Vous ne voudriez pas que votre réseau devienne lecible d'utilisateurs malveillants qui tentent de voler vos données ou de causer des dommages à votre organisation. Mais comment pouvez-vous vous assurer qu'il y a aussi peu de moyens que possible d'entrer? En vous assurant que chaque vulnérabilité de votre réseau est connue, traitée et corrigée, ou qu'une mesure est en place pour la réduire. Et la première étape pour y parvenir consiste à analyser votre réseau pour détecter ces vulnérabilités. C’est le travail d’un type spécifique d’outil logiciel et aujourd’hui, nous sommes heureux de vous présenter nos six meilleurs scanners de vulnérabilité réseau gratuits.
Nous allons commencer la discussion d’aujourd’hui en parlantsur la vulnérabilité du réseau - ou peut-être des vulnérabilités - en essayant d’expliquer ce qu’elles sont. Nous aborderons ensuite les scanners de vulnérabilité en général. Nous verrons qui a besoin d’eux et pourquoi. Dans la mesure où un scanner de vulnérabilité ne fonctionne que dans le cadre d’un processus de gestion des vulnérabilités, c’est ce dont nous discuterons ensuite. Ensuite, nous étudierons le fonctionnement typique des scanners de vulnérabilité. Ils sont tous différents mais, à la base, il y a généralement plus de similitudes que de différences. Et avant de révéler quels sont les meilleurs scanners de vulnérabilité gratuits, nous vous dirons quoi y rechercher.
Vulnérabilité 101
Les systèmes informatiques et les réseaux sont plus complexesque jamais. Il n’est pas rare qu’un serveur typique exécute des centaines de processus. Chacun de ces processus est un programme, certains d'entre eux sont de gros programmes contenant des milliers de lignes de code. Et dans ce code, il pourrait y avoir toutes sortes de choses inattendues. Un programmeur peut, à un moment donné, avoir ajouté une fonctionnalité de porte dérobée pour faciliter le débogage et cette fonctionnalité peut être passée par erreur à la version finale. Il se peut que certaines erreurs de validation d’entrée entraînent des résultats inattendus - et indésirables - dans certaines circonstances.
Chacun de ceux-ci est un trou et il y a de nombreuxles gens là-bas qui n'ont rien de mieux à faire que de trouver ces trous et de les utiliser pour attaquer vos systèmes. Les vulnérabilités sont ce que nous appelons ces trous. Et s'ils sont laissés sans surveillance, ils peuvent être utilisés par des utilisateurs malveillants pour accéder à vos systèmes et à vos données, ou pire, aux données de votre client, ou pour causer des dommages tels que le rendre vos systèmes inutilisables.
Les vulnérabilités peuvent être partout sur votre réseau. On les trouve souvent dans les logiciels de vos serveurs ou de leurs systèmes d'exploitation, mais ils sont également courants dans les équipements de réseau tels que les commutateurs, les routeurs et même les dispositifs de sécurité tels que les pare-feu.
Les scanners de vulnérabilité de réseau - Ce qu’ils sont et comment ils fonctionnent
Scanners de vulnérabilité ou vulnérabilitéLes outils d'évaluation, comme on les appelle souvent, sont des outils logiciels dont le seul but est d'identifier les vulnérabilités de vos systèmes, périphériques, équipements et logiciels. Nous les appelons des scanners, car ils analyseront généralement votre équipement pour rechercher des vulnérabilités spécifiques.
Mais comment trouvent-ils ces vulnérabilités? Après tout, ils ne sont généralement pas visibles, sinon le développeur les aurait abordés. Un peu comme les logiciels de protection antivirus qui utilisent des bases de données de définitions de virus pour reconnaître les virus informatiques, la plupart des analyseurs de vulnérabilités se basent sur des bases de données de vulnérabilités et analysent les vulnérabilités spécifiques des systèmes. Ces bases de données de vulnérabilités peuvent être issues de laboratoires de tests de sécurité réputés, dédiés à la recherche de vulnérabilités logicielles et matérielles, ou de bases de données propriétaires. Le niveau de détection obtenu est aussi bon que la base de données de vulnérabilités utilisée par votre outil.
Scanners de vulnérabilité de réseau - Qui en a besoin?
La réponse rapide et facile à cette question est simple: Toi faire! Non vraiment, tout le monde a besoin d'eux. Tout comme personne sensé ne penserait à faire fonctionner un ordinateur sans protection antivirus, aucun administrateur réseau ne devrait être sans au moins un schéma de détection de vulnérabilité.
