top of page
Cerca

Monitoraggio e scansione delle vulnerabilità: importanza e tipologie

Differenza tra scansione delle vulnerabilità interne basata su agente o senza



Un altro giorno, un'altra violazione dei dati. La criminalità informatica è in aumento e l'unico modo per fermare un attacco informatico è pensare come un attaccante. In molti casi, il primo passo del cattivo attore è la scansione dei sistemi della vittima alla ricerca di vulnerabilità che consentano loro di prendere piede. Secondo lo State of Application Security di Forrester, il 39% degli attacchi esterni ha sfruttato le falle trovate nelle applicazioni web, mentre un altro 30% ha sfruttato i difetti del software. Sulla base di queste cifre, quasi il 70% di questi attacchi è prevenibile.


Una cosa è chiara, l'identificazione proattiva e la correzione delle vulnerabilità sono fondamentali per la forza del tuo programma di sicurezza informatica. Ma da dove iniziare?


Mentre la scansione delle vulnerabilità esterne può fornire un'ottima panoramica di come ti veda un hacker, le informazioni che possono essere raccolte senza accesso ai sistemi possono essere limitate. In questa fase è possibile scoprire alcune gravi vulnerabilità, quindi è un MUST per molte organizzazioni eseguire un monitoraggio, meglio se continuo e non a spot.


Tecniche come phishing, malware mirato e attacchi watering-hole contribuiscono al rischio che, anche se i sistemi esterni sono sicuri, potresti comunque essere compromesso da un criminale informatico. Inoltre, un sistema rivolto verso l'esterno che sembra sicuro dal punto di vista della scatola nera potrebbe presentare gravi vulnerabilità che verrebbero rivelate da un'ispezione più approfondita del sistema e del software in esecuzione.


Questo è il divario che la scansione delle vulnerabilità interne riempie. Proteggere l'interno come si protegge l'esterno fornisce un secondo livello di difesa, rendendo l’organizzazione significativamente più resiliente a una violazione. Per questo motivo è visto anche come un must per molte organizzazioni.



La scansione delle vulnerabilità è disponibile in tre versioni di base: basata su agente, senza agente o un ibrido delle due. Quale di questi è il migliore per te dipende dall'ambiente e dalle tue esigenze organizzative. Diamo un'occhiata a ciascuna opzione.



Scansione basata su agente


La scansione delle vulnerabilità interne basata su agenti è considerata l'approccio più moderno, poiché esegue "agenti" sui dispositivi che segnalano a un server centrale.


Gli "agenti" sono un pacchetto software distribuito su ogni dispositivo che deve essere testato. Una volta installato, l'agente raccoglie i dati che indicano se il dispositivo potrebbe avere problemi di sicurezza. L'agente ritrasmette questi dati ai server di raccolta e le informazioni raccolte nell'intera infrastruttura vengono quindi consolidate in un'interfaccia a "riquadro unico" per l'analisi. Ciò semplifica il processo di amministrazione e analisi per il team di sicurezza e aiuta a soddisfare i requisiti di conformità alle normative sulla protezione dei dati

La scansione basata su agenti è adatta per organizzazioni con una forza lavoro geograficamente diversificata, in particolare se l'organizzazione include lavoratori remoti. Questo è il tipo più tradizionale di scanner di vulnerabilità.


Sebbene la "scansione autenticata" consenta alle scansioni basate sulla rete di raccogliere livelli di informazioni simili a una scansione basata su agenti, ogni approccio presenta comunque vantaggi e svantaggi.



Vantaggi della scansione delle vulnerabilità basata su agenti

Esistono molti ambienti in cui è preferibile la scansione basata su agente. In ambienti ampiamente distribuiti o con numerosi dipendenti remoti, la scansione basata su agenti è più efficace. Ciò consente all'agente di restituire i risultati della scansione al server di raccolta, anche se si trovano dietro sottoreti private o reti non aziendali.


Alcuni vantaggi degli scanner basati su agenti includono:


Requisiti delle credenziali del dispositivo. Gli scanner basati su agenti sono progettati per aggirare la necessità di credenziali poiché gli agenti vengono installati direttamente su un dispositivo.


Traffico di rete ridotto: gli agenti preinstallati riducono il traffico di rete e le scansioni di rete frequenti vengono sostituite da regole che impostano scansioni pianificate periodiche o basate su eventi.


Nessuna limitazione IP: un altro vantaggio della scansione basata su agente è che non è limitata dall'IP. Le risorse che utilizzano l'indirizzamento dinamico o che si trovano fuori sede dietro sottoreti private sono ancora accessibili con la scansione basata su agenti mentre si riconnettono ai server.


Copertura dei dispositivi disconnessi: i dispositivi che non sono perennemente connessi alla rete possono ancora essere scansionati. Gli agenti aspettano fino a quando non viene ristabilita una connessione a Internet, quindi inviano i dati al server; pertanto, una scansione pianificata può essere sospesa e riavviata se si verifica un'interruzione della connessione. Questa funzione può essere desiderabile in un ambiente WFH o per i viaggiatori d'affari attivi con Wi-Fi intermittente.


