Agent-based and Network-based
No podemos asegurar la seguridad de tu sistema red sin una buena protección tanto externa como interna. Un método que junto a otros asegura la protección interna de tu red es hacer un escaneo de vulnerabilidades internas. Se escanean interfaces concretas (direcciones IP, etc.) para detectar alguna vulnerabilidad. El escaneo es de carácter no invasivo, así que se puede lanzar sin detener la actividad de la red, ya que este se ejecutará en un segundo plano. Hay dos tipos principales de escaneo de vulnerabilidades internas: agent-based y network-based. A continuación los analizaremos con más profundidad.
Network-based
Este escaneo se lanza desde una caja física en tu red (“scanning appliance”), o en una máquina virtual que esté en la nube. Este es el escaneo más tradicional.
Su objetivo es identificar puntos débiles en la red que podrían ser explotados por hackers u otras amenazas. Además, permite verificar la efectividad de los sistemas de seguridad de la red, haciendo un estudio tanto interno como externo. Sin embargo, es necesario mantener un muy buen registro de todo el inventario conectado a la red, además de los sistemas (desde firewalls instalados hasta sistemas operativos).
Agent-based
Este escaneo lanza “agentes” de seguridad en tus dispositivos. Usan los escaneadores software presentes en todos los dispositivos y centralizan la información obtenida en un servidor central. Es un escaneo más moderno.
La información que recolectan es similar que en un escaneo network-based. Este escaneo es costoso a nivel de tiempo, pero puede trabajar incluso si el escáner no está instalado. Es la alternativa preferible especialmente si no puedes asegurar conectividad en todo el sistema red. Por ejemplo, en el caso de un teléfono móvil que no está conectado a una red central, este tipo de escaneo es muy útil. Un ejemplo es la herramienta para escaneos agent-based Intruder. Es la preferida por bancos y grandes empresas a nivel mundial.
Diferencias:
| Network-based | Agent-based | |
| Funciones | Realiza funciones críticas. | Software de bajo impacto que monitoriza diferentes aspectos del sistema. |
| Dependencia | Funciona bien con una actuación mínima y reduce el mantenimiento de los agentes. | Hay una dependencia externa. Puede reducir la efectividad de los escáneres. |
| Conectividad | Necesita que todos los dispositivos estén conectados en la red. | Necesita software específico para acceder a cada aspecto por separado. |
| Cobertura | Todos los dispositivos tienen una dirección IP, así que permite llegar a escanear dispositivos como impresoras, o hasta luces automáticas. | Los agentes no se pueden instalar en todo. Sin embargo, puedes hacer el escáner de dispositivos remotos (muy útil en una empresa que permita trabajar desde casa). |
| Reparto | Si la red usa un protocolo de direccionamiento IP fijo no hay problema. Pero si las direcciones se asignan dinámicamente, será difícil de implementar. | Permite medir de forma más efectiva y declarar los esfuerzos necesarios para corregir las vulnerabilidades. Los agentes se vinculan al dispositivo, no a la dirección IP. |
| Mantenimiento | Necesitas tener muy bien documentados los dispositivos de la red. | Fácil mantenimiento. |
Tanto uno como el otro es útil
En conclusión, dependiendo de tu sistema habrá un escaneo o otro que va mejor, pero en la mayoría de casos nos interesa hacer ambos escáneres. Los escaneos network-based son más rápidos, menos contaminantes y reducen los falsos positivos. Sin embargo, no son capaces de llegar a dispositivos remotos, por ejemplo. Ya que hoy en día la mayoría de redes permiten la conexión de dispositivos no en el perímetro central (es decir, remotos), aunque la instalación y uso del escaneo agent-based sea difícil, es necesario. Un mix de las dos nos asegura la máxima protección y seguridad.