اسکن آسیبپذیری یک فرایند خودکارسازیشده است که برای کمک به شناسایی آسیبپذیریهای قابل بهرهبرداری در یک برنامه کاربردی طراحی شده است. وقتی آسیبپذیریهای جدیدی کشف شده و بهطور عمومی افشا میشوند، Signatureهای جدیدی برای این آسیبپذیریها ایجاد میگردند. یک اسکنر آسیبپذیری با استفاده از فهرست Signatureهای خود، یک برنامه کاربردی را تست کرده و همه آسیبپذیریهای موجود را شناسایی میکند.
فرایند ارزیابی آسیبپذیری
معمولاً وقتی که برنامههای کاربردی منتشر میگردند، آسیبپذیریهای آنها پیدا میشود و سازمانها باید این آسیبپذیریها را مدیریت کنند تا بتوانند در مقابل Exploit شدن از خود محافظت نمایند.
انجام این کار بهصورت کارآمد نیازمند انجام مراحل زیر توسط سازمانهاست:
اسکن: اسکن آسیبپذیری به یک سازمان توانایی کشف آسیبپذیریهای نیازمند اصلاح، در یک برنامه کاربردی را میدهد.
- تجزیهوتحلیل:در مرحلهی تجزیهوتحلیل، یک تحلیلگر مرکز عملیات امنیت یا SOC بررسی و اولویتبندی را انجام میدهد تا اهمیت یک آسیبپذیری بهخصوص، آنچه برای اصلاح آن مورد نیاز است و دسترسپذیری یک Patch در صورت نیاز را مشخص کند.
- اصلاح/Patch: آسیبپذیریهای مختلف میتوانند نیازمند مراحل اصلاح متفاوتی باشند. در برخی از موارد ممکن است به دلیل یک مشکل در پیکربندی مثل استفاده از یک نام کاربری یا رمز عبور پیشفرض یا ضعیف یک آسیبپذیری ایجاد گردد. در موارد دیگر، ممکن است آسیبپذیری نیازمند نصب یک Patch یا بروزرسانی باشد که برای اصلاح یک خطای طراحی یا خطای پیادهسازی در کد ایجاد گردد.
- بررسی: یک اصلاح یا Patch فقط درصورتی کارآمد است که واقعاً آسیبپذیری را اصلاح کند. پس از تلاش برای اصلاح، یک برنامه کاربردی باید دوباره اسکن شود تا اطمینان حاصل گردد که مشکل برطرف شده و مشکل دیگری ایجاد نشده است.
این فرایند باید بهطور مداوم انجام گردد. آسیبپذیریهای جدید هر روز کشف میشوند، پس خوب است که فرایند اسکن آسیبپذیری خودکارسازی شود تا یک تیم امنیتی از آسیبپذیریهای حیاتی اطلاع پیدا کرده و اقدامات لازم را انجام دهد تا با بیشترین سرعت ممکن این آسیبپذیریها را اصلاح نماید.
انواع اسکن آسیبپذیری یا Vulnerability Scanning
اسکن آسیبپذیری را میتوان به شیوههای زیادی انجام داد که روی نتایج و اثربخشی آنها مؤثر باشد.
- خارجی یا داخلی: اسکنهای آسیبپذیری خارجی و داخلی برای پاسخ به سناریوهای حملهی متفاوتی طراحی میشوند. یک اسکن خارجی میتواند به شناسایی آسیبپذیریهایی کمک کند که ممکن است توسط یک مهاجم خارجی Exploit شوند، درحالیکه اسکنهای داخلی، سناریوهای تهدیدات داخلی را مدلسازی میکنند.
- احراز هویتشده یا بدون احراز هویت: در بسیاری از حملات سایبری، بهدست آوردن دسترسی به اطلاعات اعتباری کاربر یکی از اهداف اصلی مهاجم است. یک اسکن احراز هویتشده، آسیبپذیریهایی را تست میکند که شاید دسترسی به آنها برای یک مهاجم دارای دسترسی به یک حساب کاربری ممکن باشد، درحالیکه اسکنهای بدون احراز هویت از مهاجمی تقلید میکنند که به این سطح دسترسی نرسیده است.
خوب است که اسکنهای مختلف با هر یک از چهار ترکیبِ ممکن انجام شود تا اطمینان حاصل گردد که تمام آسیبپذیریهای احتمالی شناسایی شدهاند. با شناسایی این آسیبپذیریها از طریق اسکن آسیبپذیری، یک سازمان میتواند نواقص امنیتی را برطرف کرده و ریسک سایبری را کاهش دهد.
تفاوت بین مدیریت آسیبپذیری و ارزیابی آسیبپذیری
بهطورکلی یک ارزیابی آسیبپذیری بخشی از سیستم مدیریت آسیبپذیری کامل است. سازمانها احتمالاً چندین ارزیابی آسیبپذیری را اجرا میکنند تا اطلاعات بیشتری را در مورد برنامهی عملیاتی مدیریت آسیبپذیری خود پیدا کنند.
