[Fireburn]

[quote:92a16439d2]Retour d´expérience sur l´utilisation grandissante des technologies de scanners temps réel de réseaux.

L’utilisation des scanners actifs (également nommés scanners de vulnérabilités) est désormais extrêmement courante auprès des grands comptes et fait partie intégrante des processus de contrôle dictées par les DSI. En effet, cet outil s’avère très utile pour dresser la carte des machines et services présents dans le réseau ainsi que les vulnérabilités associées à ces actifs. Par ailleurs, de nombreux grands comptes utilisent ces informations dans un but de corrélation (soit au niveau d’un IDS pour en supprimer les faux positifs, soit au niveau d’un SIEM pour alimenter celui-ci).

Cependant l’utilisation de cette seule technologie comporte quelques contraintes et connait quelques limites. Par définition le scanner actif mène une action ponctuelle et prend donc une photographie de l’état du réseau. Les scans ont lieu régulièrement mais leur fréquence est d’une fois par trimestre, par mois, voire par semaine pour les plus réguliers. Ceci pose le problème de l’exactitude des informations au moment ou elles sont utilisées. Toute corrélation ou utilisation d’un résultat de scan actif est potentiellement fausse car obsolète. En effet, la mobilité des LapTops, la rapidité d’évolution du réseau accélérée par l’utilisation grandissante des outils de virtualisation, les campagnes régulières de patch management, sont autant de facteurs qui contribuent à rendre le réseau dynamique.

C’est dans ce contexte de réseaux de plus en plus dynamiques que l’utilisation des scanners passifs a tendance à s’étendre au sein des grands comptes.
Par définition, le scanner passif ne fait qu’écouter le réseau afin de le cartographier et n’envoi aucun paquet sur réseau. Il cartographie les OS (type, version), les services (type, version) et crée la carte des vulnérabilités associée aux actifs découverts. Il est généralement également capable d’enregistrer les flux (type netflow record). Son caractère « passif » lui confère surtout la capacité de détecter en « temps réel ». Ainsi, dès qu’une machine ou un service émet des paquets sur le réseau, elle ou il est détecté et intègre la cartographie réseau.
L’utilisation d’un scanner passif dans un but de corrélation ou d’alimentation d’un SIEM garantit donc la prise en compte en temps réel de la cartographie du réseau ce qui élimine les erreurs liées à l’obsolescence des données provenant d’un scan actif.

Cependant, étant passif, le scanner passif ne peut que soupçonner les vulnérabilités présentes sur les machines détectées sans avoir la capacité de les tester. Cela signifie que sa carte de vulnérabilités sera inexacte car trop riche.

Le meilleur des deux mondes
L’intérêt du scanner actif est de donner une image parfaite des vulnérabilités présentes au moment du scan. Son défaut est de ne pas garantir la qualité de cette information entre deux scans. L’intérêt du scanner passif est de surveiller constamment le réseau pour apporter une connaissance temps réel complète des machines et services qui y figurent. Son défaut est de ne pas être précis sur les vulnérabilités présentes sur les machines.

La qualité de l’un couvre le défaut de l’autre. La pratique recommandée est donc une utilisation combinée de ces deux technologies afin de conserver une connaissance temps réel du réseau et de bénéficier ponctuellement d’une information précise de vulnérabilités. Idéalement, la découverte passive d’une nouvelle machine doit pouvoir automatiquement déclencher le scan actif et complet de ladite machine…

A propos de Sourcefire
Sourcefire, Inc. (Nasdaq: FIRE), créateur de Snort®, acteur innovant sur le marché de l'open source et l’un des acteurs incontournable sur le marché des solutions de sécurité des réseaux d'entreprise (Enterprise Threat Management). Sourcefire révolutionne la façon de gérer le réseau des entreprises du Global 2000 et des organismes gouvernementaux en contrôlant et minimisant les risques de sécurité sur leur réseau avec son approche 3D - Découvrir, Déterminer, Défendre - pour sécuriser les réseaux en temps réel. Cette approche de la sécurité des réseaux, l'ETM, fournit aux utilisateurs un système de défense efficace et performant sur plusieurs niveaux - en protégeant le réseau avant, pendant et après une attaque. Depuis plusieurs années, Sourcefire est régulièrement reconnue pour son leadership industriel innovant par ses clients, les médias et les analystes – avec plus de 40 récompenses et consécrations à son palmarès. Aujourd'hui, le nom de Sourcefire et celui de son fondateur Martin Roesch sont devenus tous deux synonymes d'innovation et d'intelligence sur le marché de la sécurité informatique. Pour plus d'informations à propos de Sourcefire, rendez-vous sur http://www.sourcefire.com.[/quote:92a16439d2][quote:92a16439d2]

source: http://www.zataz.com/communique-presse/18828/Scanner-Passif-contre-Scanner-Actif.html
[/quote:92a16439d2]