Bien sûr, c'est peut-être quelque chose qui pourraitêtre théoriquement fait manuellement mais pratiquement, c’est un travail impossible. Cela demanderait énormément de temps et de ressources humaines. Certaines organisations se consacrent à la recherche de vulnérabilités et emploient souvent des centaines de personnes, voire des milliers de personnes.
Le fait est que si vous gérez un certain nombre desystèmes ou dispositifs informatiques, vous avez probablement besoin d’un scanner de vulnérabilité. Le respect de normes réglementaires telles que SOX ou PCI-DSS vous obligera souvent à le faire. Et même s'ils n'en ont pas besoin, la conformité sera plus facile à démontrer si vous pouvez montrer que vous analysez votre réseau pour détecter les vulnérabilités.
Un mot sur la gestion de la vulnérabilité
C’est une chose de détecter les vulnérabilités en utilisantune sorte d’outil logiciel mais il est en quelque sorte inutile si cela ne fait pas partie d’un processus de gestion de vulnérabilité globale. Tout comme les systèmes de détection d'intrusion ne sont pas des analyseurs de vulnérabilité de réseau - ou du moins la grande majorité d'entre eux - les systèmes de prévention d'intrusion ne détecteront que les vulnérabilités et vous les dirigeront vers vous.
C’est à vous d’avoir un processus en place pourréagir à ces vulnérabilités détectées. La première chose à faire est de les évaluer. L'idée ici est de s'assurer que les vulnérabilités détectées sont réelles. Les fabricants de scanners de vulnérabilité préfèrent souvent faire preuve de prudence et nombre de leurs outils signalent un certain nombre de faux positifs.
La prochaine étape de la gestion des vulnérabilitésLe processus consiste à décider de la manière dont vous souhaitez traiter et corriger les vulnérabilités réelles. S'ils ont été trouvés dans un logiciel que votre organisation utilise à peine, ou ne l'utilise pas du tout, votre meilleure solution consiste peut-être à le supprimer et à le remplacer par un autre logiciel offrant des fonctionnalités similaires. Dans de nombreux cas, la résolution des vulnérabilités est aussi simple que l’application d’un correctif de l'éditeur de logiciel ou la mise à niveau vers la version la plus récente. Parfois, ils peuvent également être corrigés en modifiant certains paramètres de configuration.
Que rechercher dans les scanners de vulnérabilité de réseau
Voyons quelques-uns des plus importantséléments à prendre en compte lors de l’évaluation des scanners de vulnérabilité réseau. Tout d’abord, c’est la gamme de périphériques que l’outil peut analyser. Cela doit correspondre à votre environnement aussi étroitement que possible. Si, par exemple, votre environnement compte de nombreux serveurs Linux, vous devez choisir un outil qui les analysera. Votre scanner doit également être aussi précis que possible dans votre environnement afin de ne pas vous noyer dans des notifications inutiles et des faux positifs.
Un autre facteur important à considérer est lebase de données de vulnérabilité de l'outil. Est-il mis à jour régulièrement? Est-il stocké localement ou dans le cloud? Devez-vous payer des frais supplémentaires pour mettre à jour la base de données de vulnérabilités? Ce sont toutes des choses que vous voudrez connaître avant de choisir votre outil.
Tous les scanners ne sont pas créés égaux, certains utiliserontune méthode d’analyse plus intrusive que d’autres et pourrait potentiellement affecter les performances du système. Ce n’est pas une mauvaise chose, car les plus intrusifs sont souvent les meilleurs scanners, mais s’ils affectent les performances du système, vous voudrez savoir ce qu’il en est et planifier les analyses en conséquence. Et en parlant de planification, ceci est un autre aspect important des scanners de vulnérabilité de réseau. L'outil que vous envisagez a-t-il même des analyses planifiées? Certains outils doivent être lancés manuellement.
Le dernier aspect important du réseauscanners de vulnérabilité est leur alerte et de rapports. Que se passe-t-il quand ils détectent une vulnérabilité? La notification est-elle claire et facile à comprendre? L'outil fournit-il des informations sur la manière de corriger les vulnérabilités trouvées? Certains outils ont même une correction automatisée de certaines vulnérabilités. D'autres s'intègrent au logiciel de gestion des correctifs. En ce qui concerne les rapports, il s'agit souvent d'une question de préférence personnelle, mais vous devez vous assurer que les informations que vous vous attendez à trouver dans les rapports sont bien présentes. Certains outils n’ont que des rapports prédéfinis, d’autres vous permettront de les modifier et d’autres de vous en créer de nouveaux.
Notre top 6 des meilleurs scanners de vulnérabilité de réseau
Maintenant que nous savons quoi chercher dansAnalyseurs de vulnérabilités, examinons certains des meilleurs ou des plus intéressants packages que nous avons pu trouver. Tous sauf un sont gratuits et le payant a un essai gratuit disponible.
