Se sei un esperto di sicurezza informatica saprai che uno dei modi migliori per prevenire una violazione dei dati è attraverso la scansione delle vulnerabilità. Questa infatti è uno dei metodi più semplici da usare per prevedere come gli hacker potrebbero entrare nel sistema IT. La scansione delle vulnerabilità non riguarda solo il rilevamento delle stesse nell’ambiente, ma anche come rimediare e cambiare i processi per dare priorità e affrontare le vulnerabilità una volta scoperte.

In questa guida, è possibile imparare le basi della scansione delle vulnerabilità e della loro valutazione senza scansione, come funziona, i suggerimenti per gestire al meglio le vulnerabilità di rete e il modo migliore per eseguire la scansione.

Ma prima di tutto bisogna affrontare questa questione importante:

Le scansioni di vulnerabilità sono necessarie?

A causa della debolezza nella tecnologia o nei sistemi, molte aziende hanno ambienti, sistemi, siti web o software deboli che li rendono vulnerabili agli attacchi. Un sistema compromesso è soggetto a costose multe per violazione dei dati e/o danni irrevocabili alla reputazione aziendale. Molti di questi incidenti avrebbero potuto essere affrontati e prevenuti se fosse stato eseguito un test nell’ambiente, come le scansioni di vulnerabilità.

In alcuni casi, un'organizzazione diventa vulnerabile all'attacco perché non applica una patch di sicurezza o modifica i propri sistemi senza un adeguato aggiornamento dei protocolli di sicurezza correlati.

Per prevenire una violazione dei dati e ridurre il rischio, le criticità devono essere continuamente classificate per priorità, identificate e corrette.

A volte, i criminali usano gli stessi strumenti di scansione delle vulnerabilità ai quali si affidano le aziende per scoprire i punti di debolezza della rete. Per anticiparli, è necessario essere armati di vulnerabilità emergenti aggiornate eseguendo costantemente scansioni esterne e interne.

Cosa ci si deve aspettare da una scansione delle vulnerabilità?

Innanzitutto la scansione di vulnerabilità è un test di alto livello automatizzato, che cerca e riporta le criticità potenzialmente identificate. Per esempio, alcune possono individuare oltre 50.000 punti deboli unici interni e/o esterni.

Le scansioni di vulnerabilità esterne sono quelle eseguite al di fuori della rete aziendale (ad esempio, il perimetro di rete) e possono identificare le debolezze nelle strutture di rete. Una scansione di vulnerabilità interna viene eseguita all'interno della rete e guarda altri host sulla stessa rete per individuare le vulnerabilità interne.

Per capire meglio, pensate al vostro ambiente come alla vostra casa; una scansione delle vulnerabilità esterne è simile al controllo per vedere se finestre e porte sono chiuse, mentre quella interna è come controllare se le porte della cucina e della camera da letto sono serrate.

Idealmente, una scansione delle vulnerabilità vi darà un rapporto dettagliato di quelle rilevate e I riferimenti per ulteriori studi in proposito. Spesso, alcuni strumenti offrono indicazioni su come è possibile risolvere il problema.

Tuttavia, è importante sapere che la scansione da sola non è sufficiente. Infatti, questa è la convinzione di molte aziende. Il rapporto non può agire da solo ed è per questo che è fondamentale lavorare rapidamente su qualsiasi vulnerabilità scoperta e accertarsi che tutte le falle di sicurezza siano state risolte. Dopo di che, è necessario eseguire una nuova scansione per garantire che la vulnerabilità sia stata risolta con successo.

Differenze tra scansione della vulnerabilità e test di penetrazione

La differenza significativa tra una scansione di vulnerabilità e un test di penetrazione è che la prima è automatizzata, mentre il secondo richiede una persona che scavi nelle complessità della vostra rete. Inoltre, la prima può solo cercare e identificare I punti deboli, mentre il secondo andrà più a fondo per scoprire la fonte di qualsiasi esposizione rilevata.

Tuttavia, entrambe le soluzioni lavorano insieme al fine di migliorare la vostra sicurezza di rete. Le scansioni di vulnerabilità sono approfondimenti periodici, mentre i test di penetrazione forniscono un esame più approfondito.

Come funziona uno scanner di vulnerabilità?

Uno scanner di vulnerabilità non controlla ogni file di rete come fa il software antivirus. Questo è il motivo per il quale tale strumento dovrebbe essere configurato per eseguire la scansione di interfacce specifiche, compresi gli indirizzi IP interni ed esterni per le vulnerabilità.

Tutte le scansioni di vulnerabilità sono progettate per essere non intrusive, in modo che possiate svolgere le vostre normali attività mentre la scansione è in esecuzione in background.

