I limiti di un vulnerability scanner
Mantenere le risorse al sicuro è una parte importante dei programmi di sicurezza. Ma come puoi proteggere gli asset se non li conosci? Ecco i vantaggi che può offrire RunZero!
Inizia ad utilizzare runZero gratuitamente
RunZero è la soluzione di gestione degli asset IT e OT che permette di ottenere un inventario completo di qualsiasi dispositivo connesso alla rete.
Vimercate (MB), 20.06.2023
Mantenere le risorse al sicuro è una parte importante dei programmi di sicurezza. Ma come puoi proteggere i tuoi beni se non li conosci nemmeno? Ecco dove arriva l'inventario delle risorse. Alcune persone cercano di creare un inventario delle risorse utilizzando scanner di vulnerabilità. Altri combinano quei dati di vulnerabilità con informazioni sui loro beni non gestiti, anche dispositivi orfani e canaglia. Questo è ciò che riguarda la gestione della superficie di attacco di risorse informatiche ( CAASM ) o la gestione delle risorse informatiche.
Come gli scanner di vulnerabilità falliscono nell'inventario delle risorse
Teoricamente, i team di sicurezza possono scansionare l'intera rete locale alla ricerca di vulnerabilità. In pratica, è troppo difficile dal punto di vista operativo. Scaviamo in questo.
Apparecchiature IoT e OT aziendali
Molte configurazioni di scansione di vulnerabilità escludono i dispositivi IoT e OT. Gli uffici contengono molti dispositivi IoT come stampanti, termostati e telecamere di sorveglianza. Bracci robotici, dispositivi biomedici e segnali stradali sono esempi di dispositivi di tecnologia operativa ( OT ). Spesso si basano su pile di rete arcaiche o non comuni che non sono in grado di gestire input imprevisti da una sonda di sicurezza aggressiva. Il dispositivo si blocca o si arresta in modo anomalo facilmente, quindi i team di sicurezza li escludono dalla maggior parte delle scansioni di vulnerabilità. Alcuni scanner di vulnerabilità sono abbastanza intelligenti da rilevare ed escludere automaticamente i dispositivi fragili, ma nel farlo lasciano anche un vuoto nell'inventario delle risorse.
Tempi di scansione lunghi
Gli scanner di vulnerabilità devono coprire centinaia di migliaia di esposizioni, ognuna delle quali richiede tempo e larghezza di banda per essere completata. Estrapolare questo requisito per tutta la tua azienda e non sorprende che alcune scansioni di vulnerabilità possano richiedere settimane per essere completate. Questi cicli di scansione lenti portano a dati di asset non aggiornati e lo diventano ancora di più quando una scansione deve essere suddivisa su più finestre di manutenzione.
Attività fantasma
Alcuni scanner di vulnerabilità hanno difficoltà a distinguere tra una risposta da un dispositivo reale e una risposta intermedia del firewall o un proxy che riflette il traffico. Si finisce con dispositivi inesistenti nel proprio inventario, a volte anche con i dettagli del sistema operativo.
Il punto di gestione delle risorse informatiche è avere un inventario completo e accurato di ciò che è connesso alla tua rete, dall'IT a OT, dal cloud ai dispositivi remoti. Se i tuoi dati sono incompleti o inesatti, è solo un elenco di alcune risorse, non un inventario. I principali scanner di vulnerabilità non forniscono un inventario delle risorse completo, accurato e attuale nella pratica quotidiana.
Dettagli insufficienti dalle scansioni di vulnerabilità senza credenziali
Molti scanner di vulnerabilità supportano una modalità di sola scoperta o “ modalità di rilevamento host ”, che evita l'uso di credenziali e sonde di sicurezza. Mentre evita l'uso delle credenziali, è più veloce e può scoprire più dispositivi non gestiti, i risultati sono solo leggermente migliori di una risposta ICMP.
Ecco un esempio di dettagli del dispositivo rilevati da una scansione solo scoperta di uno scanner vuln leader:
In sostanza include solo gli indirizzi IP e MAC del dispositivo scoperto – non informazioni sufficienti per essere utili per l'inventario delle risorse.
Potenziali limitazioni degli scanner di vulnerabilità per i dispositivi gestiti
Gli scanner di vulnerabilità sono una gigantesca raccolta di sonde di sicurezza che speri possano trovare tutte le vulnerabilità prima dell'avversario. Uno scanner di vulnerabilità dovrebbe essere in grado di raccogliere una tonnellata di informazioni sui dispositivi a cui può accedere. Tuttavia, gli scanner di vulnerabilità non sono appositamente creati per l'inventario delle risorse e non raccolgono tutte le informazioni di cui hai bisogno in un inventario delle risorse informatiche.
Ecco i dettagli per lo stesso dispositivo di cui sopra con una scansione autenticata standard dello stesso prodotto:
Le informazioni sulle risorse di questo scanner leader includono maggiori dettagli su software e vulnerabilità, ma pochi dettagli sulle risorse aggiuntive, come la versione esatta del sistema operativo o la piattaforma hardware.
