اسکن آسیب‌پذیری یا Vulnerability Scanning چیست

اسکن آسیب‌پذیری یک فرایند خودکارسازی‌شده است که برای کمک به شناسایی آسیب‌پذیری‌های قابل بهره‌برداری در یک برنامه کاربردی طراحی شده است. وقتی آسیب‌پذیری‌های جدیدی کشف شده و به‌طور عمومی افشا می‌شوند، Signatureهای جدیدی برای این آسیب‌پذیری‌ها ایجاد می‌گردند. یک اسکنر آسیب‌پذیری با استفاده از فهرست Signatureهای خود، یک برنامه کاربردی را تست کرده و همه آسیب‌پذیری‌های موجود را شناسایی می‌کند.

فرایند ارزیابی آسیب‌پذیری

معمولاً وقتی که برنامه‌های کاربردی منتشر می‌گردند، آسیب‌پذیری‌های آن‌ها پیدا می‌شود و سازمان‌ها باید این آسیب‌پذیری‌ها را مدیریت کنند تا بتوانند در مقابل Exploit شدن از خود محافظت نمایند.

 انجام این کار به‌صورت کارآمد نیازمند انجام مراحل زیر توسط سازمان‌هاست:

 اسکن: اسکن آسیب‌پذیری به یک سازمان توانایی کشف آسیب‌پذیری‌های نیازمند اصلاح، در یک برنامه کاربردی را می‌دهد.

• تجزیه‌وتحلیل:در مرحله‌ی تجزیه‌و‌تحلیل، یک تحلیلگر مرکز عملیات امنیت یا SOC بررسی و اولویت‌بندی را انجام می‌دهد تا اهمیت یک آسیب‌پذیری به‌خصوص، آنچه برای اصلاح آن مورد نیاز است و دسترس‌پذیری یک Patch در صورت نیاز را مشخص کند.

• اصلاح/Patch: آسیب‌پذیری‌های مختلف می‌توانند نیازمند مراحل اصلاح متفاوتی باشند. در برخی از موارد ممکن است به دلیل یک مشکل در پیکربندی مثل استفاده از یک نام کاربری یا رمز عبور پیش‌فرض یا ضعیف یک آسیب‌پذیری ایجاد گردد. در موارد دیگر، ممکن است آسیب‌پذیری نیازمند نصب یک Patch یا بروزرسانی باشد که برای اصلاح یک خطای طراحی یا خطای پیاده‌سازی در کد ایجاد گردد.
• بررسی: یک اصلاح یا Patch فقط درصورتی کارآمد است که واقعاً آسیب‌پذیری را اصلاح کند. پس از تلاش برای اصلاح، یک برنامه کاربردی باید دوباره اسکن شود تا اطمینان حاصل گردد که مشکل برطرف شده و مشکل دیگری ایجاد نشده است.

این فرایند باید به‌طور مداوم انجام گردد. آسیب‌پذیری‌های جدید هر روز کشف می‌شوند، پس خوب است که فرایند اسکن آسیب‌پذیری خودکارسازی شود تا یک تیم امنیتی از آسیب‌پذیری‌های حیاتی اطلاع پیدا کرده و اقدامات لازم را انجام دهد تا با بیشترین سرعت ممکن این آسیب‌پذیری‌ها را اصلاح نماید.

انواع اسکن آسیب‌پذیری یا Vulnerability Scanning

اسکن آسیب‌پذیری را می‌توان به شیوه‌های زیادی انجام داد که روی نتایج و اثربخشی آن‌ها مؤثر باشد.

• خارجی یا داخلی: اسکن‌های آسیب‌پذیری خارجی و داخلی برای پاسخ به سناریوهای حمله‌ی متفاوتی طراحی می‌شوند. یک اسکن خارجی می‌تواند به شناسایی آسیب‌پذیری‌هایی کمک کند که ممکن است توسط یک مهاجم خارجی Exploit شوند، درحالی‌که اسکن‌های داخلی، سناریوهای تهدیدات داخلی را مدل‌سازی می‌کنند.
• احراز هویت‌شده یا بدون احراز هویت: در بسیاری از حملات سایبری، به‌دست آوردن دسترسی به اطلاعات اعتباری کاربر یکی از اهداف اصلی مهاجم است. یک اسکن احراز هویت‌شده، آسیب‌پذیری‌هایی را تست می‌کند که شاید دسترسی به آن‌ها برای یک مهاجم دارای دسترسی به یک حساب کاربری ممکن باشد، درحالی‌که اسکن‌های بدون احراز هویت از مهاجمی تقلید می‌کنند که به این سطح دسترسی نرسیده است.

