あなたのネットワークがデータを盗もうとしたり、組織に損害を与えようとする悪意のあるユーザーのターゲット。しかし、どうすれば彼らが入ることができる限り少ない方法があるのかを確認できますか?ネットワーク上のすべての脆弱性を把握し、対処し、修正するか、それを軽減するための何らかの手段を講じることを確認します。そして、それを達成するための最初のステップは、それらの脆弱性についてネットワークをスキャンすることです。これは特定の種類のソフトウェアツールの仕事であり、今日では、最高の無料ネットワーク脆弱性スキャナーのトップ6をお届けできることを嬉しく思います。
今日の議論は話し合いから始めますネットワークの脆弱性(または脆弱性)について説明します。次に、脆弱性スキャナー全般について説明します。誰がそれらを必要としているのか、そしてその理由がわかります。脆弱性スキャナーは脆弱性管理プロセスの一部としてのみ機能するため、これについては次に説明します。次に、脆弱性スキャナーが通常どのように機能するかを調査します。それらはすべて異なりますが、その核には通常、違いよりも多くの類似点があります。そして、無料の脆弱性スキャナーの最高のものが何であるかを明らかにする前に、それらの中から何を探すべきかを説明します。
脆弱性101
コンピューターシステムとネットワークはより複雑ですこれまで以上に。典型的なサーバーが数百のプロセスを実行していることは珍しくありません。これらのプロセスはそれぞれプログラムであり、その一部は数千行のコードを含む大きなプログラムです。そして、このコード内には、あらゆる種類の予期しないことがあります。プログラマーは、ある時点で、デバッグを容易にするためにバックドア機能を追加した可能性があり、この機能が誤って最終バージョンになった可能性があります。特定の状況下で予期しない、望ましくない結果を引き起こす入力検証のエラーが存在する可能性があります。
これらはそれぞれ穴であり、多数ありますこれらの穴を見つけてそれを使ってシステムを攻撃する以外に何もすることがない人たち。脆弱性は、これらの穴と呼ばれるものです。また、悪意のあるユーザーが無人で放置すると、システムやデータへのアクセス、さらに悪いことにクライアントのデータへのアクセス、またはシステムを使用不能にするなどの損害を引き起こすために悪用される可能性があります。
脆弱性はネットワーク上のどこにでもある可能性があります。 サーバーまたはそのオペレーティングシステムで実行されているソフトウェアでよく見られますが、スイッチ、ルーター、ファイアウォールなどのセキュリティアプライアンスなどのネットワーク機器でも一般的です。
ネットワーク脆弱性スキャナー—その機能と機能
脆弱性スキャナーまたは脆弱性評価ツールと呼ばれることが多いソフトウェアツールは、システム、デバイス、機器、ソフトウェアの脆弱性を特定することを唯一の目的とするソフトウェアツールです。通常スキャナーをスキャンして特定の脆弱性を探すため、スキャナーと呼んでいます。
しかし、どのようにしてこれらの脆弱性を見つけるのでしょうか? 結局のところ、彼らは通常、そこに普通に見えないか、開発者がそれらに対処したでしょう。ほとんどの脆弱性スキャナーは、ウイルス定義データベースを使用してコンピューターウイルスを認識するウイルス保護ソフトウェアに似ており、脆弱性データベースに依存して特定の脆弱性をスキャンします。これらの脆弱性データベースは、ソフトウェアおよびハードウェアの脆弱性を見つけることに専念している有名なセキュリティテストラボから入手するか、独自のデータベースにすることができます。取得する検出レベルは、ツールが使用する脆弱性データベースと同程度です。
ネットワーク脆弱性スキャナー—誰が必要ですか?