E lo stesso dispositivo scansionato da runZero:
Confronto delle scansioni
Confrontiamo e contrastiamo ciò che ogni soluzione ha trovato:
runZero crea un inventario delle risorse da più fonti, una delle quali è il suo scanner proprietario, che non richiede credenziali. Anche se è un non autenticato, scanner attivo, raccoglie più dettagli di uno scanner di vulnerabilità autenticato scanner attivo perché è stato appositamente progettato per l'inventario delle risorse.
Al di là della mancanza di dettagli, gli scanner di vulnerabilità a volte semplicemente sbagliano. Un grande cliente di telecomunicazioni ha utilizzato uno scanner vuln leader ed runZero per scansionare lo stesso dispositivo. Lo scanner vuln leader lo ha impresso come dispositivo CentOS Linux, ma runZero lo ha identificato accuratamente come un bilanciamento del carico F5, che stava eseguendo un firmware basato su CentOS. Sebbene lo scanner di vulnerabilità fosse superficialmente accurato, i dettagli superficiali hanno indotto in errore il team di sicurezza a de-prioritizzare il rischio da quel dispositivo. Un bilanciatore del carico rivolto al pubblico e una lampadina intelligente con un indirizzo IP privato sono significativamente diversi per un team di sicurezza. Conoscere il sistema operativo non è semplicemente sufficiente.
Esposizione involontaria al rischio durante la verifica delle vulnerabilità
Gli scanner di vulnerabilità devono utilizzare scanner attivi autenticati per accedere ai dispositivi per verificare le vulnerabilità on-box. Sfortunatamente, se un avversario ha compromesso o aggiunto qualsiasi dispositivo sulla rete, può raccogliere e riutilizzare quelle credenziali per l'escalation dei privilegi o il movimento laterale. Limitare l'ambito di scansione e scansionare solo i dispositivi affidabili ha senso, ma ciò amplia ulteriormente le lacune nell'inventario delle risorse.
Rischi e incertezza dovuti a dispositivi mancanti
Non puoi nemmeno fingere di gestire la tua posizione di sicurezza se non hai un inventario completo delle risorse. Come puoi trovare dispositivi ( EOL ) di fine vita, configurazioni non sicure e vulnerabilità se non sai nemmeno cosa c'è sulla rete?
Le lacune nell'inventario delle risorse significano incertezza. Gli scanner di vulnerabilità sono eccellenti nei dispositivi di sondaggio per verificare la presenza di CVE, purché si scansiona tutto ciò che è necessario. Scopare le scansioni senza sapere dove sono tutti i dispositivi significa che non stai scansionando l'intera rete. Non sorprende che le risorse perse dalle scansioni di vulnerabilità siano spesso dispositivi non gestiti che sono dietro le patch; Dopotutto, lo scanner non ha le credenziali per autenticarsi, quindi non può effettuare una valutazione completa. Questi sono i tipi di dispositivi che un avversario caccia quando cerca un punto d'appoggio nell'ambiente.
Le soluzioni CAASM sfruttano i dati di vulnerabilità ma vanno ben oltre.
Ora capisci perché gli scanner di vulnerabilità da soli non possono rispondere alla domanda sull'inventario delle risorse. Tuttavia, possono far parte della soluzione.
Soluzioni CAASM combinare i dati di vulnerabilità con altre fonti:
Soluzioni di sicurezza aziendale tramite API: Molte soluzioni CAASM si integrano con EDR, MDM, soluzioni di gestione della vulnerabilità e persino strumenti di produttività come Google Workspace per coprire tutti i dispositivi gestiti.
Moderni scanner di rete: Alcune delle migliori soluzioni CAASM utilizzano anche scanner di rete specializzati ottimizzati per l'inventario delle risorse per trovare dispositivi IT e OT non gestiti.
Come best practice, tutte le organizzazioni dovrebbero cercare le vulnerabilità ove possibile, stabilire le priorità rapidamente e risolverle rapidamente. Un efficace programma di gestione della vulnerabilità è un'impresa difensiva essenziale per qualsiasi organizzazione di sicurezza matura. Un inventario completo delle risorse si affianca alla scansione delle vulnerabilità come componente principale dell'intero programma. Ulteriori informazioni su come l'inventario delle risorse può migliorare la gestione della vulnerabilità.
Una soluzione di gestione che copre le risorse dall'IT a OT, dal cloud ai dispositivi remoti
runZero è una soluzione di gestione delle risorse informatiche che include la funzionalità CAASM. Combina integrazioni con la gestione della vulnerabilità e altre fonti con uno scanner di rete proprietario veloce e sicuro anche su fragili reti IoT e OT.
runZero scala fino a milioni di dispositivi, ma è facile da provare. La prova gratuita di 21 giorni si converte a versione gratuita per uso personale o organizzazioni con meno di 256 dispositivi. Scopri cosa è connesso alla tua rete in meno di 20 minuti.
Inizia ad utilizzare runZero gratuitamente
RunZero è la soluzione di gestione degli asset IT e OT che permette di ottenere un inventario completo di qualsiasi dispositivo connesso alla rete.
Scopri maggiori dettagli su RunZero oppure non esitare a contattarci.