Net als antivirussoftware zijn kwetsbaarheidsscans afhankelijk van een database met bekende zwakke punten.
Dat is de reden dat er websites als VirusTotal bestaan, om cyberbeoefenaars de kans te geven om te zien of een malwaremonster door meerdere virusscanengines wordt gedetecteerd, maar dit concept bestond nog niet op het gebied van kwetsbaarheidsbeheer.
De voordelen van het gebruik van meerdere scanengines
Over het algemeen zijn kwetsbaarheidsscanners bedoeld om zoveel mogelijk kwetsbaarheden te controleren. Het aantal kwetsbaarheden dat jaar na jaar wordt ontdekt, is nu echter zo hoog, bijna 30.000 per jaar, oftewel 80 per dag, dat het onmogelijk is voor één enkele scanengine om ze allemaal bij te houden.
Als gevolg hiervan zullen zelfs de allerbeste, toonaangevende scanners moeite hebben om elke bekende kwetsbaarheid te controleren, en vaak zullen ze de voorkeur geven aan bepaalde sets software waarvan bekend is dat ze door hun klanten worden gebruikt.
De analyse van Intruder uit begin 2023, waarin Tenable's Nessus en OpenVAS werden vergeleken, liet bijvoorbeeld aanzienlijke verschillen zien in de dekking tussen scanners, waarbij de ene over het algemeen sterker was in commerciële software en de andere de voorkeur gaf aan open source:
“Tenable controleert op 12.015 CVE's waar OpenVAS niet op controleert en OpenVAS controleert op 6.749 CVE's waarop Tenable niet controleert.”
Leveranciers van scanengines houden ook rekening met andere factoren, zoals de vraag of een kwetsbaarheid in het wild is uitgebuit, of dat deze zich in softwareproducten bevindt die op grote schaal worden gebruikt. Maar ook al neemt de door u gekozen scanner verstandige beslissingen over de kwetsbaarheden waarvoor u cheques moet uitschrijven, er kunnen nog steeds gaten in de dekking van uw nalatenschap zitten.
Het is dus een harde realiteit dat u er op een dag achter kunt komen dat u bent gecompromitteerd via een aanvalsvector waar uw kwetsbaarheidsscanner eenvoudigweg geen controle op heeft.
Dit roept belangrijke vragen op voor degenen die hun digitale bezittingen willen beschermen, en niet alleen welke scanner ze moeten kiezen. Maar of één scanner wel genoeg is?
De multi-scanning engine-aanpak
Het is duidelijk dat het hebben van meerdere complementaire scanners de dekking zou verbeteren door meer kwetsbaarheden te vinden en meer te ontdekken over hoe uw aanvalsoppervlak eruit ziet. Maar het gebruik van meerdere scansystemen zou voor de meeste organisaties te veel geld zijn, zowel qua budget als qua tijd.
Dat is de reden waarom het team van Intruder, een toonaangevende leverancier van Attack Surface Management, vanaf het begin heeft besloten om meerdere scanengines op te nemen, waardoor klanten het breedste scala aan controles wordt geboden, terwijl de budget- en tijdsbeperkingen worden gestroomlijnd door ze op één platform aan te bieden.
Recentelijk heeft Intruder Nuclei toegevoegd aan zijn suite van kwetsbaarheidsscan-engines, waardoor het vermogen om aanvalsoppervlakken te beheren en te beveiligen wordt vergroot.
Met meer dan 3.000 extra controles in deze eerste release kan Intruder veel bredere en diepere dekkings- en ontdekkingsmogelijkheden bieden die niet kunnen worden geëvenaard door alleen maar één kwetsbaarheidsscanner te gebruiken.
Wat zijn kernen?
Nuclei is een open-source engine voor het scannen op kwetsbaarheden, vergelijkbaar met OpenVAS, die snel en uitbreidbaar is en een breed scala aan zwakke punten dekt. Het is steeds populairder geworden bij bug-premiejagers, penetratietesters en onderzoekers die herhaalbare controles willen uitvoeren op ernstige zwakke punten.
Deze experts, die samenwerken met het Nuclei-ontwikkelteam van ProjectDiscovery, combineren hun kennis en inzichten over de allernieuwste zwakke punten om extreem snel controles uit te voeren – waardoor scannen zo snel mogelijk mogelijk wordt gemaakt nadat een kwetsbaarheid is ontdekt.
Wat voegt Nuclei toe aan Intruder?
Door Nuclei als scanengine te integreren, verbetert Intruder de mogelijkheden van zijn platform voor kwetsbaarheidsbeheer om aanvalsoppervlakken effectiever te controleren en te beveiligen.
Dit omvat een uitgebreide detectie van blootstellingen zoals inlogpanelen die niet aan internet mogen worden blootgesteld, en een uitbreiding van het bereik van controles op bekende kwetsbaarheden in vaak blootgestelde diensten.
Nuclei breidt de bestaande scanengines van Intruder, zoals Tenable en OpenVAS, uit door een dieper en breder beeld van uw aanvalsoppervlak te bieden, waardoor een betere bescherming mogelijk wordt gemaakt door risico's bloot te leggen die onopgemerkt zouden blijven door een enkele scanengine.
Visualiseer en minimaliseer uw blootstelling met Intruder
De omvang van uw aanvalsoppervlak en hoe goed dit wordt beheerd, hangt nauw samen met uw risico dat opportunistische aanvallers uw systemen misbruiken. Hoe minder u blootlegt, en hoe beter de services die u blootlegt, zijn, hoe moeilijker het voor een aanvaller is om een zwakte te misbruiken.
U kunt uw aanvalsoppervlak verkleinen door voortdurend te controleren op wijzigingen met een geautomatiseerde tool voor kwetsbaarheidsbeheer zoals Intruder.
Met het Intruder-platform kunt u:
- Ontdek activa: wanneer nieuwe cloudservices worden opgestart en blootgesteld aan internet, start Intruder een scan om eventuele kwetsbaarheden te vinden, zodat u deze sneller kunt oplossen.
- Weet wat er aan het licht komt: krijg volledig inzicht in uw netwerkperimeter, volg actieve en niet-reagerende doelen, identificeer wijzigingen, controleer verlopende certificaten en bekijk alle poorten, services of protocollen die niet aan internet mogen worden blootgesteld.
- Detecteer meer: Intruder gebruikt meerdere scanners om kwetsbaarheden en blootstellingen op uw aanvalsoppervlak te identificeren, waardoor u de grootste zichtbaarheid krijgt.
- Focus op de grote problemen: bekijk resultaten geprioriteerd op basis van context, zodat u zich kunt concentreren op de meest urgente problemen zonder tijd te verspillen met het doorzoeken van de ruis.
