Scansioni di vulnerabilità attive e passive: un passo avanti rispetto ai criminali informatici
Nella produzione in rete, IT e OT sono sempre più vicini. Se in passato una falla nella sicurezza causava "solo" una perdita di dati, oggi l'intera produzione può crollare. Chi esegue regolarmente scansioni di vulnerabilità attive e passive può proteggersi.
Quello che sembra un po' strano nel caso delle infrastrutture fisiche - chi ricreerebbe un'effrazione per testare il proprio sistema di allarme - è una procedura collaudata nell'IT per identificare le vulnerabilità. Questa cosiddetta scansione attiva può essere effettuata quotidianamente e automaticamente. La scansione passiva, invece, rileva un'intrusione in corso, perché ogni intrusione informatica lascia tracce, anche se spesso nascoste.
I firewall e i programmi antivirus, ad esempio, utilizzano la scansione passiva per controllare il traffico che raggiunge un sistema. Questi dati vengono poi confrontati con un database. Le informazioni su malware, richieste non sicure e altre anomalie vengono memorizzate. Se il firewall riceve una richiesta da un mittente insicuro che vuole leggere i dati del profilo dell'utente, la respinge. Il sistema stesso non ne è consapevole, perché la scansione passiva non accede al sistema, ma solo al traffico dati.
Il vantaggio è che il sistema non deve utilizzare ulteriore potenza di calcolo. Nonostante la scansione, è possibile utilizzare l'intera larghezza di banda. Questo è particolarmente utile per i componenti critici. Essi devono avere la massima disponibilità possibile. Meno attività aggiuntive svolgono, meglio è.
Lo svantaggio della scansione passiva è che possono essere visti solo i sistemi che comunicano attivamente. Questo non include, ad esempio, il software per ufficio o i lettori di PDF. Ma anche i servizi che comunicano lo fanno principalmente con le loro funzioni principali. Le funzioni con vulnerabilità che vengono utilizzate raramente o per nulla nel funzionamento diretto non sono visibili o lo sono solo quando l'attacco è già in corso.
Le scansioni attive funzionano in modo diverso e simulano gli attacchi. Eseguono richieste al sistema e cercano quindi di scatenare diverse reazioni. Ad esempio, lo scanner attivo invia una richiesta di trasmissione di dati a vari programmi del sistema. Se uno dei programmi reagisce e inoltra i dati alla posizione non autorizzata simulata, lo scanner ha trovato una falla nella sicurezza.
Il vantaggio: la qualità dei dati che si può ottenere con la scansione attiva è superiore a quella della scansione passiva. Poiché l'interazione avviene direttamente con il software e le interfacce, è possibile rilevare problemi in programmi che normalmente non comunicano direttamente con la rete. In questo modo, vengono scoperte anche le vulnerabilità di programmi come le applicazioni Office.
Con l'interazione diretta, invece, i sistemi devono elaborare richieste aggiuntive, che possono compromettere le funzioni di base di un programma. Le tecnologie operative come i sistemi di controllo delle macchine, ad esempio, non sono necessariamente progettate per svolgere attività secondarie. In questo caso, ad esempio, si raccomanda la scansione sotto supervisione e, come integrazione, la scansione passiva continua.
Tuttavia, la scansione attiva è essenziale per la sicurezza informatica operativa. Infatti, il rischio rappresentato dall'uso eccessivo a breve termine di un componente del sistema è minimo rispetto a un'interruzione della produzione o a una fuga di dati. Inoltre, le scansioni attive non solo scoprono le vulnerabilità, ma possono anche migliorare le scansioni passive. Ad esempio, le vulnerabilità rilevate possono essere aggiunte ai database dei firewall. Questo aiuta anche altre aziende che utilizzano sistemi simili.
La scansione attiva e passiva lavorano fianco a fianco Poiché anche lo scanner passivo può fornire allo scanner attivo informazioni utili, ad esempio sui telefoni cellulari o sulle proprietà dei servizi di rete, si può parlare di un'aggiunta complementare di questi due strumenti di sicurezza. Ciò che entrambi hanno in comune è che ottengono sempre automaticamente il meglio dalla situazione data nella rete. Per le tecniche di scansione passiva e attiva, non importa di quali o quanti componenti e programmi sia composta la rete. Entrambe le tecnologie di sicurezza lo riconoscono da sole e si adattano ad esso. Solo con un livello di sicurezza più elevato inizia la regolazione ottimizzata di rete e scanner.
Non si tratta quindi di scegliere se utilizzare l'una o l'altra. Entrambi i metodi sono necessari per garantire un ambiente di rete sicuro. Un approccio puramente passivo non è utile in molti casi. La gestione proattiva delle vulnerabilità richiede scansioni attive e strumenti per gestirle. Questo è ciò che offrono i prodotti di gestione delle vulnerabilità di Greenbone.