Scanner passif contre scanner actif : quelle est la meilleure pratique ?

Retour d’expérience sur l’utilisation grandissante des technologies de scanners en temps réel de réseaux.

L'utilisation des scanners actifs, également nommés scanners de vulnérabilités, est désormais extrêmement courante auprès des grands comptes et fait partie intégrante des processus de contrôle dictées par les DSI. En effet, cet outil s'avère très utile pour dresser la carte des machines et services présents dans le réseau ainsi que les vulnérabilités associées à ces actifs. Par ailleurs, de nombreux grands comptes utilisent ces informations dans un but de corrélation (soit au niveau d'un IDS pour en supprimer les faux positifs, soit au niveau d'un SIEM pour alimenter celui-ci).


Cependant l'utilisation de cette seule technologie comporte quelques contraintes et connait quelques limites. Par définition le scanner actif mène une action ponctuelle et prend donc une photographie de l'état du réseau. Les scans ont lieu régulièrement mais leur fréquence est d'une fois par trimestre, par mois, voire par semaine pour les plus réguliers.


Ceci pose le problème de l'exactitude des informations au moment ou elles sont utilisées. Toute corrélation ou utilisation d'un résultat de scans actifs est potentiellement fausse car obsolète. En effet, la mobilité des laptops, la rapidité d'évolution du réseau accélérée par l'utilisation grandissante des outils de virtualisation, les campagnes régulières de patch management, sont autant de facteurs qui contribuent à rendre le réseau dynamique.


C'est dans ce contexte de réseaux de plus en plus dynamiques que l'utilisation des scanners passifs a tendance à s'étendre au sein des grands comptes. Par définition, le scanner passif ne fait qu'écouter le réseau afin de le cartographier et n'envoi aucun paquet sur réseau. Il cartographie les OS, les services et crée la carte des vulnérabilités associée aux actifs découverts.

Il est généralement également capable d'enregistrer les flux (type netflow record). Son caractère "passif" lui confère surtout la capacité de détecter en "temps réel". Ainsi, dès qu'une machine ou un service émet des paquets sur le réseau, elle ou il est détecté et intègre la cartographie réseau. L'utilisation d'un scanner passif dans un but de corrélation ou d'alimentation d'un SIEM garantit donc la prise en compte en temps réel de la cartographie du réseau ce qui élimine les erreurs liées à l'obsolescence des données provenant d'un scan actif.


Cependant, étant passif, le scanner passif ne peut que soupçonner les vulnérabilités présentes sur les machines détectées sans avoir la capacité de les tester. Cela signifie que sa carte de vulnérabilités sera inexacte car trop riche.


Le meilleur des deux mondes


L'intérêt du scanner actif est de donner une image parfaite des vulnérabilités présentes au moment du scan. Son défaut est de ne pas garantir la qualité de cette information entre deux scans.

L'intérêt du scanner passif est de surveiller constamment le réseau pour apporter une connaissance temps réel complète des machines et services qui y figurent. Son défaut est de ne pas être précis sur les vulnérabilités présentes sur les machines.

 

La qualité de l'un couvre le défaut de l'autre. La pratique recommandée est donc une utilisation combinée de ces deux technologies afin de conserver une connaissance temps réel du réseau et de bénéficier ponctuellement d'une information précise de vulnérabilités. Idéalement, la découverte passive d'une nouvelle machine doit pouvoir automatiquement déclencher le scan actif et complet de ladite machine.