Supporto BYOD: il crescente utilizzo di dispositivi personali per uso aziendale crea legittimi problemi di sicurezza per le organizzazioni. L'installazione di agenti fornisce i dati sulla sicurezza di un dispositivo, ad esempio se il dispositivo è completamente patchato. Questa intelligence può aiutare a far rispettare le politiche di sicurezza aziendali.


Le sfide della scansione delle vulnerabilità basata sugli agenti

Uno degli svantaggi della scansione delle vulnerabilità basata su agenti è che dipendono dal sistema operativo (OS) e generalmente non possono eseguire la scansione delle risorse di rete come router, switch e firewall. Tuttavia, la maggior parte delle soluzioni di scansione basate su agenti supporterà più sistemi operativi comuni.


È quasi ovvio, ma gli agenti non possono essere installati su tutto.


Dispositivi come stampanti; router e switch; e qualsiasi altro hardware specializzato presente su di una rete, potrebbe non avere un sistema operativo supportato da un agente. Tuttavia, avranno un indirizzo IP, il che significa che puoi scansionarli tramite uno scanner basato sulla rete.


Generalmente parlando la scansione basata su agenti comporta anche un sovraccarico amministrativo poiché i nuovi dispositivi aggiunti alla rete devono avere agenti installati. Sebbene gli aggiornamenti degli agenti siano in genere automatizzati, le nuove installazioni e le modifiche agli scanner richiederanno un lavoro aggiuntivo per il personale IT.




Scansione senza agente

La scansione senza agente non richiede l'installazione di agenti su ciascun dispositivo e si estende invece dal server alle risorse. Sebbene i dati raccolti siano simili a un approccio basato su agenti, elimina l'installazione e la gestione di software aggiuntivo su tutti i dispositivi. A questo proposito, questo approccio è un metodo estremamente leggero per la scansione delle vulnerabilità della sicurezza.



Vantaggi della scansione delle vulnerabilità senza agente

Esistono molti ambienti in cui è preferibile la scansione senza agente. Per gli ambienti in cui la maggior parte dei dispositivi si trova all'interno di reti controllate dall'azienda, la scansione senza agente consente un'analisi e una valutazione di rete più ampie di tutti i tipi di dispositivi di rete.


Alcuni vantaggi degli scanner senza agente includono:


Dati aggiuntivi: la scansione senza agente può fornire alcuni dati di gap non forniti dalla scansione basata su agente. Ad esempio, gli scanner di vulnerabilità senza agente possono individuare i certificati SSL che non sono archiviati su un dispositivo.

Scansione di rete: la scansione senza agente può osservare l'intera rete e identificare tutti gli host e i dispositivi collegati. Ciò consente l'identificazione e la scansione delle risorse che potrebbero non essere rilevate dalla scansione basata sull'agente.

Agnostico: non ci sono requisiti di compatibilità del sistema operativo per rilevare e scansionare le risorse. Ciò consente di includere nelle scansioni IoT (Internet of Things) e dispositivi basati su rete come router e switch.


Svantaggi della scansione delle vulnerabilità senza agente

Un grave inconveniente dell'uso della scansione senza agente è il requisito di una connessione di rete coerente. In un ambiente di lavoro remoto con utenti dietro reti domestiche, i loro dispositivi non sono accessibili agli scanner senza agente.


Inoltre, l'accesso senza agente non ha la profondità di visibilità delle soluzioni basate su agenti. Il software basato su agenti può vedere le vulnerabilità nascoste dalle soluzioni remote perché ha accesso privilegiato al sistema operativo.


Il meglio di entrambi i mondi

L'utilizzo della sola scansione basata su agente o senza agente come unica soluzione lascia delle lacune nei dati raccolti. Sebbene le soluzioni senza agente forniscano una visione più approfondita della rete rispetto agli approcci basati su agenti, non sono all'altezza dei lavoratori remoti e degli ambienti dinamici basati su cloud. La natura simbiotica della scansione delle vulnerabilità senza agenti e basata su agenti offre una terza opzione con vantaggi esclusivi.


La combinazione dei due approcci consente di raccogliere dati più approfonditi. I problemi relativi all'eventuale presenza di un dispositivo fuori sede o alla gestione degli agenti per l'infrastruttura locale vengono eliminati. In questo modo, le organizzazioni che necessitano di una visibilità completa possono creare un ecosistema di scansione delle vulnerabilità altamente efficiente.



Proteggere la tua organizzazione in crescita dalle minacce informatiche è fondamentale, ma richiede tempo e risorse dalle attività di crescita. Sia che la tua azienda funzioni con un'infrastruttura IT composta da una sola persona o un team di sicurezza che sta espandendo le proprie competenze e risorse, la soluzione innovativa CyFox, basata sul machine-learning, ti consente di monitorare, raccogliere e analizzare i dati attraverso la tua rete, dai dispositivi IoT ai file del server.



La soluzione mappa le vulnerabilità esistenti dell'organizzazione e utilizza "Attack Hunter" basato sull'intelligenza artificiale di CyFox per identificare le minacce. Quindi correla autonomamente tali vulnerabilità con vettori di attacco noti in modo che gli analisti possano rilevare facilmente gli attacchi ed eseguire misure di mitigazione e risposta immediate.



Inoltre offre il vantaggio di poter monitorare qualsiasi device con IP con, senza agente o ibrido, adattandosi quindi alle esigenze e alla struttura dell’organizzazione.





Comments


bottom of page