Los escáneres de vulnerabilidades pueden ayudar al personal de TI de una empresa a identificar debilidades en toda su red, como puertos a los que pueden acceder usuarios no autorizados y software que carece de los últimos parches de seguridad, lo que ayuda a garantizar el cumplimiento de la red con la política de seguridad de la organización. Los escáneres pasivos enfatizan el monitoreo de la actividad de la red, mientras que los escáneres activos son capaces de simular ataques y reparar puntos débiles. Ambos tipos de escáner pueden coexistir dentro de una red, complementando las capacidades de cada uno.
Conceptos básicos del análisis de vulnerabilidades
Los escáneres de vulnerabilidades devuelven datos sobre posibles riesgos de seguridad que permiten al personal de TI ver la red de la forma en que lo haría un pirata informático potencial, viendo claramente las posibles vías para ataques de denegación de servicio o para obtener información a través del rastreo de paquetes. Los escáneres de vulnerabilidades a menudo priorizan las debilidades que descubren, asignando diferentes valores para representar el daño potencial que un pirata informático podría causar dentro de una red al explotar una debilidad específica. Esto permite a los administradores de red priorizar el trabajo de reparación al indicar qué nodos presentan los mayores riesgos de seguridad.
Escáneres activos
Los escáneres activos envían transmisiones a los nodos de la red, examinando las respuestas que reciben para evaluar si un nodo específico representa un punto débil dentro de la red. Un administrador de red también puede usar un escáner activo para simular un ataque en la red, descubriendo debilidades que un pirata informático potencial detectaría o examinar un nodo después de un ataque para determinar cómo un pirata informático violó la seguridad. Los escáneres activos pueden tomar medidas para resolver de forma autónoma problemas de seguridad, como bloquear una dirección IP potencialmente peligrosa.
Escáneres pasivos
Los escáneres pasivos identifican los sistemas operativos, las aplicaciones y los puertos activos en una red, monitoreando la actividad para determinar las vulnerabilidades de la red. Sin embargo, aunque los escáneres pasivos pueden proporcionar información sobre debilidades, no pueden tomar medidas para resolver problemas de seguridad. Estos escáneres pueden verificar el software actual y las versiones de los parches en los dispositivos en red, indicando qué dispositivos están usando software que presenta una puerta de enlace potencial para los piratas informáticos o los ataques de troyanos, y hacer referencia a esta información en bases de datos públicas que contienen listas de parches actuales. Un administrador de red puede configurar los escáneres pasivos para que funcionen de forma continua o a intervalos específicos.
Limitaciones y deficiencias del análisis de vulnerabilidades
Si bien los escáneres de vulnerabilidades pueden facilitar las tareas de seguridad de la red, no pueden reemplazar la experiencia del personal capacitado. Los escáneres son capaces de devolver falsos positivos, que indican una debilidad donde no existe, y falsos negativos, en los que el escáner pasa por alto un riesgo de seguridad. El personal calificado debe verificar cuidadosamente los datos que devuelven sus escáneres para detectar resultados erróneos. La evaluación de amenazas de un escáner se basa únicamente en su base de datos de exploits conocidos, y un escáner no puede extrapolar los datos que descubre para concebir métodos nuevos y novedosos que un pirata informático pueda usar para atacar la red. El escaneo de vulnerabilidades también ocupa una cantidad considerable de ancho de banda, lo que potencialmente ralentiza el rendimiento de la red.