Os scanners de vulnerabilidade são ferramentas automatizadas que permitem que as organizações verifiquem se suas redes, seus sistemas e aplicativos têm falhas de segurança que podem expô-los a ameaças e possíveis ataques cibernéticos. A varredura de vulnerabilidades é uma prática comum em redes corporativas e muitas vezes é exigida por padrões de diversos setores e regulamentos governamentais para melhorar a postura de segurança das organizações. É um processo que utiliza ferramentas para buscar falhas de segurança já conhecida em seus sistemas e, a partir disso, gera relatórios com as possíveis vulnerabilidades que podem ameaçá-los.
Existem muitas ferramentas e produtos que abrangem diferentes tipos de ativos e oferecem recursos adicionais que ajudam as empresas a implementar um programa completo de gestão de vulnerabilidades, que incluem os processos relacionados à identificação, classificação e mitigação de riscos.
As varreduras, ou scans, podem ser realizadas tanto fora quanto dentro da rede ou do segmento de rede que está sendo avaliado. As organizações podem executar varreduras externas, fora de seu perímetro de rede com o objetivo de determina a exposição a ataques de servidores e aplicativos acessíveis pela internet. Já as varreduras internas visam identificar falhas que cibercriminosos podem explorar para mover-se através de diferentes sistemas e servidores caso obtenham acesso à rede local. O acesso às redes internas depende do modo que são configuradas e segmentadas. Assim, qualquer programa de gestão de vulnerabilidades deve começar com um mapeamento e inventário dos sistemas da organização para classificar os ativos com base em priorização.
Alguns padrões de segurança de setor, como o Payment Card Industry Data Security Standard (PCI-DSS), exigem que as empresas realizem varreduras de vulnerabilidades externas e internas trimestralmente, assim como a cada vez que novos sistemas ou componentes são instalados, quando a topologia da rede muda, quando as regras do firewall são modificadas ou quando diversos produtos de software são utilizados. Essas varreduras externas devem ser realizadas especificamente usando ferramentas de um fornecedor de varredura aprovado pelo PCI.
Com a crescente migração à infraestrutura cloud-based nos últimos anos, os procedimentos para varreduras também foram se adaptando para incluir ativos hospedados em nuvem. Nesse contexto, as varreduras extnas são extremamente importantes, isto que implantações mal configuradas e inseguras de banco de dados e outros serviços em nuvem são muito comum.
As varreduras devem ser complementadas com testes de intrusão, pentests, que têm processos diferentes, mas que compartilham o mesmo objetivo, de identificar e avaliar as fragilidades de segurança.
As varreduras são automatizadas e dependem de bancos de dados de vulnerabilidades conhecidas, como o CVE/NVD, mas elas geralmente não incluem a exploração em sí dessas falhas, para isso existem os testes de intrução, que são processos mais envolvidos e incluem uma sondagem manual e a exploração feita por um hacker ético para simular o que um verdadeiro invasor faria. A soma desses dois processos resulta em uma avaliação precisa dos riscos existentes.
Existem dois tipos de scans ou varreduras de vulnerabilidades: as autenticadas e as não autenticadas. As varreduras não autenticadas atuam a partir de informações já conhecidas ou publicamente disponíveis. Elas descobrem servidores abertos em um computador pela rede e enviam pacotes por seus open ports para determinar a versão do sistema operacional, a versão do software por trás desses serviços, se há compartilhamento de arquivos abertos, além de outras informações disponíveis, sem autenticação. Com base nessas informações, a varredura pesquisa um banco de dados de falhas e lista quais dela estão presentes e oferecem riscos nesses sistemas. Já as varreduras autenticadas usam credenciais de login para coletar informações mais detalhadas sobre o sistema operacional e o software instalado nas máquinas. Alguns programas podem não ser acessíveis através da rede, mas podem conter brechas expostas a outros vetores de ataques, como arquivos maliciosos ou páginas da web maliciosas.
De modo geral, os dois tipos são importantes, mas cada um apresenta funções específicas e podem ser usados para objetivos diferentes. As falhas identificadas pelas varreduras devem ser revistas para fazer uma triagem, para que possam ser investigadas pela equipe de segurança. Muitas vezes, essas varreduras fazem parte de soluções maiores, projetadas e para ajudar em todo o processo de gestão de vulnerabilidade.
Os testes de intrusão podem ser usados para validar as falhas descobertas e determinar o risco real de forma mais precisa que vão além das pontuações ou scores listados em bancos de dados de falhas conhecidas. Quando realizadas mensalmente ou trimestralmente, as varreduras fornecem apenas um resultado pontual e não mostram a verdadeira postura de segurança dos sistemas. É preciso realizar varreduras frequentemente como parte de uma abordagem de gerenciamento contínuo de vulnerabilidades.