Network scanner best practices

Le scan du réseau est un outil essentiel pour sécuriser votre surface d'attaque. Il vous aide à découvrir les appareils, les ports ouverts, les vulnérabilités et les mauvaises configurations qui pourraient constituer des points d'entrée pour les attaquants. 

Sans des scans fréquents et approfondis, vous risquez de passer à côté de nouvelles menaces, de dispositifs non autorisés ou de logiciels obsolètes présentant des failles exploitables.

Cependant, s'il n'est pas effectué correctement, un scan du réseau peut provoquer des perturbations telles que des ralentissements du réseau ou déclencher de fausses alarmes qui font perdre du temps à votre équipe. 

Voici quelques bonnes pratiques en matière de scan de réseau à prendre en compte :

Mettez en place des scans réguliers pour repérer les nouveaux appareils et les vulnérabilités dès qu'ils apparaissent sur votre réseau. 

La surveillance continue empêche les attaquants d'exploiter des expositions inconnues ou négligées.

Paramétrez vos scans pour qu'ils s'exécutent automatiquement pendant les périodes calmes, comme la nuit ou le week-end, lorsque votre organisation n'utilise pas autant le réseau, afin d'éviter les ralentissements ou les interruptions d'activité. 

Dans certains cas, le scan d'une base de données très fréquentée pendant les heures de travail pourrait faire ramper les apps ou frustrer les utilisateurs.

La fréquence des scans dépend de la criticité des assets, de la tolérance au risque et des exigences de conformité. 

Comme base de référence :

• Systèmes externes, orientés vers l'internet : Effectuez un scan au moins une fois par semaine, car c'est là qu'ils sont le plus exposés.
• Serveurs de production internes : Effectuer des scans authentifiés toutes les semaines ou toutes les deux semaines.
• Les endpoints et les appareils des utilisateurs : Scanner tous les mois ou dans le cadre des cycles de correctifs de routine.
• Mandats de conformité : Respecter les calendriers requis, tels que les scans externes trimestriels pour PCI DSS.

Pour les environnements très dynamiques, comme les charges de travail dans le cloud ou les conteneurs, optez pour un scan continu. Les outils de scan du réseau peuvent surveiller les assets en temps quasi réel pour une visibilité instantanée de l'apparition de nouvelles vulnérabilités.

Une stratégie de scan complète fait appel à deux méthodes complémentaires : le scan actif et le scan passif.

Le scan actif envoie des sondes aux appareils pour identifier les ports ouverts, les services et les vulnérabilités. 

Bien qu'elle permette d'obtenir des informations approfondies, elle peut parfois perturber des systèmes sensibles. 

Par exemple, les scans agressifs peuvent parfois provoquer des pannes ou des comportements imprévisibles chez les imprimantes, les téléphones VoIP ou les équipements OT fragiles.

Associez le scan actif au scan passif pour éviter ces perturbations et obtenir une visibilité totale. Cette méthode écoute en permanence le trafic réseau pour identifier les assets et les vulnérabilités sans interagir directement avec les appareils. 

Le scan passif est particulièrement utile pour détecter les périphériques transitoires (comme les ordinateurs portables des invités) et le Shadow IT (logiciels et matériel non autorisés) que les scans actifs programmés ne détectent souvent pas.

L'utilisation des deux vous donne une image complète et en temps réel de votre réseau, ce qui vous permet de repérer les menaces connues et émergentes sans interférer avec les opérations critiques.

Les scanners de réseau utilisent deux types de scan : non authentifié (depuis l'extérieur, comme un attaquant) et authentifié (avec des informations d'identification). 

Pour obtenir les résultats les plus précis, vous avez besoin d'un scan authentifié. En se connectant aux systèmes avec des identifiants valides, le scanner peut collecter des informations détaillées sur les logiciels installés, l'état des correctifs et les paramètres de configuration locale.

Cet examen approfondi permet de détecter des vulnérabilités invisibles de l'extérieur, telles que des correctifs manquants ou des paramètres logiciels à risque. Il réduit également le nombre de fausses alertes en vérifiant directement les systèmes.

Bien que le scan authentifié exige que vous gériez les informations d'identification, vous pouvez le faire en toute sécurité en utilisant un coffre-fort sécurisé pour stocker les comptes de service avec des privilèges en lecture seule ou des privilèges minimums nécessaires sur les systèmes cibles.

Un rapport de scan brut peut être accablant. 

Pour se concentrer sur les risques réels, priorisez la remédiation en utilisant une approche moderne, basée sur les données, qui va au-delà de la sévérité pour inclure l'intelligence des menaces et le contexte de l'entreprise.

Tout d'abord, utilisez le système commun d'évaluation des vulnérabilités (CVSS) pour comprendre la sévérité intrinsèque d'une vulnérabilité. Un score CVSS élevé (7.0-10.0) indique une faille potentiellement dommageable qu'il convient de prendre au sérieux.

Ensuite, il faut ajouter une couche de système de Predictive Scoring (EPSS). EPSS vous donne une note de probabilité (0-100%) sur la probabilité qu'un attaquant exploite une vulnérabilité dans l'environnement réel au cours des 30 prochains jours. Cela vous permet de faire la distinction entre une vulnérabilité sévère à laquelle personne ne s'attaque et un danger clair et présent.

Enfin, il faut tenir compte de l'importance de l'asset. Une vulnérabilité avec un score CVSS et EPSS élevé sur une base de données de production critique orientée vers l'internet est votre priorité absolue. Vous pouvez traiter la même vulnérabilité sur une machine de test isolée ultérieurement.

