Net als bij pakketsnuiven, poortscannen en andere 'beveiligingshulpmiddelen', kan scannen van kwetsbaarheden u helpen uw eigen netwerk te beveiligen of het kan door slechteriken worden gebruikt om zwakheden in uw systeem te identificeren om een aanval tegen te richten. Het idee is voor u om deze hulpmiddelen te gebruiken om deze zwakheden te identificeren en op te lossen voor de slechteriken gebruiken ze tegen je.
Het doel van het uitvoeren van een kwetsbaarheidsscanner is om apparaten in uw netwerk te identificeren die openstaan voor bekende kwetsbaarheden. Verschillende scanners bereiken dit doel op verschillende manieren. Sommige werken beter dan andere.
Sommigen zoeken mogelijk naar tekens zoals registervermeldingen in Microsoft Windows-besturingssystemen om vast te stellen dat een specifieke patch of update is geïmplementeerd. Anderen, in het bijzonder Nessus, proberen in feite het beveiligingslek op elk doelapparaat te misbruiken in plaats van te vertrouwen op registerinformatie.
Kevin Novak heeft in juni 2003 een evaluatie gemaakt van de commerciële kwetsbaarheidsscanners voor Network Computing Magazine. Hoewel een van de producten, Tenable Lightning, als een front-end voor Nessus werd beoordeeld, werd Nessus zelf niet rechtstreeks tegen de commerciële producten getest. Klik hier voor de volledige details en resultaten van de beoordeling: VA-scanners Bepaal uw zwakke punten.
Een probleem met kwetsbaarheidsscanners is hun impact op de apparaten die ze scannen. Aan de ene kant wilt u dat de scan op de achtergrond kan worden uitgevoerd zonder het apparaat te beïnvloeden. Aan de andere kant wilt u er zeker van zijn dat de scan grondig is. Vaak, in het belang van een grondige analyse en afhankelijk van hoe de scanner zijn informatie verzamelt of verifieert dat het apparaat kwetsbaar is, kan de scan opdringerig zijn en nadelige effecten veroorzaken en zelfs systeemcrashes op het apparaat dat wordt gescand.
Er zijn een aantal hoog gewaardeerde commerciële vulnerability scanning-pakketten, waaronder Foundstone Professional, eEye Retina en SAINT. Deze producten dragen ook een vrij fors prijskaartje. Het is gemakkelijk om de kosten te rechtvaardigen vanwege de toegevoegde netwerkbeveiliging en gemoedsrust, maar veel bedrijven hebben simpelweg niet het soort budget dat nodig is voor deze producten.
Hoewel het geen echte kwetsbaarheidsscanner is, kunnen bedrijven die hoofdzakelijk afhankelijk zijn van Microsoft Windows-producten gebruikmaken van de vrij beschikbare Microsoft Baseline Security Analyzer (MBSA). MBSA zal uw systeem scannen en vaststellen of er patches ontbreken voor producten zoals de Windows-besturingssystemen, Internet Information Server (IIS), SQL Server, Exchange Server, Internet Explorer, Windows Media Player en Microsoft Office-producten. Het heeft in het verleden enkele problemen gehad en er zijn af en toe fouten met de resultaten van MBSA - maar de tool is gratis en is over het algemeen nuttig om ervoor te zorgen dat deze producten en toepassingen worden gepatcht tegen bekende kwetsbaarheden. MBSA zal u ook identificeren en waarschuwen voor ontbrekende of zwakke wachtwoorden en andere veelvoorkomende beveiligingsproblemen.
Nessus is een open-sourceproduct en is ook vrij verkrijgbaar. Hoewel er een Windows grafische front-end beschikbaar is, vereist het kernproduct van Nessus Linux / Unix om te worden uitgevoerd. Het voordeel hiervan is dat Linux gratis kan worden verkregen en dat veel Linux-versies relatief lage systeemvereisten hebben, dus het zou niet moeilijk zijn om een oude pc te nemen en deze op te zetten als een Linux-server. Voor beheerders die gewend zijn om in de Microsoft-wereld te werken, zal er een leercurve zijn om te wennen aan Linux-conventies en om het Nessus-product geïnstalleerd te krijgen.
Na het uitvoeren van een initiële kwetsbaarheidsscan, moet u een proces implementeren om de geïdentificeerde kwetsbaarheden aan te pakken. In de meeste gevallen zijn er patches of updates beschikbaar om het probleem te verhelpen. Soms kunnen er operationele of zakelijke redenen zijn waarom u de patch niet in uw omgeving kunt toepassen of heeft de verkoper van uw product mogelijk nog geen update of patch uitgegeven. In die gevallen zult u alternatieve middelen moeten overwegen om de dreiging te verminderen. U kunt verwijzen naar gegevens uit bronnen zoals Secunia of Bugtraq of US-CERT om te identificeren welke poorten moeten worden geblokkeerd of welke services u wilt afsluiten, zodat u mogelijk wordt beschermd tegen de geconstateerde kwetsbaarheid.
Naast het uitvoeren van regelmatige updates van antivirussoftware en het toepassen van de nodige patches voor nieuwe kritieke kwetsbaarheden, is het verstandig om een schema voor periodieke vulnerability-scans te implementeren om er zeker van te zijn dat er niets is gemist. Kwartaal- of halfjaarlijkse scans op kwetsbaarheden kunnen er in grote mate toe bijdragen dat u zwakheden in uw netwerk opvangt voordat de slechteriken dit doen.
Bewerkt door Andy O'Donnell - mei 2017
