Overwegingen gebruik kwetsbaarheid scanners

Kwetsbaarheid scanners zoals OpenVAS of Nessus zijn onmisbaar om de staat van de informatiebeveiliging te controleren. Wel wil ik met dit artikel een aantal overwegingen mee geven alvorens dergelijke scans te gaan starten.

Intern of extern scannen

Je hebt de mogelijkheid om externe te scannen, dus vanaf het internet richting de systemen van de onderneming die zijn aangesloten op het internet. In dat geval zal er een firewall tussen zitten die het merendeel van de poorten van de systemen blokkeert.

Intern scannen betekent dat je de kwetsbaarheid scanner in hetzelfde netwerk plaatst als de systemen. Je scant dan over het algemeen zonder firewall er tussen. De bevindingen zullen naar verwachting een stuk groter zijn daar er geen firewall aanwezig is die voor afscherming zorgt.

Patching, een voorwaarde

Of je nu intern of extern scant, het is eigenlijk alleen maar zinvol als er een goed patchbeleid wordt gevoerd. Is dit niet ingeregeld dan zullen de kwetsbaarheid scanners zonder enige moeite een hele lijst met bevindingen produceren omdat je niet bij bent met patchen. Patching is dus een voorwaarde voordat je start met het gebruik van kwetsbaarheid scanners.

Risico van kwetsbaarheid scanners voor de beschikbaarheid van systemen

Af en toe komt het voor dat een systeem niet meer beschikbaar is doordat het aantal connecties of de load te groot is geworden tijdens een scan. Daarnaast zijn er een aantal test scripts die een risico vormen. In zowel Nessus als OpenVAS bestaat de mogelijkheid om het aantal gelijktijdige connecties of tests te reduceren. Eveneens kennen beide scanners een mogelijkheid om potentieel gevaarlijke scrips niet te gebruiken.

Output kwetsbaarheid scanners

De output die wordt opgeleverd door een kwetsbaarheid scanners is vaak erg groot. Middels classificaties zoals hoog of laag risico wordt er een onderscheid gemaakt. Echter men zal alle output handmatig moeten beoordelen. Zeker als de scan intern heeft plaatsgevonden zal de output 3 of 4 maal groter zijn als dat er gecontroleerd wordt vanaf het internet, waar een firewall zich tussen de systemen en de scanner bevindt. In het artikel “effectieve analyse output van kwetsbaarheidscanners” ga ik verder in op de mogelijkheden om de output van kwetsbaarheid scanners te verwerken.