この質問に対する迅速かつ簡単な答えは簡単です。 君は 行う!いいえ、誰もがそれらを必要とします。 彼の正しい心の誰もがウイルス保護なしでコンピュータを実行することを考えないように、ネットワーク管理者は少なくともいくつかの脆弱性検出スキームなしではいけません。
もちろん、これはおそらく可能性のあるものです理論的には手動で行われますが、実際には、これは不可能な仕事です。それには膨大な時間と人的資源が必要です。一部の組織は脆弱性の発見に専念しており、数千人ではないにしても数百人を雇用することがよくあります。
事実は、あなたがいくつかのを管理している場合コンピュータシステムまたはデバイスの場合、おそらく脆弱性スキャナーが必要です。 SOXやPCI-DSSなどの規制基準に準拠することは、しばしば義務付けられます。そして、たとえ彼らがそれを要求しなくても、脆弱性のためにネットワークをスキャンしていることを示すことができれば、コンプライアンスは実証しやすくなります。
脆弱性管理について一言
を使用して脆弱性を検出することは一つのことです何らかのソフトウェアツールですが、全体的な脆弱性管理プロセスの一部でない限り、それは一種の役に立たないものです。侵入検知システムが侵入防止システムではないのと同じように、ネットワーク脆弱性スキャナー(または少なくともその大部分)は、脆弱性を検出してユーザーに向けるだけです。
いくつかのプロセスを用意するのはあなた次第ですこれらの検出された脆弱性に対応します。最初に行うべきことは、それらを評価することです。ここでの考え方は、検出された脆弱性が本物であることを確認することです。脆弱性スキャナーのメーカーは、多くの場合、注意を怠り、多くのツールが一定数の誤検知を報告します。
脆弱性管理の次のステッププロセスは、実際の脆弱性にどのように対処し、修正するかを決定することです。組織でほとんど使用していない、またはまったく使用していないソフトウェアでそれらが見つかった場合、最善の措置は、それを削除して、同様の機能を提供する別のソフトウェアに置き換えることです。多くの場合、脆弱性の修正は、ソフトウェア発行者からパッチを適用するか、最新バージョンにアップグレードするのと同じくらい簡単です。場合によっては、いくつかの構成設定を変更して修正することもできます。
ネットワーク脆弱性スキャナーで何を探すべきか
最も重要なものを見てみましょうネットワーク脆弱性スキャナーを評価する際に考慮すべき事項。何よりもまず、ツールがスキャンできるデバイスの範囲です。これは、ご使用の環境にできるだけ厳密に一致する必要があります。たとえば、環境に多数のLinuxサーバーがある場合、これらをスキャンするツールを選択する必要があります。スキャナーは、無駄な通知や誤検知であなたをdrれさせないために、環境内で可能な限り正確であるべきです。
それを考慮する別の重要な要因ツールの脆弱性データベース。定期的に更新されていますか?ローカルまたはクラウドに保存されますか?脆弱性データベースを更新するために追加料金を支払う必要がありますか?これらはすべて、ツールを選択する前に知っておきたいことです。
すべてのスキャナーが同等に作成されるわけではなく、一部のスキャナーは他の方法よりも侵入的なスキャン方法であり、システムのパフォーマンスに影響を及ぼす可能性があります。多くの場合、最も侵入型のスキャナーが最高のスキャナーであるため、これは悪いことではありませんが、システムパフォーマンスに影響する場合は、そのことを知り、それに応じてスキャンをスケジュールする必要があります。スケジューリングについて言えば、これはネットワーク脆弱性スキャナーのもう1つの重要な側面です。検討しているツールには、スケジュールスキャンもありますか?一部のツールは手動で起動する必要があります。
ネットワークの最後の重要な側面脆弱性スキャナーは、アラートとレポートです。脆弱性を検出するとどうなりますか?通知は明確で理解しやすいですか?このツールは、見つかった脆弱性を修正する方法に関する洞察を提供しますか?一部のツールには、一部の脆弱性の自動修復機能さえあります。その他は、パッチ管理ソフトウェアと統合します。レポートに関しては、これは多くの場合個人的な好みの問題ですが、レポートで見つけることが期待される情報が実際にそこにあることを確認する必要があります。一部のツールには事前定義されたレポートのみがあり、一部のツールではレポートを変更したり、一部のツールではゼロから新しいレポートを作成したりできます。
上位6つのベストネットワーク脆弱性スキャナー
何を探すべきかがわかったので脆弱性スキャナーについては、私たちが見つけることができる最良または最も興味深いパッケージのいくつかを見てみましょう。そのうちの1つを除くすべてが無料で、有料のものには無料トライアルがあります。
1. SolarWinds Network Configuration Manager (無料トライアル)
