Skanowanie to zbiór technik i narzędzi, które pozwalają poznać stan sieci oraz utrzymywanych aplikacji internetowych. Polega na wysyłaniu do określonych urządzeń, znajdujących się pod konkretnym adresem, specjalnie przygotowanych pakietów danych i oczekiwaniu na odpowiedź, która zostaje później odpowiednio zinterpretowana. Głównym celem jest zapewnienie bezpieczeństwa i nieprzerwanej dostępności poprzez wykrywanie podatności, znajdujących się w sieci urządzeń, zagrożeń czy też prób dostępu.

 

Skanowanie podatności można podzielić na skanowanie sieci z zewnątrz oraz skanowanie wewnętrzne:

 

1. Skanując sieć zewnętrznie, widać ją w ten sposób, jak widzą ją potencjalni hakerzy, którzy na przykład identyfikują zakres adresów należących do firmy, a następnie sprawdzają je pod kątem otwartych portów. Można dzięki temu odkryć wszystkie dostępne publicznie adresy IP, sprawdzić skuteczność konfiguracji firewalli czy też podatność serwisów i webaplikacji na ataki typu SQL injection lub XSS.

2. W przypadku skanowania wewnętrznego sprawdzane są wszystkie wewnętrzne, niedostępne dla osób postronnych, elementy infrastruktury takie, jak: serwery, stacje robocze, urządzenia sieciowe, bazy danych.

 

Co ciekawe, skanowanie zewnętrzne wcale nie musi odbywać się za zgodą lub na zlecenie firmy. Mogą to robić także organizacje publiczne. CERT Polska, w ramach programu Artemis, skanuje strony i aplikacje udostępniane przez podmioty objęte ustawą o krajowym systemie cyberbezpieczeństwa. Chęć przeskanowania systemów w ramach programu Artemis można zgłaszać na dedykowanej stronie internetowej.

   

Skanowanie sieci i aplikacji w poszukiwaniu podatności to jedna z podstawowych i najbardziej efektywnych kosztowo czynności z obszaru cyberbezpieczeństwa, którą powinna przeprowadzać każda organizacja. Testy penetracyjne należy wykonywać regularnie – nawet kilka razy do roku oraz za każdym razem, gdy w infrastrukturze zachodzą jakiekolwiek zmiany. Skanowanie sieci jest często wykonywane jako pierwszy etap testów penetracyjnych, jednak już samo w sobie dostarcza bardzo wielu cennych informacji. Pozwala dostrzec ewentualne słabe punkty zabezpieczeń i luki w systemach, które mogą być wykorzystane przez hakerów. Dostępne skanery podatności korzystają ze stale aktualizowanych baz zagrożeń w celu ich identyfikacji.

 

Krytycznym punktem każdej sieci mogą być otwarte porty urządzeń oraz urządzenia z nieaktualną wersją oprogramowania, mogące zawierać podatności, które bardzo często okazują się furtką dla włamywacza. Skanowanie sieci firmowej pod tym kątem pozwala poznać jej słabe punkty. Istotne z punktu widzenia cyberbezpieczeństwa jest też skanowanie dostępu, a więc ocena skuteczności systemów uwierzytelniania i autoryzacji – zarówno w kontekście sieci firmowej, jak i aplikacji webowych.

   

Zarządzanie siecią ma tym większe znaczenie, im większa jest organizacja. W przypadku sieci korporacyjnych, łączących wiele oddziałów firmy zlokalizowanych na terenie kilku miast czy nawet krajów, skanowanie topologii sieci i mapowanie jej struktury fizycznej oraz logicznej jest podstawą zachowania bezpieczeństwa i dostępności.

 

Dzięki skanowaniu sieci administratorzy mogą zidentyfikować każde urządzenie znajdujące się w jej obrębie, co pozwala na szybkie wykrycie i naprawę problemów. To także sposób na radzenie sobie z powszechnym w wielu firmach problemem tzw. shadow IT, czyli nieautoryzowanym wykorzystywaniem przez pracowników prywatnych urządzeń i niezatwierdzonego oprogramowania do celów służbowych (wewnątrz sieci firmowej). Dzięki skanowaniu sieci można także zinwentaryzować stary, nieużytkowany sprzęt i nieaktualizowane oprogramowanie, konta bez aktywności czy nieaktualne bazy danych (czyli tzw. zombie IT), które cały czas pozostają częścią infrastruktury, stanowiąc dla niej zagrożenie.

 

Skanowanie topologii może być jednak wykorzystywane także przez hakerów, którzy starają się zebrać jak najwięcej informacji o atakowanej organizacji.