فرایند مدیریت ارزیابی آسیبپذیری را میتوان به چهار مرحلهی زیر تقسیمبندی کرد:
۱) شناسایی آسیبپذیریها
۲) ارزیابی آسیبپذیریها
۳) اصلاح آسیبپذیریها
۴) گزارش آسیبپذیریها
در قلب یک راهکار مدیریت آسیبپذیری عادی، یک اسکنر آسیبپذیری وجود دارد. اسکن شامل چهار مرحله است:
- اسکن کردن سیستمهای قابلدسترسی از طریق شبکه با پینگ کردن آنها یا ارسال Packetهای TCP/UDP به آنها
- شناسایی پورتهای باز و سرویسهایی که روی سیستمهای اسکنشده اجرا میشوند
- درصورتامکان، وارد شدن به سیستمها برای جمعآوری اطلاعات دقیق سیستم
- همبستهسازی اطلاعات سیستم با آسیبپذیریهای شناخته شده
اسکنرهای آسیبپذیری میتوانند انواعی از سیستمها را که روی شبکه اجرا میشوند، شناسایی کنند مثلاً لپتاپها و رایانهها، سرورهای فیزیکی و مجازی، دیتابیسها، فایروالها، سوئیچها، پرینترها و غیره. بخشهای مختلفی از سیستمهای شناساییشده بررسی میگردند، از جمله سیستم عامل، پورتهای باز، نرمافزارهای نصبشده، حساب کاربری، ساختار فایل سیستم، پیکربندیهای سیستم و غیره. سپس این اطلاعات مورد استفاده قرار میگیرد تا آسیبپذیریهای شناختهشده به سیستمهای اسکن شده مرتبط گردد. برای این مرتبطسازی، اسکنرهای آسیبپذیری از یک دیتابیس آسیبپذیری استفاده میکنند که حاوی فهرستی از آسیبپذیریهای شناختهشدهی عمومی است.
پیکربندی درست اسکنهای آسیبپذیری بخش بسیار مهمی از راهکار مدیریت آسیبپذیری میباشد. اسکنرهای آسیبپذیری گاهی اوقات میتوانند شبکههای سیستمهایی را که اسکن میکنند دچار اختلال نمایند. در ساعات اوج مصرف یک سازمان، پهنای باند شبکه بسیار محدود میشود، پس اسکنهای آسیبپذیری باید طوری برنامهریزی شوند که در ساعات خاموشی به اجرا دربیایند.
اگر برخی از سیستمها روی شبکه در زمان اسکن ناپایدار شده یا رفتار نامنظمی داشته باشند، ممکن است نیاز باشد که از اسکنهای آسیبپذیری کنار گذاشته شوند یا شاید لازم شود که اسکنها طوری تنظیم گردند که اختلال کمتری داشته باشند. اسکن کردن بهصورت تطبیقپذیر رویکرد جدیدی است که اسکنهای آسیبپذیری را براساس تغییرات در شبکه، بیش از پیش خودکارسازی و تسهیل مینماید. برای مثال وقتی سیستم جدیدی برای اولین بار به شبکه متصل میشود، اسکنر آسیبپذیری به جای اینکه یک هفته یا یک ماه برای اسکن کردن کل شبکه صبر کند، به محض امکان، فقط آن سیستم را اسکن میکند.
اسکن آسیبپذیری یا تست نفوذ: کدام بهتر است؟
هم اسکن آسیبپذیری و هم تست نفوذ، روشهایی هستند که تیم امنیتی یک سازمان از طریق آنها میتواند نقاط ضعف امنیت سایبری خود را پیدا کند. اما این دو روش تفاوتهای زیادی دارند.
یک اسکن آسیبپذیری به طور خودکار آسیبپذیریها را جستجو میکند. اسکنرهای آسیبپذیری متفاوتی وجود دارند و روش کار آنها جستجو برای Signatureهای آسیبپذیریهای شناخته شده یا خطاهای امنیتی متداول (مثل استفاده از رمزهای عبور ضعیف) است. این اسکنها معمولاً برای پیدا کردن نقاط ضعف سطح بالا در برنامههای کاربردی و زیرساخت IT یک سازمان طراحی میشوند.
تست نفوذ به معنای ارزیابی یک اپراتور یا تیم انسانی از امنیت سایبری یک سازمان است. این تست ارزیابی عمیقتری را ارائه میکند، زیرا تستکنندهها آسیبپذیریهای شناساییشده را Exploit کرده و میتوانند دسترسی بیشتری به شبکهی هدف پیدا کنند و مشکلات داخلی شبکه را شناسایی نماید. به علاوه، تستکنندههای نفوذ میتوانند مسیرهای حملهی احتمالی را خارج از حوزهی ارزیابی آسیبپذیری تست کنند، مثلاً مهندسی اجتماعی و حملات فیشینگ.
نقش اسکن آسیبپذیری در مدیریت تهدید[۱]
مجرمان سایبری با استفاده از Botnetها برنامههای کاربردی بر روی اینترنت را برای آسیبپذیریهای قابل بهرهبرداری اسکن میکنند. اگر چنین آسیبپذیریهایی پیدا شود، میتوان بهطور خودکار آنها را Exploit کرد که این امر میتواند منجر به درز کردن دادههای حساس و یا دسترسی به شبکهی سازمان شود.
اسکن آسیبپذیری که یکی از اجزای حیاتی برنامهی مدیریت تهدید هر سازمانی است، از ابزاری استفاده میکند که بسیاری از مجرمان سایبری در اسکنهای خود از آن بهره میبرند و به یک سازمان توانایی شناسایی و اصلاح این آسیبپذیریها را پیش از Exploit شدن توسط یک مهاجم، میدهد.
خلاصه
اسکنرهای آسیبپذیری یک اسکن خودکار را انجام میدهند تا نقاط ضعفی را که امکان Exploit شدن داشته را درون برنامههای کاربردی، Endpointها و زیرساخت IT سازمان پیدا کنند. انجام این اسکنهای آسیبپذیری یکی از الزامات متداول برای تطبیقپذیری نظارتی است و میتواند به کاهش ریسک امنیت سایبری سازمان کمک کند. در نتیجه این اسکن باید بخشی اساسی از برنامهی مدیریت تهدید هر سازمانی باشد. در صورت تمایل میتوانید با شماره ۴۲۲۷۳-۰۲۱ تماس گرفته و بصورت رایگان با کارشناسان مجرب شرکت امنپردازان کویر (APK) مشاوره نمایید.
[۱] Threat Management