Semblable au reniflage de paquets, à l'analyse des ports et à d'autres «outils de sécurité», l'analyse des vulnérabilités peut vous aider à sécuriser votre propre réseau ou elle peut être utilisée par les méchants pour identifier les faiblesses de votre système contre lesquelles attaquer. L'idée est que vous utilisiez ces outils pour identifier et corriger ces faiblesses avant les méchants les utilisent contre vous.
Le but de l'exécution d'un scanner de vulnérabilité est d'identifier les périphériques de votre réseau qui sont ouverts aux vulnérabilités connues. Différents scanners atteignent cet objectif par différents moyens. Certains fonctionnent mieux que d'autres.
Certains peuvent rechercher des signes tels que des entrées de registre dans les systèmes d'exploitation Microsoft Windows pour identifier qu'un correctif ou une mise à jour spécifique a été implémenté. D'autres, en particulier Nessus, tentent en fait d'exploiter la vulnérabilité sur chaque périphérique cible plutôt que de se fier aux informations du registre.
Kevin Novak a fait un examen des scanners de vulnérabilité commerciaux pour Network Computing Magazine en juin 2003. Alors que l'un des produits, Tenable Lightning, a été examiné en tant qu'interface pour Nessus, Nessus lui-même n'a pas été testé directement par rapport aux produits commerciaux.
Un problème avec les scanners de vulnérabilité est leur impact sur les appareils qu'ils analysent. D'une part, vous voulez que l'analyse puisse être effectuée en arrière-plan sans affecter l'appareil. D'autre part, vous voulez être sûr que l'analyse est approfondie. Souvent, dans un souci de rigueur et en fonction de la manière dont le scanner collecte ses informations ou vérifie que l'appareil est vulnérable, l'analyse peut être intrusive et entraîner des effets indésirables, voire des pannes du système sur l'appareil analysé.
Il existe un certain nombre de packages d'analyse de vulnérabilité commerciale hautement cotés, notamment Foundstone Professional, eEye Retina et SAINT. Ces produits ont également un prix assez élevé. Il est facile de justifier les dépenses compte tenu de la sécurité et de la tranquillité d'esprit supplémentaires du réseau, mais de nombreuses entreprises n'ont tout simplement pas le budget nécessaire pour ces produits.
Bien qu'il ne s'agisse pas d'un véritable scanner de vulnérabilité, les entreprises qui s'appuient principalement sur les produits Microsoft Windows peuvent utiliser l'analyseur de sécurité Microsoft Baseline (MBSA) disponible gratuitement. MBSA analysera votre système et identifiera s'il manque des correctifs pour des produits tels que les systèmes d'exploitation Windows, Internet Information Server (IIS), SQL Server, Exchange Server, Internet Explorer, Windows Media Player et les produits Microsoft Office. Il a eu quelques problèmes dans le passé et il y a des erreurs occasionnelles avec les résultats de MBSA - mais l'outil est gratuit et est généralement utile pour s'assurer que ces produits et applications sont corrigés contre les vulnérabilités connues. MBSA identifiera et vous avertira également des mots de passe manquants ou faibles et d'autres problèmes de sécurité courants.
Nessus est un produit open source et est également disponible gratuitement. Bien qu'une interface graphique Windows soit disponible, le produit Nessus principal nécessite Linux / Unix pour fonctionner. L'avantage est que Linux peut être obtenu gratuitement et que de nombreuses versions de Linux ont des exigences système relativement faibles, il ne serait donc pas trop difficile de prendre un vieux PC et de le configurer comme serveur Linux. Pour les administrateurs habitués à opérer dans le monde Microsoft, il y aura une courbe d'apprentissage pour s'habituer aux conventions Linux et installer le produit Nessus.
Après avoir effectué une analyse de vulnérabilité initiale, vous devrez mettre en œuvre un processus pour traiter les vulnérabilités identifiées. Dans la plupart des cas, des correctifs ou des mises à jour seront disponibles pour résoudre le problème. Parfois, il peut y avoir des raisons opérationnelles ou commerciales pour lesquelles vous ne pouvez pas appliquer le correctif dans votre environnement ou le fournisseur de votre produit peut ne pas encore avoir publié de mise à jour ou de correctif. Dans ces cas, vous devrez envisager d'autres moyens d'atténuer la menace. Vous pouvez vous référer aux détails de sources telles que Secunia ou Bugtraq ou US-CERT pour identifier les ports à bloquer ou les services à fermer qui pourraient vous aider à vous protéger de la vulnérabilité identifiée.
Au-delà de la mise à jour régulière des logiciels antivirus et de l'application des correctifs nécessaires pour toute nouvelle vulnérabilité critique, il est sage de mettre en œuvre un calendrier d'analyses périodiques des vulnérabilités pour s'assurer que rien n'a été oublié. L'analyse des vulnérabilités trimestrielle ou semestrielle peut contribuer grandement à vous assurer que vous détectez les faiblesses de votre réseau avant les méchants.