   

Najpopularniejszym niegdyś protokołem skanowania sieci LAN był protokół ICMP. Służy on do testowania transmisji danych pomiędzy adresami. Teoretycznie, wysłany pakiet (ping) powinien każdorazowo powrócić z informacją zwrotną, co miałoby świadczyć o tym, że dane urządzenie sieciowe jest sprawne. W obecnych realiach brak odpowiedzi nie jest już jednoznaczny z brakiem aktywności. Administratorzy sieci mogą ponadto włączyć blokowanie zapytań ICMP i w ten sposób zmniejszyć widoczność sieci dla hakerów, którzy używają tego protokołu do poszukiwania podatnych sieci.

 

Do skanowania portów wykorzystuje się na ogół protokół połączeniowy TCP oraz bezpołączeniowy UDP. Protokół TCP, za pomocą żądania TCP SYN, próbuje nawiązać połączenie z każdym zbadanym portem urządzenia docelowego. Serwer może wówczas odpowiedzieć pakietem TCP SYN/ACK (port otwarty) lub TCP RST (port zamknięty). Ta metoda jest dokładna, jednak dosyć powolna, dlatego w sytuacjach, gdy wymagana jest szybkość działania, wykorzystuje się szybszy, ale zawodny protokół UDP. Polega on na wysłaniu samych nagłówków protokołu do portów urządzeń i nie gwarantuje otrzymania odpowiedzi od zamkniętego portu.

   

W kwestii skanowania aplikacji webowych wyróżniamy trzy główne podejścia:

 

Dostępne na rynku narzędzia do skanowania aplikacji są projektowane w taki sposób, by uwzględniać najczęściej występujące rodzaje ataków zawarte na liście OWASP Top 10, tworzonej przez międzynarodową społeczność ekspertów ds. cyberbezpieczeństwa.

 

• SAST – skanowanie statyczne wykonywane na wczesnym etapie rozwoju oprogramowania. Pozwala ono znaleźć błędy w kodzie źródłowym witryny i sprawdzić zgodność kodu z wytycznymi dotyczącymi bezpieczeństwa. Ta technika stosowana jest już od wielu lat i choć doskonale radzi sobie z dokładnym wskazaniem błędów w kodzie, to zwykle nie jest stosowana samodzielnie, tylko wraz z metodą DAST.


• DAST – dynamiczne testowanie aplikacji polega na proaktywnym podejściu do skanowania i próbie wykonania ataku (np. SQL Injection czy XSS), co pozwala poznać możliwe podatności i luki w zabezpieczeniach.


• IAST – to połączenie obu powyższych podejść. Agent IAST działa wewnątrz aplikacji, skanując kod źródłowy, przepływ informacji, konfigurację aplikacji, biblioteki i inne komponenty.

   

Stosowanie odpowiednich technik skanowania pozwala pozbyć się widocznych podatności, zarządzać siecią w celu poprawy dostępności usług i aplikacji oraz pośrednio zwiększyć bezpieczeństwo firmy.

 

Skanowanie infrastruktury teleinformatycznej i reagowanie na incydenty oraz problemy w czasie rzeczywistym można realizować za pomocą wielu dostępnych na rynku rozwiązań dostarczanych „pod klucz”. Jednym z przykładów są dedykowane testy podatności znajdujące się w ofercie Netii, które pozwolą Ci poznać wszystkie bolączki firmowej sieci. Dzięki temu możesz uniknąć konsekwencji ataków cybernetycznych – tak samo finansowych, jak i prawnych czy wizerunkowych.

 

Najlepszym sposobem zapewnienia swojej sieci całodobowej ochrony jest skorzystanie z pomocy doświadczonego zespołu Security Operations Center, czyli grupy specjalistów zajmujących się monitorowaniem stanu sieci, systemów i aplikacji oraz reagowaniem na pojawiające się trudności. SOC Netii to jedna z najlepszych tego typu grup w Polsce. Pomoże Twojej firmie zachować zgodność z obowiązującymi przepisami w obszarze cyberbezpieczeństwa oraz zapewnić bezkompromisowe bezpieczeństwo infrastruktury, pracowników oraz klientów.

 

Szukasz profesjonalnej konsultacji w zakresie bezpieczeństwa cybernetycznego? Zamów kontakt z naszymi specjalistami i opowiedz, czego potrzebujesz!

 

W naszej ofercie znajdziesz narzędzia, które sprawią, że Twoja firma przestanie być łatwym celem hakerów. Jednym z nich jest możliwy do wdrożenia od ręki chmurowy firewall będący wielowarstwowym zabezpieczeniem przed najpopularniejszymi rodzajami zagrożeń.