Scanners de vulnerabilidades

Existem diversas formas de achar vulnerabilidades manualmente, mas também existem as ferramentas automatizadas que fazem isto. Os scanners de vulnerabilidades são um tipo de utilitário feito para identificar problemas e brechas em sistemas operacionais e sistemas.

Isto é feito através de checagens de códigos, portas, variáveis, banners, e outras áreas com potenciais problemas. Um scanner de vulnerabilidade foi feito para ser usado por empresas para achar possíveis brechas de ataques e o que precisa ser corrigido para remover a vulnerabilidade. Apesar de ser usado para aplicações, eles podem verificar sistemas inteiros, incluindo a rede e as máquinas virtuais.

Eles podem ser um grande ativo, mas tem desvantagens. Eles buscam por falhas conhecidas em um grupo específico, e se ele não acha estes problemas, eles podem dar a falsa sensação de não ter problema. É importante validar todos os resultados destas aplicações.

Apesar dos scanners de vulnerabilidades serem feitos para uso legítimo por usuários que querem garantir que seus computadores estão seguros, invasores podem usar para os seus propósitos. Rodando este scan, ele pode achar exatamente em quais áreas da rede ele pode invadir.

Existem alguns scanners conhecidos, como: Nessus OpenVAS, Nexpose, Retina e outros.

O nmap, apesar de não ser um scanner de vulnerabilidade, ele possui alguns scripts chamados de NSE que podem validar algumas vulnerabilidades específicas. Estes scripts podem ser personalizados e criar um novo, basta aprender usar a linguagem do engine do nmap.

Sugestão de Livro: Certified Ethical Hacker version 9: Study Guide. Sybex. 2016.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: CompTIA Security+, EXIN EHF, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação, Ethical Hacking e Perícia Forense.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!