Semblable au reniflage de paquets, à l'analyse de port et à d'autres "outils de sécurité", l'analyse de vulnérabilité peut vous aider à sécuriser votre propre réseau ou peut être utilisée par les pirates pour identifier les faiblesses de votre système contre lesquelles attaquer. L'idée est pour vous utiliser ces outils pour identifier et corriger ces faiblesses avant les méchants les utilisent contre vous.
L’exécution d’un scanner de vulnérabilités a pour objectif d’identifier les périphériques de votre réseau ouverts aux vulnérabilités connues. Différents scanners atteignent cet objectif par différents moyens. Certains fonctionnent mieux que d'autres.
Certains peuvent rechercher des signes tels que des entrées de registre dans les systèmes d'exploitation Microsoft Windows pour indiquer qu'un correctif ou une mise à jour spécifique a été implémenté. D'autres, en particulier Nessus, tentent en réalité d'exploiter la vulnérabilité de chaque périphérique cible plutôt que de s'appuyer sur les informations du registre.
Kevin Novak a examiné les scanneurs de vulnérabilités commerciales de Network Computing Magazine en juin 2003. Un des produits, Tenable Lightning, a été analysé comme interface frontale pour Nessus, mais Nessus n’a pas été testé directement par rapport aux produits commerciaux. Cliquez ici pour les détails complets et les résultats de l'examen: Scanners VA Identifiez vos points faibles.
Un problème avec les scanners de vulnérabilité est leur impact sur les périphériques qu'ils analysent. D'une part, vous souhaitez que l'analyse puisse être effectuée en arrière-plan sans affecter le périphérique. D'autre part, vous voulez vous assurer que l'analyse est approfondie. Souvent, dans l’intérêt d’être minutieux et en fonction de la manière dont le scanner rassemble ses informations ou vérifie que le périphérique est vulnérable, le scan peut être intrusif et provoquer des effets indésirables, voire des pannes du système sur le périphérique en cours de numérisation.
Il existe un certain nombre de packages d’analyse de vulnérabilité commerciale très appréciés, dont Foundstone Professional, eEye Retina et SAINT. Ces produits ont également un prix assez élevé. Il est facile de justifier ces dépenses compte tenu de la sécurité réseau accrue et de la tranquillité d’esprit, mais de nombreuses entreprises ne disposent tout simplement pas du budget nécessaire pour ces produits.
Bien qu'ils ne soient pas de véritables scanners de vulnérabilité, les entreprises qui utilisent principalement des produits Microsoft Windows peuvent utiliser le logiciel MBSA (Microsoft Baseline Security Analyzer), disponible gratuitement. MBSA analysera votre système et identifiera s'il manque des correctifs pour des produits tels que les systèmes d'exploitation Windows, Internet Information Server (IIS), SQL Server, Exchange Server, Internet Explorer, les produits Windows Media Player et Microsoft Office. Il y a eu des problèmes dans le passé et des erreurs occasionnelles dans les résultats de MBSA, mais l'outil est gratuit et est généralement utile pour garantir que ces produits et applications sont corrigés contre les vulnérabilités connues. MBSA vous identifiera également et vous avertira des mots de passe manquants ou faibles et d'autres problèmes de sécurité courants.
Nessus est un produit open-source et est également disponible gratuitement. Bien qu'une interface graphique Windows soit disponible, le produit Nessus principal nécessite l'exécution de Linux / Unix. L’avantage, c’est que Linux peut être obtenu gratuitement et que de nombreuses versions de Linux ont une configuration système relativement faible, il n’est donc pas difficile de prendre un ancien PC et de le configurer en tant que serveur Linux. Pour les administrateurs ayant l'habitude de travailler dans le monde Microsoft, il faudra suivre une courbe d'apprentissage pour se familiariser avec les conventions Linux et installer le produit Nessus.
Après avoir effectué une analyse initiale des vulnérabilités, vous devrez mettre en œuvre un processus permettant de gérer les vulnérabilités identifiées. Dans la plupart des cas, des correctifs ou des mises à jour seront disponibles pour résoudre le problème. Parfois, bien qu'il puisse exister des raisons opérationnelles ou commerciales pour lesquelles vous ne pouvez pas appliquer le correctif dans votre environnement, il se peut que le fournisseur de votre produit n'ait pas encore publié de mise à jour ou de correctif. Dans ces cas, vous devrez envisager d'autres moyens d'atténuer la menace. Vous pouvez vous reporter à des informations provenant de sources telles que Secunia ou Bugtraq ou US-CERT pour identifier les ports à bloquer ou les services à arrêter susceptibles de vous aider à vous protéger de la vulnérabilité identifiée.
Au-delà de la mise à jour régulière du logiciel antivirus et de l'application des correctifs nécessaires à toute nouvelle vulnérabilité critique, il est sage d'implémenter un calendrier d'analyse périodique des vulnérabilités pour s'assurer que rien n'a été oublié. L'analyse trimestrielle ou semestrielle des vulnérabilités peut vous permettre de détecter les faiblesses de votre réseau avant les méchants.
Edité par Andy O'Donnell - May 2017
