Не бихте искали вашата мрежа да станецел на злонамерени потребители, които се опитват да откраднат вашите данни или да причинят щети на вашата организация. Но как можете да установите, че има възможно най-малко начини да влязат? Като се уверите, че всяка уязвимост във вашата мрежа е известна, адресирана и фиксирана или че е налице някаква мярка, която да я смекчи. И първата стъпка в осъществяването му е да сканирате вашата мрежа за тези уязвимости. Това е задачата на конкретен тип софтуерен инструмент и днес се радваме да ви представим нашите топ 6 най-добри безплатни скенери за уязвимост на мрежата.
Ще започнем днешната дискусия с разговорза уязвимостта на мрежата - или може би уязвимости - опитвайки се да обясни какви са те. След това ще обсъдим скенерите за уязвимост като цяло. Ще видим кой има нужда от тях и защо. Тъй като скенерът за уязвимост работи само като част от процеса на управление на уязвимостта, това ще обсъдим по-нататък. След това ще проучим как обикновено работят скенерите за уязвимост. Всички те са различни, но в основата си обикновено има повече прилики, отколкото разлики. И преди да разкрием кои са най-добрите безплатни скенери за уязвимост, ще ви кажем какво да търсите в тях.
Уязвимост 101
Компютърните системи и мрежи са по-сложниот всякога. Не е рядкост един типичен сървър да изпълнява стотици процеси. Всеки от тези процеси е програма, някои от тях са големи програми, съдържащи хиляди редове код. И в този код може да има всякакви неочаквани неща. Един програмист може, в един момент, да добави някаква функция за заден ход, за да улесни отстраняването на грешки и тази функция може погрешно да е направила това в крайната версия. Възможно е да има някои грешки при валидирането на входа, които да причинят неочаквани и нежелателни резултати при някакво конкретно обстоятелство.
Всяко от тях е дупка и има многобройнихора, които нямат нищо по-добро от това да намерят тези дупки и да ги използват, за да атакуват вашите системи. Уязвимостите са това, което наричаме тези дупки. И ако бъдат оставени без надзор, те могат да бъдат използвани от злонамерени потребители, за да получат достъп до вашите системи и данни - или още по-лошо, до данните на вашия клиент - или по друг начин да причинят някаква вреда, като например правят системите ви неизползваеми.
Уязвимостите могат да бъдат навсякъде във вашата мрежа. Те често се срещат в софтуер, работещ на вашите сървъри или техните операционни системи, но те също са често срещани в мрежово оборудване като превключватели, рутери и дори уреди за сигурност, като защитни стени.
Мрежови скенери за уязвимост - какви са те и как работят
Скенери за уязвимост или уязвимостинструментите за оценка, както често ги наричат, са софтуерни инструменти, чиято единствена цел е да идентифицира уязвимостите във вашите системи, устройства, оборудване и софтуер. Ние ги наричаме скенери, защото те обикновено сканират вашето оборудване, за да търсят конкретни уязвимости.
Но как да намерят тези уязвимости? В края на краищата те обикновено не са там в полезрението или разработчикът би се обърнал към тях. Донякъде като софтуер за защита от вируси, който използва бази данни за дефиниции на вируси за разпознаване на компютърни вируси, повечето скенери за уязвимост разчитат на бази данни за уязвимост и сканиращи системи за специфични уязвимости. Тези бази данни за уязвимост могат да бъдат извлечени или от известни лаборатории за тестване на сигурността, които са посветени на намиране на уязвимости в софтуера и хардуера, или могат да бъдат собствени бази данни. Нивото на откриване, което получавате, е толкова добро, колкото базата данни за уязвимост, която използва вашият инструмент.
Мрежови скенери за уязвимост - на кого им е необходимо?
Бързият и лесен отговор на този въпрос е прост: Ти направя! Всъщност не, всеки има нужда от тях. Точно както никой с правилния си ум не би помислил да работи с компютър без някаква защита от вируси, така и никой мрежов администратор не би трябвало да има поне някаква схема за откриване на уязвимост.
Разбира се, това вероятно е нещо, което би моглотеоретично да се извършва ръчно, но на практика, това е невъзможна работа. Това ще изисква огромно време и човешки ресурси. Някои организации са посветени на намирането на уязвимости и често наемат стотици хора, ако не и хиляди.
