» continua
Qual è il migliore approccio per la scansione della vulnerabilità nella propria rete aziendale? Per la maggior parte degli utenti ci sono due tipi di soluzioni: investire in un costoso sistema di scansione della vulnerabilità che copra tutta l’impresa oppure puntare su un prodotto open source che consenta di mantenersi nei limiti imposti da un budget ristretto. Ma nella grande maggioranza dei casi, nessuno di questi approcci è del tutto soddisfacente: il primo comporta un eccessivo impegno di risorse finanziarie, mentre il secondo sacrifica la sicurezza e la gestibilità nell'intento di salvare qualche euro (o anche qualche migliaia).
I sistemi per la scansione delle vulnerabilità di livello enterprise, come QualysGuard di Qualys e Tenable Network di Security Center, offrono molti vantaggi rispetto ai tool di sicurezza liberamente disponibili. Infatti, combinano spesso funzionalità di database e di trend-tracking con funzionalità di reporting progettate per soddisfare le esigenze sia dei tecnici sia del management. Tuttavia, i prodotti spesso presentano un prezzo piuttosto elevato basato sul numero di indirizzi IP coperti dalle loro licenze e quindi, nelle installazioni di grandi dimensioni, il costo di implementazione di un tale sistema può aumentare rapidamente.
Per la stragrande maggioranza delle reti, l’uso diffuso di costosi prodotti di scansione è eccessivo; gli investimenti in potrebbero essere indirizzati altrove in modo più proficuo. Tali sistemi forniscono valore, ma è preferibile avvalersi di un modello ibrido: usare un tool costoso dove si dà il massimo valore possibile e impiegarne uno open source per la maggior parte della rete.
Perché far lavorare più vulnerability scanner?
In molte organizzazioni, la configurazione standard di sicurezza prevede la chiusura di diverse porte dei PC. Eseguire la scansione della vulnerabilità in un sistema configurato in questo modo, vuol semplicemente dire che si intende confermare che il firewall funzioni correttamente. Questa verifica è utile, ma c'è un modo meno costoso per raggiungere lo stesso obiettivo: utilizzare un tool ormai testato da tempo e che occupa un posto d'onore in ogni toolkit dei professionisti per la sicurezza: Nmap.
L'approccio ibrido alla scansione delle vulnerabilità richiede di dividere le attività in due gruppi di priorità: i server e le workstation (in alternativa, si potrebbero dividere in categorie in base ad altri criteri: la forza degli asset, l’importanza del sistema operativo o tutto ciò che ha un senso nel vostro ambiente di business.) Usate un tool commerciale di scansione per mantenere un alto livello di controlli sui vostri server a "più alto valore". Sono una delle più probabili fonti di rischio, dato che sono destinati a offrire servizi ad altri sistemi.
Lo script da usare con Nmap
Nel contempo, usate Nmap per gestire le restanti workstation e degli asset a più basso valore. Scrivete un semplice script che periodicamente avvii una scansione di Nmap sulla rete, individui le porte aperte, e memorizzi i risultati in un database. È possibile utilizzare il linguaggio che si preferisce, ma suggeriamo di usare Perl e la Nmap::Scanner library gratuita. Ecco il pseudocodice per la scansione di una rete:
- Avviare una scansione Nmap del sistema, utilizzando parametri ottimizzati per l'ambiente.
- Rimuovete tutte le porte che fanno parte dello “standard” della workstation, come per esempio le porte per l'amministrazione remota
- Recuperate i primi risultati della scansione dal database e rimuovete le porte dai risultati che sono stati segnalati in precedenza.
- Se le porte rimangono nei risultati, segnalatele all'amministratore (per avere il via libera o per effettuare un controllo ulteriore)
- Passare al prossimo sistema.
Una volta che avete eseguito questo processo un paio di volte, dovreste avere una base piuttosto stabile. I risultati ottenuto dovrebbero fornire indicazioni “strane” solo in casi particolari, come per esempio quando un sistema viene esposto a un nuovo servizio che differisce dalla base consolidata. Quando ciò si verifica, esaminate il sistema e determinate in quale delle tre seguenti situazioni ricade:
- Il sistema è in realtà un server e dovrebbe essere aggiunto allo scanning aziendale
- Il sistema è una workstation, che non è autorizzata a offrire il servizio e la situazione dovrebbe essere corretta.
- Il sistema è una workstation, che è autorizzata a offrire il servizio, e questo deve essere riportato nella banca dati per prevenire in futuro report con un falso positivo.
Con questo approccio, è possibile perdere una vulnerabilità su una workstation. Nmap non esegue una valutazione della vulnerabilità, è solo uno scanner delle porte. Se è necessario qualcosa di più sofisticato per individuare eventuali punti deboli, prendete in considerazione l'utilizzo di un processo automatizzato basato invece su un approccio di tipo Nessus.