の興味深い作品の最初のエントリSolarWindsのソフトウェアはNetwork Configuration Managerと呼ばれていました。ただし、これは無料のツールでも、ネットワーク脆弱性スキャナーでもありません。したがって、このリストで何をしているのか疑問に思うかもしれません。このツールが含まれる主な理由は1つあります。このツールは、他の多くのツールにはない特定のタイプの脆弱性に対処し、ネットワーク機器の設定ミスに対処します。
無料トライアル: SolarWinds Network Configuration Manager
脆弱性としてのこのツールの主な目的スキャナーは、ネットワーク機器の構成エラーと欠落を検証しています。また、デバイス構成の変更を定期的に確認します。これは、他のシステムへのアクセスを容易にする方法でデバイス構成を変更することにより開始される攻撃があるため、便利です。 Network Configuration Managerは、標準化された構成を展開し、アウトプロセスの変更を検出し、構成を監査し、違反を修正することもできる自動化されたネットワーク構成ツールにより、ネットワークコンプライアンスを支援します。
このソフトウェアは、National脆弱性データベース。最新のCVEにアクセスして、シスコデバイスの脆弱性を特定します。 ASA、IOS、またはNexus OSを実行しているすべてのシスコデバイスで動作します。実際、2つの便利なツール、ASA用のNetwork InsightsとNexus用のNetwork Insightsが製品に直接組み込まれています。
SolarWindsネットワーク構成の価格マネージャーは$ 2 895から始まり、ノードの数によって異なります。このツールを試してみたい場合は、SolarWindsから30日間の無料試用版をダウンロードできます。
2. Microsoft Baseline Security Analyzer(MBSA)
2番目のエントリは、Microsoftの古いツールですBaseline Security Analyser、またはMBSAと呼ばれます。このツールは、大規模な組織には理想的ではありませんが、サーバーの数が少ない小規模企業には適しています。ただし、Microsoftの起源を考えると、このツールがMicrosoft製品以外のものを見るとは思わないでください。ベースのWindowsオペレーティングシステムと、Windowsファイアウォール、SQLサーバー、IIS、Microsoft Officeアプリケーションなどの一部のサービスをスキャンします。
ツールは特定のものをスキャンしません真の脆弱性スキャナーのような脆弱性はありますが、不足しているパッチ、サービスパック、セキュリティ更新を探し、システムの管理上の問題をスキャンします。 MBSAのレポートエンジンを使用すると、欠落している更新プログラムと構成の誤りのリストを取得できます。
MBSAはMicrosoftの古いツールです。 非常に古いため、Windows 10と完全に互換性がありません。バージョン2.3はWindowsの最新バージョンで動作しますが、誤検知をクリーンアップし、完了できないチェックを修正するために微調整が必要になります。たとえば、MBSAは最新のWindowsバージョンでWindows Updateが有効になっていないと誤って報告します。もう1つの欠点は、MBSAがMicrosoft以外の脆弱性または複雑な脆弱性を検出しないことです。それでも、このツールは使いやすく、その仕事を上手くこなし、Windowsコンピューターのみを備えた小規模な組織に最適なツールになる可能性があります。
3.オープン脆弱性評価システム(OpenVAS)
オープンな脆弱性評価システム、またはOpenVASは、包括的かつ強力な脆弱性スキャンおよび管理システムを提供するために結合する多くのサービスおよびツールのフレームワークです。 OpenVASの背後にあるフレームワークは、Greenbone Networksの脆弱性管理ソリューションの一部であり、約10年間にわたって開発がコミュニティに貢献されています。このシステムは完全に無料であり、そのコンポーネントのほとんどはオープンソースですが、一部はプロプライエタリです。 OpenVASスキャナーには、定期的に更新される5万件以上のネットワーク脆弱性テストが付属しています。
OpenVASには、OpenVASという2つの主要コンポーネントがありますターゲットコンピューターの実際のスキャンを担当するスキャナーと、スキャナーを制御し、結果を統合して、システムの構成と共に中央のSQLデータベースに保存するOpenVASマネージャー。他のコンポーネントには、ブラウザベースのコマンドラインユーザーインターフェイスが含まれます。システムの追加コンポーネントは、Network Vulnerability Testsデータベースです。このデータベースは、料金のGreenborne Community FeedまたはGreenborne Security Feedから更新されます。後者は有料のサブスクリプションサーバーであり、コミュニティフィードは無料です。
