I en situation hvor man enten skal investere i det ene eller den anden form for vulnerability management, er det vigtigt at undersøge, om man kan scanne med credentials. Det betyder nemlig, at den kan benyttes til det hele. Scanning uden credentials kan dog også have sin berettigelse.
Sårbarhedsscanninger giver overblikket over de huller, der skal lukkes, et hint om prioritering af tid i forhold til kritikaliteten af sårbarhederne. Det foretages regelmæssigt, så man er up to date med nytilkomne sårbarheder. Når hackerne selv foretager scanninger regelmæssigt (som de i stor stil gør) så er der nok noget om det. 😉
Men hvad er forskelle, og hvad er fordele og ulemper ved at scanne med eller uden credentials?
Scanning uden credentials
“Unauthenticated scanning”, også kendt som scanning uden credentials, er den mest simple og mindst præcise scanningsmetode. Her foretages scanningen uden at scanningssoftwaret er logget ind på hver af de enheder, der scannes for sårbarheder. Denne type scanning bruges typisk fordi den er hurtig at udføre og kræver færre ressourcer. Der gøres udelukkende brug af offentligt tilgængelige interfaces på enhederne, samt de informationer, den ellers kan samle om aktiverne ”udefra”.
Denne type scanning kan kortlægge, hvilke enheder man har eksponeret mod internettet, og identificere gængse sårbarheder, som påvirker enhederne. Det kan være i form af f.eks. SQL injections, cross-site scripting (XSS), eller andre kendte sårbarheder på de versioner af software, der køres på enhederne.
Det giver et realistisk billede af, hvad en hacker vil finde på sin scanning, da de typisk ikke har fået fat i credentials endnu, når de scanner. Men formålet med en sårbarhedsscanning er oftest at få så meget med som muligt og holde god hygiejne – low effort, high reward – og hvis man ønsker mere realistiske scenarier, er det de manuelle pentest, der kommer i spil. Derfor er det næsten altid at fortrække, at kunne scanne med credentials.
Scanning med credentials
Også kendt som ”authenticated scanning”, er godt, når man vil finde sårbarheder ”inde” i maven på enhederne. Og det vil de fleste gerne. Her er best practice at benytte en privilegeret bruger, der har adgang til det hele.
Ved at scanne med credentials får man en dybere analyse af patches, eventuelle fejl-konfigurationer og sårbare versioner af software – og dermed også et mere retvisende billede af sårbarhederne, som en bruger af systemet kan udnytte. Ofte vil en hacker have en eller anden form for adgang (assume breach), enten i form af en bruger som personen selv har oprettet på fx en hjemmeside, eller en bruger, som personen har fået fat i via f.eks. phishing, brute-force eller leaks. Disse sårbarheder kan IKKE opdages med en unauthenticated scanner, da det kræver gyldigt login til systemet der scannes at kunne udnytte disse sårbarheder.
Hvilken type scanner skal man vælge?
Det helt simple svar er – vælg en løsning, der kan begge dele. De er ikke så meget dyrere. En sårbarhedsscanner der kan scanne med credentials, kan også scanne uden credentials. Det vil altså sige at I får mulighed for selv at kunne vælge hvilken type scanning der bliver udført.
Hvor ofte anbefales det at udføre sårbarhedsscanninger?
CIS 18 (Center for Internet Security) anbefaler at sårbarhedsscanninger med credentials som minimum bør foretages hver 3. måned og scanninger uden credentials minimum én gang om måneden. Er der blevet implementeret større ændringer i konfigurationer, opsætning, software osv. umiddelbart efter den sidste scan, så anbefales det at udføre ad hoc scanninger for hurtigt at kunne opdage og mitigere nye kritiske sårbarheder.
Vil du ringes op?
Benyt kontaktformularen, og vi vil ringe dig op inden for 48 timer.
Seneste kommentarer