Actieve en passieve kwetsbaarheidsscans - een stap voor op cybercriminelen
In netwerkproductie groeien IT en OT steeds dichter naar elkaar toe. Waar vroeger een beveiligingslek "slechts" een datalek veroorzaakte, kan nu de hele productie instorten. Wie regelmatig actieve en passieve kwetsbaarheidsscans uitvoert, kan zich beschermen.
Wat enigszins vreemd lijkt in het geval van fysieke infrastructuur - wie zou een inbraak nabootsen om zijn alarmsysteem te testen - is in de IT een beproefde procedure om kwetsbaarheden op te sporen. Deze zogenaamde actieve scanning kan dagelijks en automatisch worden uitgevoerd. Passief scannen daarentegen detecteert een lopende inbraak, want elke cyberinbraak laat ook sporen na, zij het vaak verborgen.
Firewalls en antivirusprogramma's maken bijvoorbeeld gebruik van passieve scanning om het verkeer dat een systeem bereikt te controleren. Deze gegevens worden vervolgens vergeleken met een database. Daar wordt informatie opgeslagen over malware, onveilige verzoeken en andere anomalieën. Als de firewall een verzoek ontvangt van een onveilige afzender die de profielgegevens van de gebruiker wil uitlezen, weigert hij het verzoek. Het systeem zelf is hiervan niet op de hoogte, omdat de passieve scan geen toegang heeft tot het systeem, maar alleen tot het dataverkeer.
Het voordeel hiervan is dat het systeem geen extra rekenkracht hoeft te gebruiken. Ondanks de scan kan de volledige bandbreedte worden gebruikt. Dit is vooral nuttig voor kritieke componenten. Die moeten een zo hoog mogelijke beschikbaarheid hebben. Hoe minder extra activiteiten zij uitvoeren, hoe beter.
Het nadeel van passief scannen: alleen systemen die zelf actief communiceren kunnen worden gezien. Kantoorsoftware of PDF-lezers vallen hier bijvoorbeeld niet onder. Maar zelfs diensten die communiceren doen dat vooral met hun hoofdfuncties. Functies met kwetsbaarheden die zelden of helemaal niet worden gebruikt in de directe werking zijn niet zichtbaar of worden pas zichtbaar als de aanval al bezig is.
Actieve scans werken anders en simuleren aanvallen. Ze doen verzoeken aan het systeem en proberen zo verschillende reacties uit te lokken. De actieve scanner stuurt bijvoorbeeld een verzoek om gegevensoverdracht naar verschillende programma's in het systeem. Als een van de programma's reageert en de gegevens doorstuurt naar de gesimuleerde onbevoegde locatie, heeft de scanner een beveiligingslek gevonden.
Het voordeel: de gegevenskwaliteit die met actief scannen kan worden bereikt, is hoger dan met passief scannen. Omdat de interactie rechtstreeks met de software en de interfaces plaatsvindt, kunnen problemen worden opgespoord in programma's die normaal gesproken niet rechtstreeks met het netwerk communiceren. Zo worden ook kwetsbaarheden in programma's als Office-toepassingen ontdekt.
Bij directe interactie moeten systemen echter extra verzoeken verwerken, die dan de basisfuncties van een programma kunnen aantasten. Besturingstechnologie zoals machinebesturingssystemen zijn bijvoorbeeld niet noodzakelijkerwijs ontworpen om secundaire activiteiten uit te voeren. Hier worden bijvoorbeeld scannen onder toezicht en, als aanvulling, continu passief scannen aanbevolen.
Niettemin is actief scannen essentieel voor de operationele cyberveiligheid. Het risico van kortstondig overmatig gebruik van een systeemonderdeel is namelijk klein in vergelijking met een productiestop of een datalek. Bovendien brengen actieve scans niet alleen kwetsbaarheden aan het licht, ze kunnen ook passieve scans verbeteren. De ontdekte kwetsbaarheden kunnen bijvoorbeeld worden toegevoegd aan databases van firewalls. Dit helpt ook andere bedrijven die soortgelijke systemen gebruiken.
Actieve en passieve scanning gaan hand in hand Aangezien de passieve scanner de actieve scanner ook van nuttige informatie kan voorzien, bijvoorbeeld over mobiele telefoons of eigenschappen van netwerkdiensten, kan men spreken van een complementaire aanvulling van deze twee beveiligingsinstrumenten. Wat beide gemeen hebben, is dat zij altijd automatisch het beste halen uit de gegeven situatie in het netwerk. Voor de passieve en actieve scantechnieken maakt het niet uit uit welke of hoeveel componenten en programma's het netwerk bestaat. Beide beveiligingstechnieken herkennen dit zelf en passen zich daarop aan. Pas bij een hoger beveiligingsniveau begint de geoptimaliseerde aanpassing van netwerk en scanners.
Het is dus niet de vraag of men het ene of het andere moet gebruiken. Beide methoden zijn nodig voor een veilige netwerkomgeving. Een zuiver passieve aanpak zal in veel gevallen niet helpen. Proactief beheer van kwetsbaarheden vereist actieve scans en tools om ze te beheren. Dit is wat de vulnerability management producten van Greenbone bieden.