To put this prioritization theory into practice, modern vulnerability management platforms use your network scan results as the foundation for a deeper, AI-driven analysis. 

For example, a platform like Tenable ingests your scanner's findings and applies its predictive Vulnerability Priority Rating (VPR) to identify which discovered vulnerabilities bad actors are most likely to exploit. 

To add crucial business context, it then layers on an asset criticality rating (ACR) for 

des assets scannés. 

Les systèmes les plus avancés utilisent même ces données combinées pour cartographier les chemins d'attaque potentiels, en montrant comment une détection à faible risque sur une machine peut compromettre un asset critique ailleurs.

Cette approche transforme les résultats bruts de votre scanner de réseau en un plan d'action hiérarchisé.

La qualité de vos scans de vulnérabilités dépend de votre compréhension de ce qui se trouve sur votre réseau. Les attaquants exploitent souvent des appareils malveillants ou non gérés qui passent inaperçus. La tenue d'un inventaire des assets (Inventaire des assets) précis et constamment mis à jour est essentielle pour assurer une sécurité efficace.

Utilisez vos outils de scan du réseau pour détecter automatiquement les nouveaux appareils, afin de toujours savoir ce qui est connecté. Cela est particulièrement important dans les environnements où des appareils sont fréquemment ajoutés, retirés ou déplacés, comme les bureaux appliquant des politiques BYOD ou les réseaux cloud et hybrides.

Un inventaire des assets à jour permet également d'établir des rapports de conformité et de répondre aux incidents, ce qui facilite le suivi, le conteneur et la remédiation des menaces.

Vous devriez intégrer le scan du réseau dans vos opérations de sécurité plus larges afin de créer un système automatisé en boucle fermée pour la gestion du cycle de vie des vulnérabilités, en connectant par exemple votre scanner de vulnérabilités aux solutions SOAR et SIEM.

Cela permet de créer un workflow puissant. 

Par exemple, lorsqu'un scan découvre une vulnérabilité critique sur un serveur clé, il peut déclencher une alerte en temps réel dans le SIEM. Le SIEM peut alors lancer un playbook SOAR qui ouvre automatiquement un ticket de haute priorité dans un système comme Jira ou ServiceNow, l'assigne à l'administrateur informatique approprié et remplit le ticket avec tous les détails de remédiation nécessaires. 

Ce processus automatisé vous permet de suivre les vulnérabilités depuis leur découverte jusqu'à leur résolution, avec des paramètres clairs en matière de conformité, et d'accélérer considérablement votre temps de réponse.

Une politique de scan unique est inefficace et peut être dangereuse. 

Personnalisez vos profils de scan en fonction des risques, des technologies et des exigences opérationnelles propres à chaque segment de réseau.

Bien que vous deviez toujours utiliser des scans plus légers et moins fréquents pour les segments à faible risque, accordez une attention particulière à ces environnements uniques :

Cloud (AWS, Azure, GCP) : Les scanners de réseau traditionnels ont des angles morts dans le nuage. Renforcez votre stratégie avec des outils natifs. Dans ces environnements très dynamiques où les assets sont constamment en mouvement, un scan léger basé sur des agents est souvent plus efficace que des scans périodiques basés sur le réseau.

OT/systèmes de contrôle industriel (ICS) : Ces environnements requièrent une extrême prudence. Ne jamais effectuer un scan standard d'un réseau informatique sur un réseau OT. Commencez toujours par une approche de scan passif afin de découvrir et d'identifier les assets en toute sécurité, sans risquer de perturber les processus industriels critiques. Si vous avez besoin d'un scan actif, utilisez des politiques spécifiquement conçues et certifiées pour les environnements OT.

Le scan génère de grandes quantités de données, qui peuvent être écrasantes si l'on ne dispose pas des connaissances adéquates. Formez vos équipes sécurité et informatique à la lecture des rapports de scan, à la compréhension de la sévérité des vulnérabilités et à la priorisation des efforts de remédiation.

Une formation adéquate évite aux équipes de perdre du temps à traquer des problèmes à faible risque ou à mal interpréter les résultats des scans. Encourager la collaboration entre les équipes de sécurité, de réseau et d'exploitation afin d'améliorer la communication et d'accélérer la correction des vulnérabilités.

La formation continue et le développement des compétences permettent également à votre équipe de se tenir au courant de l'évolution des menaces, des nouvelles technologies de scan et des meilleures pratiques.

Enfin, tirez parti de l'Automation dans la mesure du possible. Automatisez la programmation des scans, l'analyse des résultats et le suivi des vulnérabilités.

Définissez des alertes en cas de vulnérabilités critiques, d'actifs nouvellement découverts ou de Détections de scan inhabituelles afin que votre équipe puisse réagir rapidement aux menaces émergentes. L'Automation accélère la détection et la remédiation tout en réduisant les erreurs humaines et les frais généraux opérationnels.

De nombreuses plateformes modernes de scan et de gestion des vulnérabilités offrent des fonctionnalités d'Automation intégrées qui s'intègrent de manière transparente à vos outils de sécurité existants.

Le respect de ces bonnes pratiques en matière de scanner de réseau permettra d'améliorer la visibilité, de réduire les faux positifs, de se concentrer sur les risques réels et d'assurer la sécurité de votre réseau sans perturber les activités de l'entreprise. Ces stratégies créent une base solide pour une sécurité proactive qui s'adapte à l'évolution de votre réseau.

Vous souhaitez améliorer le scan de votre réseau et la gestion des vulnérabilités ? Découvrez comment Tenable Vulnerability Management peut vous aider à automatiser le scan, à hiérarchiser les risques et à accélérer la remédiation.