خوب است که اسکن‌های مختلف با هر یک از چهار ترکیبِ ممکن انجام شود تا اطمینان حاصل گردد که تمام آسیب‌پذیری‌های احتمالی شناسایی شده‌اند. با شناسایی این آسیب‌پذیری‌ها از طریق اسکن آسیب‌پذیری، یک سازمان می‌تواند نواقص امنیتی را برطرف کرده و ریسک سایبری را کاهش دهد.

تفاوت بین مدیریت آسیب‌پذیری و ارزیابی آسیب‌پذیری

به‌طورکلی یک ارزیابی آسیب‌پذیری بخشی از سیستم مدیریت آسیب‌پذیری کامل است. سازمان‌ها احتمالاً چندین ارزیابی آسیب‌پذیری را اجرا می‌کنند تا اطلاعات بیشتری را در مورد برنامه‌ی عملیاتی مدیریت آسیب‌پذیری خود پیدا کنند.

فرایند مدیریت ارزیابی آسیب‌پذیری را می‌توان به چهار مرحله‌ی زیر تقسیم‌بندی کرد:

۱) شناسایی آسیب‌پذیری‌ها

۲) ارزیابی آسیب‌پذیری‌ها

۳) اصلاح آسیب‌پذیری‌ها

۴) گزارش‌ آسیب‌پذیری‌ها

 در قلب یک راهکار مدیریت آسیب‌پذیری عادی، یک اسکنر آسیب‌پذیری وجود دارد. اسکن شامل چهار مرحله است:

• اسکن کردن سیستم‌های قابل‌دسترسی از طریق شبکه با پینگ کردن آن‌ها یا ارسال Packetهای TCP/UDP به آن‌ها
• شناسایی پورت‌های باز و سرویس‌هایی که روی سیستم‌های اسکن‌شده اجرا می‌شوند
• درصورت‌امکان، وارد شدن به سیستم‌ها برای جمع‌آوری اطلاعات دقیق سیستم
• همبسته‌سازی اطلاعات سیستم با آسیب‌پذیری‌های شناخته شده

اسکنرهای آسیب‌پذیری می‌توانند انواعی از سیستم‌ها را که روی شبکه اجرا می‌شوند، شناسایی کنند مثلاً لپ‌تاپ‌ها و رایانه‌ها، سرورهای فیزیکی و مجازی، دیتابیس‌ها، فایروال‌ها، سوئیچ‌ها، پرینترها و غیره. بخش‌های مختلفی از سیستم‌های شناسایی‌شده بررسی می‌گردند، از جمله سیستم عامل، پورت‌های باز، نرم‌افزارهای نصب‌شده، حساب کاربری، ساختار فایل سیستم، پیکربندی‌های سیستم و غیره.  سپس این اطلاعات مورد استفاده قرار می‌گیرد تا آسیب‌پذیری‌های شناخته‌شده به سیستم‌های اسکن شده مرتبط گردد. برای این مرتبط‌سازی، اسکنرهای آسیب‌پذیری از یک دیتابیس آسیب‌پذیری استفاده می‌کنند که حاوی فهرستی از آسیب‌پذیری‌های شناخته‌شده‌ی عمومی است.

پیکربندی درست اسکن‌های آسیب‌پذیری بخش بسیار مهمی از راهکار مدیریت آسیب‌پذیری می‌باشد. اسکنرهای آسیب‌پذیری گاهی اوقات می‌توانند شبکه‌های سیستم‌هایی را که اسکن می‌کنند دچار اختلال نمایند. در ساعات اوج مصرف یک سازمان، پهنای باند شبکه بسیار محدود می‌شود، پس اسکن‌های آسیب‌پذیری باید طوری برنامه‌ریزی شوند که در ساعات خاموشی به اجرا دربیایند.

