Varreduras de vulnerabilidade activas e passivas - um passo à frente dos ciber-criminosos
Na produção em rede, as TI e as OT estão cada vez mais próximas umas das outras. Onde no passado uma falha de segurança "apenas" causou uma fuga de dados, hoje em dia toda a produção pode entrar em colapso. Aqueles que realizam scans regulares de vulnerabilidade activa e passiva podem proteger-se a si próprios.
O que parece algo estranho no caso de infra-estruturas físicas - que recriariam uma invasão para testar o seu sistema de alarme - é um procedimento experimentado e testado nas TI para identificar vulnerabilidades. Esta chamada varredura activa pode ser realizada diária e automaticamente. A varredura passiva, por outro lado, detecta uma intrusão contínua, porque cada intrusão cibernética também deixa vestígios, embora muitas vezes escondidos.
Os programas Firewalls e antivírus, por exemplo, utilizam o scan passivo para verificar o tráfego que chega a um sistema. Estes dados são depois comparados com uma base de dados. A informação sobre malware, pedidos inseguros e outras anomalias é aí armazenada. Se a firewall receber um pedido de um remetente inseguro que queira ler os dados do perfil do utilizador, rejeita o pedido. O próprio sistema não está ciente disto, porque o scan passivo não acede ao sistema, mas apenas ao tráfego de dados.
A vantagem disto é que o sistema não tem de utilizar qualquer poder informático adicional. Apesar da verificação, a largura de banda total pode ser utilizada. Isto é particularmente útil para componentes críticos. Estes devem ter a maior disponibilidade possível. Quanto menos actividades adicionais realizarem, tanto melhor.
A desvantagem da varredura passiva: apenas os sistemas que se comunicam activamente podem ser vistos. Isto não inclui software de escritório ou leitores de PDF, por exemplo. Mas mesmo os serviços que comunicam fazem-no principalmente com as suas funções principais. Funções com vulnerabilidades que raramente ou nada são utilizadas em funcionamento directo não são visíveis ou só são visíveis quando o ataque já está em curso.
Os scans activos funcionam de forma diferente e simulam ataques. Fazem pedidos ao sistema e assim tentam desencadear reacções diferentes. Por exemplo, o scanner activo envia um pedido de transmissão de dados a vários programas do sistema. Se um dos programas reagir e encaminhar os dados para a localização não autorizada simulada, o scanner encontrou uma falha de segurança.
A vantagem: a qualidade dos dados que pode ser alcançada com o scanner activo é mais elevada do que com o scanner passivo. Uma vez que a interacção tem lugar directamente com o software e interfaces, podem ser detectados problemas em programas que normalmente não comunicam directamente com a rede. Desta forma, são também detectadas vulnerabilidades em programas como as aplicações Office.
Com interacção directa, contudo, os sistemas têm de processar pedidos adicionais, o que pode então prejudicar as funções básicas de um programa. A tecnologia operacional, como os sistemas de controlo de máquinas, por exemplo, não são necessariamente concebidos para realizar actividades secundárias. Aqui, por exemplo, recomenda-se a digitalização sob supervisão e, como complemento, a digitalização passiva contínua.
No entanto, a verificação activa é essencial para a segurança cibernética operacional. Isto porque o risco representado pela utilização excessiva a curto prazo de um componente do sistema é pequeno em comparação com uma paragem de produção ou uma fuga de dados. Além disso, os scans activos não só descobrem vulnerabilidades, como também podem melhorar os scans passivos. Por exemplo, as vulnerabilidades que são detectadas podem ser adicionadas a bases de dados de firewall. Isto também ajuda outras empresas que utilizam sistemas semelhantes.
O trabalho de varrimento activo e passivo é feito de mãos dadas Uma vez que o scanner passivo também pode fornecer ao scanner activo informações úteis, por exemplo sobre telemóveis ou propriedades de serviços de rede, pode-se falar de uma adição complementar destas duas ferramentas de segurança. O que ambos têm em comum é que eles obtêm sempre automaticamente o melhor da situação dada na rede. Para as técnicas de varrimento passivo e activo, não importa em quais ou em quantos componentes e programas a rede consiste. Ambas as tecnologias de segurança reconhecem isto por si próprias e adaptam-se a ela. Só com um nível de segurança mais elevado é que começa o ajustamento optimizado da rede e dos scanners.
Portanto, não é uma questão de utilizar um ou outro. Ambos os métodos são necessários para garantir um ambiente de rede seguro. Uma abordagem puramente passiva não ajudará em muitos casos. A gestão proactiva da vulnerabilidade necessita de scanners activos e ferramentas para a sua gestão. Isto é o que os produtos de gestão de vulnerabilidades da Greenbone oferecem.