Факт е, че ако управлявате редицакомпютърни системи или устройства, вероятно имате нужда от скенер за уязвимост. Спазването на регулаторни стандарти, като SOX или PCI-DSS, често ще изисква това. И дори и да не изискват това, спазването ще бъде по-лесно за демонстриране, ако можете да покажете, че сканирате мрежата си за уязвимости.
Дума за управление на уязвимостта
Едно е да открием уязвимостите, използвайкинякакъв софтуерен инструмент, но той е безполезен, освен ако не е част от холистичен процес на управление на уязвимостта. Точно както системите за откриване на проникване не са системи за предотвратяване на проникване в мрежата Скенерите за уязвимост на мрежата - или поне по-голямата част от тях - ще открият само уязвимостите и ще ги насочат към вас.
От вас зависи да имате някакъв процесреагират на тези открити уязвимости. Първото нещо, което трябва да се направи, е да ги оценим. Идеята тук е да се уверим, че откритите уязвимости са реални. Производителите на скенери за уязвимост често предпочитат да грешат от страна на предпазливостта и много от техните инструменти ще докладват за определен брой неверни положителни резултати.
Следващата стъпка в управлението на уязвимосттапроцесът е да решите как искате да адресирате и да поправите реални уязвимости. Ако те са били намерени в част от софтуера, която вашата организация почти не използва - или изобщо не използва - най-добрият ви начин на действие може да бъде да я премахнете и замените с друг софтуер, предлагащ подобна функционалност. В много случаи коригирането на уязвимостите е толкова лесно, колкото прилагането на някакъв пластир от софтуерния издател или надстройването до най-новата версия. Понякога те също могат да бъдат коригирани чрез промяна на някои конфигурационни настройки.
Какво да търсите в скенерите за уязвимост на мрежата
Нека разгледаме някои от най-важнитенеща, които трябва да се вземат предвид при оценката на скенери за уязвимост на мрежата. На първо място е наборът от устройства, които инструментът може да сканира. Това трябва да съответства на вашата среда възможно най-близо. Ако например вашата среда има много Linux сървъри, трябва да изберете инструмент, който да ги сканира. Вашият скенер също трябва да е възможно най-точен във вашата среда, за да не ви удави в безполезни известия и фалшиви позитиви.
Друг важен фактор, за да се счита товабаза данни за уязвимост на инструмента Актуализира ли се редовно? Съхранява ли се локално или в облака? Трябва ли да плащате допълнителни такси, за да актуализирате базата данни за уязвимост? Това са всички неща, които ще искате да знаете, преди да изберете инструмента си.
Не всички скенери са създадени еднакви, някои ще използватпо-натрапчив метод за сканиране от другите и потенциално ще повлияе на производителността на системата. Това не е лошо, тъй като най-натрапчивите често са най-добрите скенери, но ако повлияят на производителността на системата, ще искате да знаете за това и да планирате съответно сканирането. И като говорим за планиране, това е друг важен аспект на скенерите за уязвимост на мрежата. Инструментът, който обмисляте, дори има планирани сканирания? Някои инструменти трябва да бъдат стартирани ръчно.
Последният важен аспект на мрежатаскенерите за уязвимост са тяхното предупреждение и докладване. Какво се случва, когато открият уязвимост? Ясното и лесно ли е разбирането? Инструментът предоставя ли някаква представа за това как да коригирате намерените уязвимости? Някои инструменти дори имат автоматизирано отстраняване на някои уязвимости. Други се интегрират със софтуер за управление на пластирите. Що се отнася до отчитането, това често е въпрос на лични предпочитания, но трябва да се уверите, че информацията, която очаквате да намерите в отчетите, действително има. Някои инструменти имат само предварително зададени отчети, някои ще ви позволят да ги модифицирате, а някои ще ви позволят да създавате нови от нулата.
Нашите топ 6 най-добрите мрежови скенери за уязвимост
Сега, когато знаем какво да търсимскенери за уязвимост, нека разгледаме някои от най-добрите или най-интересните пакети, които бихме могли да намерим. Всички освен един са безплатни, а платеният разполага с безплатна пробна версия.