اگر برخی از سیستم‌ها روی شبکه در زمان اسکن ناپایدار شده یا رفتار نامنظمی داشته باشند، ممکن است نیاز باشد که از اسکن‌های آسیب‌پذیری کنار گذاشته شوند یا شاید لازم شود که اسکن‌ها طوری تنظیم گردند که اختلال کمتری داشته باشند. اسکن کردن به‌صورت تطبیق‌پذیر رویکرد جدیدی است که اسکن‌های آسیب‌پذیری را براساس تغییرات در شبکه، بیش از پیش خودکارسازی و تسهیل می‌نماید. برای مثال وقتی سیستم جدیدی برای اولین بار به شبکه متصل می‌شود، اسکنر آسیب‌پذیری به جای اینکه یک هفته یا یک ماه برای اسکن کردن کل شبکه صبر کند، به محض امکان، فقط آن سیستم را اسکن می‌کند.

اسکن آسیب‌پذیری یا تست نفوذ: کدام بهتر است؟

هم اسکن آسیب‌پذیری و هم تست نفوذ، روش‌هایی هستند که تیم امنیتی یک سازمان از طریق آن‌ها می‌تواند نقاط ضعف امنیت سایبری خود را پیدا کند. اما این دو روش تفاوت‌های زیادی دارند.

یک اسکن آسیب‌پذیری به طور خودکار آسیب‌پذیری‌ها را جستجو می‌کند. اسکنرهای آسیب‌پذیری متفاوتی وجود دارند و روش کار آن‌ها جستجو برای Signatureهای آسیب‌پذیری‌های شناخته شده یا خطاهای امنیتی متداول (مثل استفاده از رمزهای عبور ضعیف) است. این اسکن‌ها معمولاً برای پیدا کردن نقاط ضعف سطح بالا در برنامه‌های کاربردی و زیرساخت IT یک سازمان طراحی می‌شوند.

تست نفوذ به معنای ارزیابی یک اپراتور یا تیم انسانی از امنیت سایبری یک سازمان است. این تست ارزیابی عمیق‌تری را ارائه می‌کند، زیرا تست‌کننده‌ها آسیب‌پذیری‌های شناسایی‌شده را Exploit کرده و می‌توانند دسترسی بیشتری به شبکه‌ی هدف پیدا کنند و مشکلات داخلی شبکه را شناسایی نماید. به علاوه، تست‌کننده‌های نفوذ می‌توانند مسیرهای حمله‌ی احتمالی را خارج از حوزه‌ی ارزیابی آسیب‌پذیری تست کنند، مثلاً مهندسی اجتماعی و حملات فیشینگ.

نقش اسکن آسیب‌پذیری در مدیریت تهدید[۱]

مجرمان سایبری با استفاده از Botnetها برنامه‌های کاربردی بر روی اینترنت را برای آسیب‌پذیری‌های قابل بهره‌برداری اسکن می‌کنند. اگر چنین آسیب‌پذیری‌هایی پیدا شود، می‌توان به‌طور خودکار آن‌ها را Exploit کرد که این امر می‌تواند منجر به درز کردن داده‌های حساس و یا دسترسی به شبکه‌ی سازمان شود.

اسکن آسیب‌پذیری که یکی از اجزای حیاتی برنامه‌ی مدیریت تهدید هر سازمانی است، از ابزاری استفاده می‌کند که بسیاری از مجرمان سایبری در اسکن‌های خود از آن بهره می‌برند و به یک سازمان توانایی شناسایی و اصلاح این آسیب‌پذیری‌ها را پیش از Exploit شدن توسط یک مهاجم، می‌دهد.

خلاصه

اسکنرهای آسیب‌پذیری یک اسکن خودکار را انجام می‌دهند تا نقاط ضعفی را که امکان Exploit شدن داشته را درون برنامه‌های کاربردی، Endpointها و زیرساخت IT سازمان پیدا کنند. انجام این اسکن‌های آسیب‌پذیری یکی از الزامات متداول برای تطبیق‌پذیری نظارتی است و می‌تواند به کاهش ریسک امنیت سایبری سازمان کمک کند. در نتیجه این اسکن باید بخشی اساسی از برنامه‌ی مدیریت تهدید هر سازمانی باشد. در صورت تمایل می‌توانید با شماره ۴۲۲۷۳-۰۲۱ تماس گرفته و بصورت رایگان با کارشناسان مجرب شرکت امن‌پردازان کویر (APK) مشاوره نمایید.

[۱] Threat Management