Aktywne i pasywne skanowanie podatności - o krok przed cyberprzestępcami
W produkcji sieciowej IT i OT coraz bardziej się do siebie zbliżają. Tam, gdzie w przeszłości luka bezpieczeństwa powodowała "tylko" wyciek danych, dziś może dojść do załamania całej produkcji. Zabezpieczyć się mogą ci, którzy regularnie przeprowadzają aktywne i pasywne skanowanie podatności.
To, co w przypadku infrastruktury fizycznej wydaje się nieco dziwne - kto odtworzyłby włamanie, aby przetestować swój system alarmowy - w IT jest sprawdzoną procedurą identyfikacji podatności. To tzw. aktywne skanowanie może być przeprowadzane codziennie i automatycznie. Z kolei skanowanie pasywne pozwala wykryć trwające włamanie, ponieważ każde cyberwłamanie również pozostawia ślady, choć często ukryte.
Na przykład zapory sieciowe i programy antywirusowe wykorzystują skanowanie pasywne do sprawdzania ruchu, który dociera do systemu. Dane te są następnie porównywane z bazą danych. Przechowywane są tam informacje o złośliwym oprogramowaniu, niebezpiecznych żądaniach i innych anomaliach. Jeśli firewall otrzyma żądanie od niezabezpieczonego nadawcy, który chce odczytać dane z profilu użytkownika, odrzuca je. Sam system nie jest tego świadomy, ponieważ pasywne skanowanie nie uzyskuje dostępu do systemu, a jedynie do ruchu danych.
Zaletą takiego rozwiązania jest to, że system nie musi wykorzystywać dodatkowej mocy obliczeniowej. Mimo skanowania można korzystać z pełnej przepustowości. Jest to szczególnie przydatne w przypadku krytycznych komponentów. Powinny one mieć jak najwyższą dostępność. Im mniej dodatkowych czynności wykonują, tym lepiej.
Wada skanowania pasywnego: widać tylko systemy, które aktywnie się komunikują. Nie dotyczy to na przykład oprogramowania biurowego czy czytników PDF. Ale nawet usługi, które się komunikują, robią to przede wszystkim za pomocą swoich głównych funkcji. Funkcje z podatnościami, które są rzadko lub wcale nie są wykorzystywane w bezpośrednim działaniu, nie są widoczne lub są widoczne dopiero wtedy, gdy atak jest już w toku.
Aktywne skanowanie działa inaczej i symuluje ataki. Wysyłają one żądania do systemu i w ten sposób próbują wywołać różne reakcje. Na przykład, aktywny skaner wysyła żądanie transmisji danych do różnych programów w systemie. Jeśli jeden z programów zareaguje i przekaże dane do symulowanej nieautoryzowanej lokalizacji, skaner znalazł lukę w zabezpieczeniach.
Zaleta: jakość danych, którą można osiągnąć przy skanowaniu aktywnym, jest wyższa niż przy skanowaniu pasywnym. Ponieważ interakcja odbywa się bezpośrednio z oprogramowaniem i interfejsami, problemy można wykryć w programach, które normalnie nie komunikują się bezpośrednio z siecią. W ten sposób wykrywane są również luki w programach takich jak aplikacje Office.
Przy bezpośredniej interakcji systemy muszą jednak przetwarzać dodatkowe żądania, które mogą wówczas upośledzać podstawowe funkcje programu. Technologie operacyjne, takie jak na przykład systemy sterowania maszynami, niekoniecznie są przeznaczone do wykonywania drugorzędnych czynności. Tutaj zaleca się np. skanowanie pod nadzorem i jako uzupełnienie ciągłe skanowanie pasywne.
Niemniej jednak aktywne skanowanie jest niezbędne dla cyberbezpieczeństwa operacyjnego. Wynika to z faktu, że ryzyko stwarzane przez krótkotrwałe nadmierne wykorzystanie elementu systemu jest niewielkie w porównaniu z zatrzymaniem produkcji lub wyciekiem danych. Co więcej, aktywne skanowanie nie tylko odkrywa podatności, ale może również poprawić pasywne skanowanie. Na przykład, wykryte podatności mogą zostać dodane do baz danych zapór sieciowych. Pomaga to również innym firmom, które używają podobnych systemów.
Skanowanie aktywne i pasywne działają ręka w rękę Ponieważ skaner pasywny może również dostarczać skanerowi aktywnemu pomocnych informacji, np. o telefonach komórkowych czy właściwościach usług sieciowych, można mówić o komplementarnym uzupełnianiu się tych dwóch narzędzi bezpieczeństwa. Cechą wspólną obu jest to, że zawsze automatycznie wyciągają najlepsze wnioski z danej sytuacji w sieci. Dla technik skanowania pasywnego i aktywnego nie ma znaczenia, z jakich lub jak wielu komponentów i programów składa się sieć. Obie technologie bezpieczeństwa same to rozpoznają i dostosowują się do tego. Dopiero przy wyższym poziomie bezpieczeństwa zaczyna się optymalne dopasowanie sieci i skanerów.
Nie jest to więc kwestia tego, czy stosować jedną czy drugą metodę. Obie metody są niezbędne do zapewnienia bezpiecznego środowiska sieciowego. Czysto pasywne podejście nie pomoże w wielu przypadkach. Proaktywne zarządzanie podatnościami wymaga aktywnych skanowań i narzędzi do zarządzania nimi. To właśnie oferują produkty do zarządzania podatnościami firmy Greenbone.