4. Retinaネットワークコミュニティ
Thre Retina Network Communityは無料版です最も有名な脆弱性スキャナーの1つであるAboveTrustのRetina Network Security Scannerの。多くの機能を備えた包括的な脆弱性スキャナーです。このツールは、不足しているパッチ、ゼロデイ脆弱性、および非セキュア構成の無料の脆弱性評価を実行できます。ジョブ機能に合わせたユーザープロファイルにより、システムの操作が簡素化されます。メトロスタイルの直感的なユーザーインターフェイスにより、システムの合理化された操作が可能になります。
Retina Network CommunityはRetinaを使用していますスキャナーのデータベース、ネットワークの脆弱性、構成の問題、および不足しているパッチの広範なデータベース。自動的に更新され、広範なオペレーティングシステム、デバイス、アプリケーション、および仮想環境に対応します。仮想環境について言えば、この製品はVMware環境を完全にサポートし、オンラインおよびオフラインの仮想イメージスキャン、仮想アプリケーションスキャン、vCenterとの統合を含みます。
Retinaネットワークの主な制限コミュニティでは、スキャンできるのは256個のIPアドレスに限定されています。これはそれほど多くはありませんが、いくつかの小規模な組織にとっては十分です。環境がそれよりも大きい場合は、Retinaネットワークセキュリティスキャナーを選択できます。これは、StandardおよびUnlimitedエディションで利用できます。どちらのエディションにも、Retina Network Communityスキャナーと比較して拡張機能セットがあります。
5. Nexpose Community Edition
Rapid7のNexposeも有名です脆弱性スキャナーは、おそらくRetina未満です。 Nexpose Community Editionは、Rapid7の包括的な脆弱性スキャナーの限定バージョンです。制限は重要です。何よりもまず、この製品を使用して、最大32個のIPアドレスのみをスキャンできます。これは、最小のネットワークにのみ適したオプションになります。さらに、製品は1年間しか使用できません。これらの制限に加えて、これは優れた製品です。
Nexposeは実行中の物理マシンで実行できますWindowsまたはLinuxのいずれか。 VMアプライアンスとしても利用できます。製品の広範なスキャン機能は、ネットワーク、オペレーティングシステム、Webアプリケーション、データベース、および仮想環境を処理します。 Nexposeは、Adaptive Securityと呼ばれるものを使用します。AdaptiveSecurityは、ネットワークにアクセスした瞬間に新しいデバイスと新しい脆弱性を自動的に検出および評価します。これは、VMwareおよびAWSへの動的な接続とSonar研究プロジェクトとの統合を組み合わせて、真のライブモニタリングを提供します。 Nexposeは統合されたポリシースキャンを提供し、CISやNISTなどの一般的な標準への準拠を支援します。ツールの直観的な修復レポートでは、コンプライアンスアクションを迅速に改善するための修復アクションに関する詳細な手順が提供されます。
6. SecureCheq
最後のエントリはTripwireの製品です。ITセキュリティの別の姓。そのSecureCheqソフトウェアは、デスクトップおよびサーバー用の無料のMicrosoft Windows構成セキュリティチェッカーとして宣伝されています。このツールは、Windowsコンピューターでローカルスキャンを実行し、CIS、ISO、またはCOBIT標準で定義されている安全でないWindowsの詳細設定を識別します。セキュリティに関連する約20の一般的な構成エラーを探します。
これは使いやすいシンプルなツールです。 ローカルマシンで実行するだけで、すべてのチェック済み設定が成功または失敗のステータスでリストされます。リストされている設定のいずれかをクリックすると、脆弱性の概要とその修正方法に関するリファレンスが表示されます。レポートは、OVAL XMLファイルとして印刷または保存できます。
SecureCheqはいくつかの高度な構成設定では、より一般的な脆弱性と脅威の多くが見逃されます。最善の策は、上記で検討したMicrosoft Baseline Security Analyzerなどのより基本的なツールと組み合わせて使用することです。
コメント