1. SolarWinds Network Configuration Manager (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
Първото ни влизане в интересно парчесофтуер от SolarWinds, наречен Network Configuration Manager. Това обаче не е безплатен инструмент, нито е скенер за уязвимост на мрежата. Затова може би се чудите какво прави в този списък. Има една основна причина за включването му: инструментът адресира конкретен тип уязвимост, който не правят много други инструменти и че неправилно конфигурира мрежовото оборудване.
БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Network Configuration Manager
Основната цел на този инструмент като уязвимостскенер е валидиращо мрежово оборудване за конфигурационни грешки и пропуски. Той също така ще проверява периодично конфигурациите на устройствата за промени. Това може да бъде полезно, тъй като някои атаки се стартират чрез промяна на някои конфигурации на устройства по начин, който може да улесни достъпа до други системи. Мрежовият конфигурационен мениджър може също да ви помогне за спазване на мрежата с неговите автоматизирани инструменти за конфигуриране на мрежата, които могат да разгърнат стандартизирани конфигурации, да открият промени извън процеса, конфигурации на одит и дори да коригират нарушенията.
Софтуерът се интегрира с NationalБаза данни за уязвимост и има достъп до най-актуалните CVE, за да идентифицира уязвимостите във вашите устройства на Cisco. Той ще работи с всяко устройство на Cisco, работещо с ASA, IOS или Nexus OS. Всъщност в продукта са вградени два полезни инструмента, Network Insights за ASA и Network Insights за Nexus.
Цени за мрежовата конфигурация на SolarWindsМениджърът започва от $ 2 895 и варира в зависимост от броя на възлите. Ако искате да опитате този инструмент, безплатна 30-дневна пробна версия може да бъде изтеглена от SolarWinds.
2. Microsoft Baseline анализатор за сигурност (MBSA)
Второто ни вписване е по-стар инструмент от Microsoftнаречен Baseline Security Analyzer или MBSA. Този инструмент е по-малко от идеалния вариант за по-големи организации, но може да е добре за малки фирми със само няколко сървъра. Като се има предвид неговият произход на Microsoft, не очаквайте този инструмент да разглежда други продукти освен Microsoft. Той ще сканира основната операционна система Windows, както и някои услуги като защитната стена на Windows, SQL сървъра, IIS и приложенията на Microsoft Office.
Инструментът не сканира конкретноуязвимости като истинските скенери за уязвимост, но ще търси липсващи кръпки, сервизни пакети и актуализации на защитата, както и сканиращи системи за административен проблем. Отчетният механизъм на MBSA ще ви позволи да получите списък с липсващи актуализации и неправилни конфигурации
MBSA е стар инструмент от Microsoft. Толкова стар, че не е напълно съвместим с Windows 10. Версия 2.3 ще работи с най-новата версия на Windows, но ще изисква известно настройване, за да изчисти фалшивите позитиви и да коригира проверките, които не могат да бъдат завършени. Например, MBSA невярно ще докладва, че актуализацията на Windows не е активирана в най-новата версия на Windows. Друг недостатък е, че MBSA няма да открие уязвимости извън Microsoft или сложни уязвимости. Все пак този инструмент е лесен за използване и върши добре работата си и може да бъде идеалният инструмент за по-малка организация само с Windows компютри.
3. Отворена система за оценка на уязвимостта (OpenVAS)
Отворената система за оценка на уязвимостта, илиOpenVAS, е рамка от много услуги и инструменти, които се комбинират, за да предложат цялостна и мощна система за сканиране и управление на уязвимостта. Рамката, която стои зад OpenVAS, е част от решението за управление на уязвимостта на Greenbone Networks, от което развитието се допринася за общността от около десет години. Системата е напълно безплатна и по-голямата част от нейния компонент са с отворен код, въпреки че някои са патентовани. Скенерът OpenVAS се предлага с над петдесет хиляди теста за уязвимост на мрежата, които се актуализират редовно.
OpenVAS има два основни компонента - OpenVASскенер, който отговаря за действителното сканиране на целевите компютри и OpenVAS мениджъра, който контролира скенера, консолидира резултатите и ги съхранява в централна SQL база данни, заедно с конфигурацията на системата. Други компоненти включват потребителски интерфейси, базирани на браузъра и командния ред. Допълнителен компонент на системата е базата данни на тестовете за уязвимост на мрежата. Тази база данни се актуализира или от таксата Greenborne Community Feed или от Greenborne Security Feed. Последният е платен абонаментен сървър, докато емисия на общността е безплатна.
