Активное или пассивное сканирование: что выбрать? Каждый, кто занимается безопасностью сети, задается вопросом — когда мониторить трафик без вмешательства, а когда нужно активно сканировать сеть. Разбираемся, в чем разница и когда что применять.
Отвечает Александр Галдобин, руководитель отдела по работе с вендорами MONT.
** В чем главная разница между активным и пассивным сканированием?**
Пассивное сканирование — это просто наблюдение. Инструмент анализирует существующий трафик, чтобы выявить информацию о топологии сети, используемых протоколах, версиях ПО и потенциальных уязвимостях. Он не вмешивается в работу системы и не генерирует дополнительный трафик.
Активное сканирование предполагает отправку специальных запросов (пакетов) к устройствам в сети с последующим анализом их ответов. Оно может имитировать атаки, проверять реакции системы и выявлять уязвимости, которые не видны при пассивном анализе. ** Что можно увидеть пассивно, а что только активно?**
С помощью пассивного сканирования можно выявить версии ПО на сетевых устройствах, аномалии в трафике (например, атаки типа DoS), раскрытие информации в ошибках и неправильные настройки безопасности.
Но есть вещи, которые можно увидеть только с помощью активного сканирования. Например, SQL-инъекции, XSS-атаки, уязвимости в конфигурациях, возможности эксплуатации найденных уязвимостей.
** Что нового появилось в инструментах для сканирования?**
За последние годы инструменты сильно шагнули вперед. Теперь они используют машинное обучение и ИИ — сами подбирают параметры сканирования и ищут неизвестные уязвимости. Также появились платформы для управления поверхностью атак (например, F6 ASM), которые умеют сочетать пассивный и активный подходы.
И главное — сканирование можно ставить по расписанию, интегрировать с SIEM и системами управления инцидентами. ** Когда активное сканирование необходимо, а пассивного недостаточно?**
Активное сканирование нужно, если:
важно получить детальную информацию о состоянии сети, включая закрытые порты и сервисы; требуется проверить устойчивость инфраструктуры к реальным атакам, имитировать действия злоумышленника; необходимо выявить уязвимости, которые проявляются только при взаимодействии с системой (например, в веб-приложениях); нужно провести углубленный анализ после обнаружения подозрительной активности; требуется оценить эксплуатационный потенциал найденных уязвимостей.
А пассивного достаточно, когда вы просто мониторите сеть в поисках аномалий, собираете базовую информацию или когда активное сканирование запрещено политикой безопасности.
Как часто нужно проводить сканирование, если использовать оба подхода?
Пассивный мониторинг можно держать включенным постоянно — он почти не нагружает сеть.
Активное сканирование лучше запускать по расписанию — ежедневно, еженедельно или после крупных изменений в инфраструктуре. Для больших сетей можно сканировать разные сегменты в разное время.
Внеплановое активное сканирование стоит делать, если вы заметили что-то подозрительное, обновили ПО или поменяли настройки.
И конечно, автоматизируйте процесс, чтобы система сама планировала проверки, а вы получали только оповещения о новых рисках. VK | Telegram | TenChat | MAX