Per anni, i due metodi più popolari per la scansione delle vulnerabilità interne (via agenti e via rete) sono stati considerati di efficacia simile sebbene ciascuno con i propri punti di forza. Tuttavia, con l’aumento del lavoro da remoto la scansione basata su agente ha acquisito maggiore interesse.
Scansione via rete
La scansione delle vulnerabilità interne condotta via rete è l’approccio più tradizionale ed è solitamente effettuata da un appliance/server di scansione che si trova all’interno dell’infrastruttura e che raggiunga tutti i punti rete.
Pro:
- Tutto ciò che ha un indirizzo IP può essere scansionato
- La scansione completa del piano di indirizzamento consente di venire a conoscenza di indirizzi IP utilizzati e non censiti
- Deployment generalmente più semplice
Contro:
- La non completezza di informazioni rende più rilevanti i risultati delle scansioni e gli effort di remediation
- La scansione è fattibile solamente per gli indirizzi IP che sono raggiungibili dall’appliance che sta effettuando l’attività
- La scansione via rete non contempla i computer che lavorano da remoto
- La dinamicità della rete impatta sulla configurazione degli appliance utilizzati per le scansioni
- La scansione via rete potrebbe sovraccaricare il traffico se non ben configurata e impostata
Scansione via agenti
La scansione delle vulnerabilità interne condotta attraverso agenti è considerata l’approccio più moderno ed è condotta da agenti installati sui dispositivi che segnalano a un server centrale.
Pro:
- Gli agenti effettuano la scansione anche quando i dispositivi sono fuori sede
Contro:
- Gli agenti non possono essere installati su tutti i dispositivi perché non tutti i sistemi operativi sono supportati, specie ad esempio su dispositivi come switch e stampanti
- Qualche difficoltà di interpretazione dei risultati e di probabili incoerenze dei report periodici può derivare dall’utilizzo del DHCP (solitamente molto diffuso)
- Deployment generalmente più oneroso a meno che non si abbia un sistema di distribuzione del software e una esigua varietà di sistemi operativi
In definitiva un approccio misto potrebbe essere quello vincente, lasciando agli agenti la scansione di PC e server e all’appliance la scansione della rete.