Il compito di una scansione di vulnerabilità non è quello di sfruttare le crticità nella vostra rete, ma di fornirvi un riepilogo di avvisi sui quali agire. Mentre esaminate i risultati della vostra scansione, potreste notare alcuni numeri di vulnerabilità ed esposizione comuni che non vi sono familiari. Se il vostro fornitore non vi dà i dettagli di tali numeri, potete controllare il National Vulnerability Database (NVD) per aiutarvi a capire e dare priorità ai rischi.

Suggerimenti per gestire le vostre vulnerabilità

Un piano di gestione delle vulnerabilità è fondamentale per gestire la sicurezza della vostra rete. Di seguito trovate i migliori consigli per identificare le debolezze potenziali ed esistenti nella vostra rete.

• Esegui scansioni di vulnerabilità esterne: Le tue scansioni esterne devono essere eseguite da un fornitore di scansioni approvato da PCI (ASV) per convalidare la conformità PCI. Una scansione esterna da parte di un ASV non rende la tua azienda sicura. Tuttavia, devi intraprendere un'azione tempestiva per arginare il rischio e assicurarti di ripetere la scansione finché non confermi che la vulnerabilità è stata sanata.
• Eseguire scansioni interne di vulnerabilità: La maggior parte delle aziende pensa che eseguire la loro scansione PCI da un ASV sia l'unico requisito necessario per essere conformi. É necessario anchei assicurarti di essere conforme ai requisiti di scansione delle vulnerabilità interne:
  • Cercare online e scaricare uno strumento di scansione delle vulnerabilità interne open-source
  • Acquistare uno strumento di scansione interna delle vulnerabilità da un altro fornitore di servizi o, forse, dal vostro ASP. Prendete nota che la vostra azienda è l'unica responsabile della scansione interna delle vulnerabilità dall'acquisto/scarico iniziale.
• Test qualificati e individuali: Dovreste permettere che le vostre scansioni interne siano gestite solo da una persona qualificata e diversa dall'obiettivo della scansione. Questo significa che la persona che gestisce il vostro scanner di vulnerabilità deve essere capace e diversa dalla persona che rimedia e/o gestisce qualsiasi vulnerabilità scoperta.
• Eseguire scansioni periodiche di vulnerabilità: Idealmente, ogni organizzazione dovrebbe eseguire trimestralmente scansioni interne ed esterne. Se il vostro obiettivo è solo uno, farà un totale di otto scansioni all'anno (una esterna e interna per trimestre). Tuttavia, molti fornitori vi permetteranno di eseguire una scansione illimitata per un singolo obiettivo. Questo lo rende più facile perché si può rimediare e ripetere la scansione fino a quando la vulnerabilità non viene risolta, sopratutto se si fallisce nella prima scansione.
• Eseguire le scansioni dopo cambiamenti significativi della rete: una volta che avete deciso di eseguire le scansioni trimestralmente, dovreste eseguire una scansione dopo ogni cambiamento significativo.

Un cambiamento significativo dipende da come è configurato il tuo ambiente, ma se esegui qualsiasi modifica o aggiornamento che potrebbe influenzare la sicurezza dell'ambiente dei dati dei titolari di carta, tale cambiamento è significativo.

Esempi di cambiamenti importanti sono:

• Trasferire i dati dei titolari di carta a un nuovo server
• Aggiunta di altre applicazioni di crittografia
• Aggiungere nuovi sistemi di componenti del server
• Modificare le interfacce
• Modificare le regole del firewall
• Abilitare o rimuovere un nuovo sistema che memorizza i dati dei titolari di carta
• Alterare le strutture di rete

Conclusioni

La ragione principale per cui dovete scansionare la vostra rete periodicamente è che i criminali informatici scoprono modi nuovi e creativi per sfruttare le vulnerabilità. Inoltre, ricordate che la scansione delle vulnerabilità e la valutazione delle vulnerabilità senza scansione non servono solo a segnalare le criticità individuate, ma fornisce un modo per stabilire un processo affidabile e ripetibile per risolvere le debolezze o i problemi.

Una volta che una scansione delle vulnerabilità è completata, assicuratevi di correggere qualsiasi vulnerabilità identificata su una base di priorità. Potete iniziare dando la precedenza alle minacce in base al rischio e allo sforzo necessario e poi eseguire le scansioni fino a quando i risultati sono puliti.

Se avete bisogno di aiuto con la valutazione delle vulnerabilità senza scansione, Vicarius è il software ideale da utilizzare. Si tratta infatti di un software di gestione rivolto ai responsabili della cybersicurezza, nonché ai manager e agli operatori IT del mercato statunitense.

Scopri l'articolo originale sul sito di Vicarius.