1. Gestionnaire de configuration réseau SolarWinds (ESSAI GRATUIT)
Notre première entrée dans un morceau intéressant delogiciel de SolarWinds appelé Network Configuration Manager. Cependant, ce n'est ni un outil gratuit ni un scanner de vulnérabilité réseau. Donc, vous vous demandez peut-être ce qu’il fait dans cette liste. Son inclusion a une raison principale: il s’agit d’un type de vulnérabilité particulier à la plupart des outils et d’une mauvaise configuration de l’équipement réseau.
ESSAI GRATUIT: Gestionnaire de configuration réseau SolarWinds
Le principal objectif de cet outil en tant que vulnérabilitéLe scanner est en train de valider le matériel réseau pour les erreurs de configuration et les omissions. Il vérifiera également périodiquement les modifications apportées à la configuration des périphériques. Cela peut être utile car certaines attaques sont lancées en modifiant la configuration de certains périphériques de manière à faciliter l'accès à d'autres systèmes. Network Configuration Manager peut également vous aider à assurer la conformité de votre réseau grâce à ses outils de configuration réseau automatisés, capables de déployer des configurations standardisées, de détecter les modifications apportées en dehors du processus, de configurer les configurations d'audit et même de corriger les violations.
Le logiciel s’intègre au système nationalBase de données sur les vulnérabilités et a accès aux CVE les plus récents pour identifier les vulnérabilités de vos périphériques Cisco. Il fonctionnera avec tout périphérique Cisco exécutant ASA, IOS ou Nexus. En fait, deux outils utiles, Network Insights pour ASA et Network Insights pour Nexus, sont intégrés au produit.
Tarification pour la configuration réseau SolarWindsManager commence à 2 895 $ et varie en fonction du nombre de nœuds. Si vous souhaitez essayer cet outil, vous pouvez télécharger une version d’essai gratuite de 30 jours à partir de SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Notre deuxième entrée est un ancien outil de Microsoftappelé l'analyseur de sécurité de base, ou MBSA. Cet outil est une option moins qu'idéale pour les grandes entreprises, mais il pourrait convenir aux petites entreprises ne disposant que de quelques serveurs. Étant donné son origine Microsoft, ne vous attendez pas à ce que cet outil s’intéresse aux produits Microsoft. Il analysera le système d'exploitation Windows de base ainsi que certains services tels que le pare-feu Windows, le serveur SQL, les applications IIS et Microsoft Office.
L’outil ne recherche pas de données spécifiques.Les vulnérabilités, comme les véritables scanners de vulnérabilités, recherchent des correctifs, des Service Packs et des mises à jour de sécurité manquants, ainsi que des systèmes d'analyse des problèmes administratifs. Le moteur de génération de rapports de MBSA vous permettra d’obtenir une liste des mises à jour manquantes et des erreurs de configuration.
MBSA est un ancien outil de Microsoft. Si ancienne qu’elle n’est pas totalement compatible avec Windows 10. La version 2.3 fonctionnera avec la dernière version de Windows mais nécessitera quelques ajustements pour éliminer les faux positifs et corriger les vérifications qui ne peuvent pas être effectuées. Par exemple, MBSA signalera faussement que Windows Update n'est pas activé sur la dernière version de Windows. Un autre inconvénient est que MBSA ne détecte pas les vulnérabilités non-Microsoft ni les vulnérabilités complexes. Néanmoins, cet outil est simple à utiliser et fait bien son travail. Il pourrait être l'outil idéal pour une petite entreprise ne disposant que d'ordinateurs Windows.
3. Système d'évaluation des vulnérabilités ouvertes (OpenVAS)
Le système ouvert d'évaluation de la vulnérabilité, ouOpenVAS est un cadre de nombreux services et outils qui, combinés, offrent un système complet et puissant d’analyse et de gestion des vulnérabilités. Le cadre qui sous-tend OpenVAS fait partie de la solution de gestion des vulnérabilités de Greenbone Networks à partir de laquelle des développements ont été fournis à la communauté depuis environ dix ans. Le système est entièrement gratuit et la plupart de ses composants sont à code source ouvert, bien que certains soient propriétaires. Le scanner OpenVAS est livré avec plus de cinquante mille tests de vulnérabilité du réseau qui sont mis à jour régulièrement.
OpenVAS a deux composants principaux, le OpenVASLe scanner, responsable de l’analyse réelle des ordinateurs cibles, et le gestionnaire OpenVAS, qui contrôle le scanner, consolide les résultats et les stocke dans une base de données SQL centrale avec la configuration du système. Les autres composants comprennent des interfaces utilisateur basées sur un navigateur et des lignes de commande. Un composant supplémentaire du système est la base de données de tests de vulnérabilité du réseau. Cette base de données est mise à jour à partir des frais Greenborne Community Feed ou Greenborne Security Feed. Ce dernier est un serveur d'abonnement payant alors que le flux de la communauté est gratuit.
