Os scanners de vulnerabilidades são ferramentas automatizadas que permitem que as organizações verifiquem se suas redes, seus sistemas e aplicativos têm falhas de segurança que podem expô-los a ameaças e possíveis ataques cibernéticos. A varredura de vulnerabilidades é uma prática comum em redes corporativas e muitas vezes é exigida por padrões de diversos setores e regulamentos governamentais para melhorar a postura de segurança das organizações. É um processo que utiliza ferramentas para buscar falhas de segurança já conhecidas em seus sistemas e, a partir disso, gera relatórios com as possíveis vulnerabilidades que podem ameaçá-los.
Existem muitas ferramentas e produtos que abrangem diferentes tipos de ativos e oferecem recursos adicionais que ajudam as empresas a implementar um programa completo de gestão de vulnerabilidades, que incluem os processos relacionados à identificação, classificação e mitigação de riscos.
As varreduras, ou scans, podem ser realizadas tanto fora quanto dentro da rede ou do segmento de rede que está sendo avaliado. As organizações podem executar varreduras externas, fora de seu perímetro de rede com o objetivo de determinar a exposição a ataques de servidores e aplicativos acessíveis pela internet. Já as varreduras internas visam identificar falhas que cibercriminosos podem explorar para mover-se através de diferentes sistemas e servidores caso obtenham acesso à rede local. O acesso às redes internas depende do modo que são configuradas e segmentadas. Assim, qualquer programa de gestão de vulnerabilidades deve começar com um mapeamento e inventário dos sistemas da organização para classificar os ativos com base em priorização.
Alguns padrões de segurança de setor, como o Payment Card Industry Data Security Standard (PCI-DSS), exigem que as empresas realizem varreduras de vulnerabilidades externas e internas trimestralmente, assim como a cada vez que novos sistemas ou componentes são instalados, quando a topologia da rede muda, quando as regras do firewall são modificadas ou quando diversos produtos de software são atualizados. Essas varreduras externas devem ser realizadas especificamente usando ferramentas de um fornecedor de varredura aprovado pelo PCI.
Com a crescente migração à infraestrutura cloud-based nos últimos anos, os procedimentos para varreduras também foram se adaptando para incluir ativos hospedados em nuvem. Nesse contexto, as varreduras externas são extremamente importantes, visto que implantações mal configuradas e inseguras de bancos de dados e outros serviços em nuvem são muito comuns.
As varreduras devem ser complementadas com testes de intrusão, pentests, que têm processos diferentes, mas que compartilham o mesmo objetivo, de identificar e avaliar as fragilidades de segurança.
As varreduras são automatizadas e dependem de bancos de dados de vulnerabilidades conhecidas, como CVE/NVD, mas elas geralmente não incluem a exploração em si dessas falhas, para isso existem os testes de intrusão, que são processos mais envolvidos e incluem uma sondagem manual e a exploração feita por um hacker ético para simular o que um verdadeiro invasor faria. A soma desses dois processos resulta em uma avaliação precisa dos riscos existentes.
Existem dois tipos de scans ou varreduras de vulnerabilidades: as autenticadas e as não autenticadas. As varreduras não autenticadas atuam a partir de informações já conhecidas ou publicamente disponíveis. Elas descobrem serviços abertos em um computador pela rede e enviam pacotes por seus open ports para determinar a versão do sistema operacional, a versão do software por trás desses serviços, se há compartilhamento de arquivos abertos, além de outras informações disponíveis, sem autenticação. Com base nessas informações a varredura pesquisa um banco de dados de falhas e lista quais dela estão presentes e oferecem riscos nesses sistemas. Já as varreduras autenticadas usam credencias de login para coletar informações mais detalhadas sobre o sistema operacional e o software instalado nas máquinas. Alguns programas podem não ser acessíveis através da rede, mas podem conter brechas expostas a outros vetores de ataques, como arquivos maliciosos ou páginas da web maliciosas.
De modo geral, os dois tipos são importantes, mas cada um apresenta funções específicas e podem ser usados para objetivos diferentes. As falhas identificadas pelas varreduras devem ser revistas para fazer uma triagem, para que possam ser investigadas pela equipe de segurança. Muitas vezes, essas varreduras fazem parte de soluções maiores, projetadas e para ajudar em todo o processo de gestão de vulnerabilidades.
Os testes de intrusão podem ser usados para validar as falhas descobertas e determinar o risco real de forma mais precisa, que vão além das pontuações ou scores listados em bancos de dados de falhas conhecidas. Quando realizadas mensalmente ou trimestralmente, as varreduras fornecem apenas um resultado pontual e não mostram a verdadeira postura de segurança dos sistemas. É preciso realizar varreduras frequentemente como parte de uma abordagem de gerenciamento contínuo de vulnerabilidades.
