Les scanners de vulnérabilités peuvent aider le personnel informatique d'une entreprise à identifier les faiblesses de son réseau, telles que les ports auxquels des utilisateurs non autorisés pourraient accéder et les logiciels ne disposant pas des derniers correctifs de sécurité, contribuant ainsi à garantir la conformité du réseau avec la politique de sécurité de l'organisation. Les scanners passifs mettent l'accent sur la surveillance de l'activité du réseau, tandis que les scanners actifs sont capables de simuler des attaques et de réparer les points faibles. Les deux types de scanners peuvent coexister au sein d'un réseau, se complétant mutuellement.
Principes de base de l'analyse des vulnérabilités
Les scanners de vulnérabilités renvoient des données concernant les risques de sécurité potentiels qui permettent au personnel informatique de voir le réseau comme un pirate potentiel pourrait le faire, en voyant clairement les voies potentielles d'attaques par déni de service ou d'obtenir des informations via le reniflage de paquets. Les scanners de vulnérabilités hiérarchisent souvent les faiblesses qu'ils découvrent, attribuant différentes valeurs pour représenter les dommages potentiels qu'un pirate pourrait causer au sein d'un réseau en exploitant une faiblesse spécifique. Cela permet aux administrateurs réseau de hiérarchiser les travaux de réparation en indiquant quels nœuds présentent les plus grands risques de sécurité.
Scanners actifs
Les scanners actifs envoient des transmissions aux nœuds du réseau, examinant les réponses qu'ils reçoivent pour évaluer si un nœud spécifique représente un point faible au sein du réseau. Un administrateur réseau peut également utiliser un scanner actif pour simuler une attaque sur le réseau, découvrir les faiblesses qu'un pirate potentiel pourrait repérer, ou examiner un nœud à la suite d'une attaque pour déterminer comment un pirate a violé la sécurité. Les scanners actifs peuvent prendre des mesures pour résoudre de manière autonome les problèmes de sécurité, tels que le blocage d'une adresse IP potentiellement dangereuse.
Scanners passifs
Les scanners passifs identifient les systèmes d'exploitation actifs, les applications et les ports d'un réseau, surveillant l'activité pour déterminer les vulnérabilités du réseau. Cependant, si les scanners passifs peuvent fournir des informations sur les faiblesses, ils ne peuvent pas prendre de mesures pour résoudre les problèmes de sécurité. Ces scanners peuvent vérifier les versions actuelles du logiciel et des correctifs sur les périphériques en réseau, indiquant quels périphériques utilisent un logiciel qui présente une passerelle potentielle pour les pirates ou les attaques de chevaux de Troie, et référencer ces informations par rapport aux bases de données publiques contenant des listes de correctifs actuels. Un administrateur réseau peut configurer les scanners passifs pour qu'ils fonctionnent en continu ou à des intervalles spécifiés.
Limitations et lacunes de l'analyse des vulnérabilités
Si les scanners de vulnérabilité peuvent faciliter les tâches de sécurité du réseau, ils ne peuvent pas remplacer l'expertise d'un personnel formé. Les scanners sont capables de renvoyer des faux positifs, indiquant une faiblesse là où il n'y en a pas, et des faux négatifs, dans lesquels le scanner néglige un risque de sécurité. Le personnel qualifié doit vérifier soigneusement les données renvoyées par leurs scanners pour détecter des résultats erronés. L'évaluation des menaces d'un scanner est basée uniquement sur sa base de données d'exploits connus, et un scanner ne peut pas extrapoler sur les données qu'il découvre pour concevoir de nouvelles et nouvelles méthodes qu'un pirate peut utiliser pour attaquer le réseau. L'analyse des vulnérabilités occupe également une quantité considérable de bande passante, ce qui peut potentiellement ralentir les performances du réseau.