4. Communauté du réseau Retina
Thre Retina Network Community est la version gratuitedu scanner de sécurité réseau Retina d’AboveTrust, l’un des scanners de vulnérabilité les plus connus. C'est un scanner de vulnérabilité complet avec de nombreuses fonctionnalités. L'outil peut effectuer une évaluation gratuite de la vulnérabilité des correctifs manquants, des vulnérabilités «zéro jour» et des configurations non sécurisées. Les profils utilisateur alignés sur les fonctions simplifient le fonctionnement du système. Son interface utilisateur intuitive de style métro permet une utilisation simplifiée du système.
Réseau de la rétine utilise la rétinebase de données du scanner, une base de données complète sur les vulnérabilités du réseau, les problèmes de configuration et les correctifs manquants. Il est automatiquement mis à jour et couvre un large éventail de systèmes d'exploitation, de périphériques, d'applications et d'environnements virtuels. S'agissant des environnements virtuels, le produit prend entièrement en charge les environnements VMware et inclut la numérisation d'images virtuelles en ligne et hors connexion, la numérisation d'applications virtuelles et l'intégration à vCenter.
La principale limitation du réseau RetinaLa communauté est limitée au balayage de 256 adresses IP. Bien que ce ne soit pas beaucoup, ce sera plus que suffisant pour plusieurs petites organisations. Si votre environnement est plus grand que cela, vous pouvez opter pour le scanner de sécurité Retina Network Security, disponible dans les éditions Standard et Unlimited. Les deux éditions ont un ensemble de fonctionnalités étendues par rapport au scanner Retina Network Community.
5. Nexpose Community Edition
Nexpose de Rapid7 est un autre bien connuscanner de vulnérabilité bien que peut-être moins que Retina. Nexpose Community Edition est une version limitée du scanner de vulnérabilités complet de Rapid7. Les limitations sont importantes. Tout d’abord, vous ne pouvez utiliser le produit que pour numériser un maximum de 32 adresses IP. Cela en fait une bonne option uniquement pour le plus petit des réseaux. De plus, le produit ne peut être utilisé que pendant un an. Outre ces limitations, c'est un excellent produit.
Nexpose peut fonctionner sur des machines physiques en cours d'exécutionsoit Windows ou Linux. Il est également disponible en tant qu'appliance VM. Les capacités de numérisation étendues du produit seront compatibles avec les réseaux, les systèmes d’exploitation, les applications Web, les bases de données et les environnements virtuels. Nexpose utilise ce qu'il appelle la sécurité adaptative, qui peut détecter et évaluer automatiquement les nouveaux périphériques et les nouvelles vulnérabilités dès qu'ils accèdent à votre réseau. Cela se combine avec des connexions dynamiques à VMware et AWS et une intégration avec le projet de recherche Sonar pour fournir une véritable surveillance en direct. Nexpose fournit une analyse de stratégie intégrée pour aider à se conformer aux normes courantes telles que CIS et NIST. Les rapports de correction intuitifs de l’outil fournissent des instructions pas à pas sur les mesures de correction à prendre pour améliorer rapidement la conformité.
6. SecureCheq
Notre dernière entrée est un produit de Tripwire,un autre nom de ménage dans la sécurité informatique. Son logiciel SecureCheq est présenté comme un vérificateur de sécurité de la configuration de Microsoft Windows gratuit pour les ordinateurs de bureau et les serveurs. L'outil effectue des analyses locales sur les ordinateurs Windows et identifie les paramètres avancés Windows non sécurisés tels que définis par les normes CIS, ISO ou COBIT. Il cherchera environ deux douzaines d'erreurs de configuration communes liées à la sécurité.
C'est un outil simple et facile à utiliser. Vous l'exécutez simplement sur la machine locale et il listera tous les paramètres cochés avec un statut de réussite ou d'échec. En cliquant sur l'un des paramètres répertoriés, vous obtenez un résumé de la vulnérabilité avec des références sur la façon de la réparer. Le rapport peut être imprimé ou enregistré sous forme de fichier XML OVAL.
Bien que SecureCheq recherche certaines technologies avancéesparamètres de configuration, il omet nombre des vulnérabilités et des menaces les plus générales. Votre meilleur choix est de l'utiliser en combinaison avec un outil plus simple, tel que Microsoft Baseline Security Analyzer décrit ci-dessus.
commentaires