ichki va tashqi, shuningdek avtorizatsiyalangan va avtorizatsiyalanmagan zaifliklarni skanerlash.
Skanerlashni qayerda amalga oshirayotganimiz – bu nishon tizimlarni qay darajada ko‘ra olishimizni belgilaydi.
Agar mijoz bizdan tashqi zaifliklarni skanerlashni so‘rasa, bu odatda internet orqali ko‘rinadigan bir yoki bir nechta tizimlarni tahlil qilishni anglatadi.
Tashqi skanerlashdagi nishonlar odatda veb-ilovalar, DMZ (Demilitarizatsiya qilingan zona)dagi tizimlar va boshqa ochiq xizmatlar bo‘ladi.
Mijozning maqsadi – tashqi hujumchi tomonidan ko‘rinadigan barcha tizimlarning xavfsizlik holatini aniqlashdir.
Ko‘pincha mijoz bizga skanerlash uchun kerakli IP-manzillar ro‘yxatini beradi, ba'zida esa barcha tashqi tizimlar va xizmatlarni o‘zimiz aniqlashimiz kerak bo‘ladi.
Garchi har bir kompaniya qaysi tizimlari tashqariga ochiq ekanligini bilishi kerak bo‘lsa-da, bu har doim ham amalda kuzatilmaydi.
Natijada, biz ko‘pincha kompaniya o‘zi ham bilmagan holda tashqaridan ko‘rinadigan nozik tizimlar va xizmatlarni topamiz.
Boshqa tomondan, ichki zaifliklarni skanerlashda biz mijozning ichki tarmog‘iga to‘g‘ridan-to‘g‘ri kirish huquqiga egamiz – bu VPN orqali yoki bevosita mijoz ofisida bo‘lishimiz mumkin.
Bunday skanerlashning maqsadi – kompaniya ichki tarmog‘ining xavfsizlik holatini tahlil qilishdir.
Bu esa perimetr buzilgandan so‘ng hujumchi qaysi yo‘llar orqali tizimga hujum qilishi mumkinligini aniqlashga yordam beradi.
Keyingi ikkita turdagi skanerlash esa:
avtorizatsiyalanmagan (ya’ni tizimga hisob ma’lumotisiz) va
avtorizatsiyalangan (ya’ni tizimga foydalanuvchi hisob ma’lumotlari bilan) skanerlashlardir.
Agar tizimga hech qanday login yoki parol kiritmasdan zaifliklarni skanerlash amalga oshirilsa, bu avtorizatsiyalanmagan skanerlash deyiladi.
Bunday skanerlash faqatgina tarmoq orqali ochiq xizmatlarni aniqlab, portlar ro‘yxatini tuzadi va oldingi boblarda aytilganidek, bu ma’lumotlarni zaifliklar bazasi bilan solishtiradi.
Ammo, tizimning o‘zida mavjud bo‘lgan muammolar – masalan, yamoqlarning yo‘qligi, eskirgan dasturiy ta’minot yoki noto‘g‘ri konfiguratsiyalar haqida hech qanday ma’lumot bera olmaydi.