4. Общност на мрежата на ретината
Thre Retina Network Community е безплатната версияна скенера за мрежова защита на Retina от AboveTrust, един от най-известните скенери за уязвимост. Това е цялостен скенер за уязвимост с много функции. Инструментът може да извърши безплатна оценка на уязвимостта на липсващи кръпки, уязвимости с нулев ден и конфигурации, които не са защитени. Потребителските профили, приведени в съответствие с функциите на задачите, опростяват работата на системата. Неговият интуитивен потребителски интерфейс, създаден с метро, позволява рационализирана работа на системата.
Мрежата на общността на Retina използва Retinaбаза данни на скенера, обширна база данни с уязвимости в мрежата, проблеми с конфигурацията и липсващи кръпки. Той се актуализира автоматично и обхваща широк спектър от операционни системи, устройства, приложения и виртуална среда. Говорейки за виртуални среди, продуктът напълно поддържа VMware среди и включва онлайн и офлайн сканиране на виртуални изображения, сканиране на виртуални приложения и интеграция с vCenter.
Основното ограничение на мрежата на ретинатаОбщност е, че е ограничена до сканиране на 256 IP адреса. Въпреки че това не е много, ще бъде повече от достатъчно за няколко по-малки организации. Ако средата ви е по-голяма от това, можете да изберете скенера за мрежова сигурност на Retina, предлаган в стандартни и неограничени издания. И двете издания имат разширен набор от функции в сравнение със скенера на мрежата на Retina Network Community.
5. Nexpose Community Edition
Nexpose от Rapid7 е друга добре познатаскенер за уязвимост, въпреки че може би е по-малък от Retina. Nexpose Community Edition е ограничена версия на цялостния скенер за уязвимост на Rapid7. Ограниченията са важни. На първо място можете да използвате продукта само за сканиране на максимум 32 IP адреса. Това го прави добър вариант само за най-малките мрежи. Освен това продуктът може да се използва само за една година. Освен тези ограничения, това е отличен продукт.
Nexpose може да работи на работещи физически машиниили Windows, или Linux. Предлага се и като VM уред. Обширните възможности за сканиране на продукта ще се справят с мрежи, операционни системи, уеб приложения, бази данни и виртуална среда. Nexpose използва това, което нарича Adaptive Security, което може автоматично да открие и оцени нови устройства и нови уязвимости в момента, в който те имат достъп до вашата мрежа. Това се комбинира с динамични връзки към VMware и AWS и интеграция с изследователския проект Sonar за осигуряване на истински мониторинг на живо. Nexpose осигурява интегрирано сканиране на политики, за да подпомогне спазването на популярни стандарти като CIS и NIST. Интуитивните отчети за отстраняване на инструмента дават стъпка по стъпка инструкции за действия по отстраняване, за да подобрят бързо спазването.
6. SecureCheq
Последният ни запис е продукт от Tripwire,друго име на домакинство в ИТ сигурността. Софтуерът му SecureCheq се рекламира като безплатна проверка за конфигурация на Microsoft Windows за настолни компютри и сървъри. Инструментът извършва локални сканирания на компютри с Windows и идентифицира несигурни разширени настройки за Windows, както са дефинирани от CIS, ISO или COBIT стандартите. Той ще търси около две дузини общи грешки в конфигурацията, свързани със сигурността.
Това е прост инструмент, който е лесен за използване. Просто го стартирате на локалната машина и той ще изброява всички проверени настройки със статут на пропуск или грешка. Кликването върху която и да е от изброените настройки разкрива обобщение на уязвимостта с препратки как да я поправите. Отчетът може да бъде отпечатан или запазен като OVAL XML файл.
Въпреки че SecureCheq сканира за някои напредналиконфигурационни настройки, той пропуска много от по-общите уязвимости и заплахи. Най-добрият ви залог е да го използвате в комбинация с по-основен инструмент, като Microsoft Baseline Security Analyzer, разгледан по-горе.
Коментари