Analyse active et passive des vulnérabilités - une longueur d'avance sur les cybercriminels
Dans la production en réseau, l'IT et l'OT se rejoignent de plus en plus. Là où une faille de sécurité provoquait "seulement" une fuite de données, c'est aujourd'hui toute la production qui peut s'effondrer. Ceux qui effectuent régulièrement des scans actifs et passifs des points faibles peuvent se protéger.
Ce qui semble un peu étrange pour l'infrastructure physique - qui recrée une effraction pour tester son système d'alarme - est une méthode éprouvée dans l'informatique pour identifier les points faibles. Cette analyse dite active peut être effectuée quotidiennement et automatiquement. Le scanning passif, quant à lui, détecte une intrusion en cours, car toute cyber-intrusion laisse également des traces, même si elles sont souvent cachées.
Les pare-feu et les programmes antivirus utilisent par exemple des scans passifs et contrôlent ainsi le trafic qui atteint un système. Ces données sont ensuite comparées à une base de données. Des informations sur les logiciels malveillants, les demandes non sécurisées et autres anomalies y sont enregistrées. Si le pare-feu reçoit par exemple une demande d'un expéditeur non sûr qui veut lire les données de profil des utilisateurs, il rejette la demande. Le système lui-même ne s'en aperçoit pas, car l'analyse passive n'accède pas au système, mais uniquement au trafic de données.
L'avantage est que le système ne doit pas utiliser de puissance de calcul supplémentaire. Malgré le contrôle, la bande passante complète peut être utilisée. Cela est particulièrement utile pour les composants critiques. Ils doivent présenter une disponibilité aussi élevée que possible. Moins ils effectuent d'activités supplémentaires, mieux c'est.
L'inconvénient du scanning passif : on ne peut voir que les systèmes qui communiquent eux-mêmes activement. Les logiciels de bureautique ou les lecteurs PDF, par exemple, n'en font pas partie. Mais même les services qui communiquent le font surtout avec leurs fonctions principales. Les fonctions présentant des points faibles, qui sont rarement ou pas du tout utilisées en régie, ne sont pas visibles ou seulement lorsque l'attaque est déjà en cours.
Les analyses actives fonctionnent différemment et simulent des attaques. Ils envoient des demandes au système et tentent ainsi de déclencher différentes réactions. Le scanner actif envoie par exemple une demande de transmission de données à différents programmes du système. Si l'un des programmes réagit et transmet les données à l'endroit simulé non autorisé, le scanner a trouvé une faille de sécurité.
L'avantage : la qualité des données obtenue par le scanning actif est supérieure à celle obtenue par le scanning passif. Comme l'interaction se fait directement avec le logiciel et les interfaces, il est possible de détecter des problèmes dans des programmes qui ne communiquent normalement pas directement avec le réseau. De cette manière, des points faibles sont également détectés dans des programmes tels que les applications Office.
Dans le cas d'une interaction directe, les systèmes doivent toutefois traiter des demandes supplémentaires qui, dans certains cas, entravent les fonctions de base d'un programme. Les techniques d'exploitation telles que les commandes de machines ne sont par exemple pas nécessairement conçues pour effectuer des activités secondaires. Dans ce cas, il est par exemple recommandé de procéder à un scannage sous surveillance et, en complément, à un scannage passif continu.
Malgré tout, les scans actifs sont essentiels pour la cybersécurité de l'entreprise. En effet, le risque lié à la surexploitation à court terme d'un composant système est minime par rapport à un arrêt de production ou à une fuite de données. En outre, les analyses actives ne se contentent pas de détecter les vulnérabilités, elles peuvent aussi améliorer les analyses passives. Ainsi, les vulnérabilités détectées peuvent être intégrées dans les bases de données des pare-feu. Cela aide également les autres entreprises qui utilisent des systèmes similaires.
Les scans actifs et passifs travaillent main dansla main Comme le scanner passif peut également fournir au scanner actif des informations utiles, par exemple sur les téléphones portables ou les propriétés des services réseau, on peut parler de complémentarité entre ces deux outils de sécurité. Les deux ont en commun le fait qu'ils tirent toujours automatiquement le meilleur parti de la situation donnée dans le réseau. Pour les techniques d'analyse passive et active, peu importe de quels composants et programmes le réseau se compose ou combien il en compte. Les deux technologies de sécurité le reconnaissent d'elles-mêmes et s'y adaptent. Ce n'est qu'avec un niveau de sécurité plus élevé que commence la coordination optimisée du réseau et des scanners.
Il ne s'agit donc pas de savoir s'il faut utiliser l'un ou l'autre. Les deux méthodes sont nécessaires pour garantir un environnement réseau sécurisé. Une approche purement passive n'aidera pas dans de nombreux cas. Une gestion proactive des vulnérabilités nécessite des analyses actives et des outils pour les gérer. C'est ce qu'offrent les produits de gestion des vulnérabilités de Greenbone.