Je zou niet willen dat je netwerk het wordtdoelwit van kwaadwillende gebruikers die uw gegevens proberen te stelen of schade aan uw organisatie kunnen veroorzaken. Maar hoe kun je vaststellen dat er zo min mogelijk manieren zijn om binnen te komen? Door ervoor te zorgen dat elke kwetsbaarheid in uw netwerk bekend, verholpen en opgelost is of dat er een maatregel is om dit te verminderen. En de eerste stap om dat te bereiken, is uw netwerk scannen op die kwetsbaarheden. Dit is de taak van een specifiek type softwaretool en vandaag zijn we blij u onze beste 6 beste gratis netwerkkwetsbaarheidsscanners te kunnen aanbieden.
We beginnen de discussie van vandaag door te pratenover netwerkkwetsbaarheid - of misschien kwetsbaarheden - die proberen uit te leggen wat ze zijn. We zullen het vervolgens hebben over kwetsbaarheidsscanners in het algemeen. We zullen zien wie ze nodig heeft en waarom. Aangezien een kwetsbaarheidsscanner alleen werkt als onderdeel van een kwetsbaarheidsbeheerproces, zullen we dit hierna bespreken. Vervolgens zullen we bestuderen hoe kwetsbaarheidsscanners meestal werken. Ze zijn allemaal verschillend, maar in de kern zijn er meestal meer overeenkomsten dan verschillen. En voordat we onthullen wat de beste gratis kwetsbaarheidsscanners zijn, zullen we u vertellen waar u op moet letten.
Kwetsbaarheid 101
Computersystemen en netwerken zijn complexerdan ooit. Het is niet ongewoon dat een typische server honderden processen uitvoert. Elk van deze processen is een programma, sommige zijn grote programma's met duizenden regels code. En binnen deze code kunnen er allerlei onverwachte dingen zijn. Een programmeur kan op een gegeven moment een backdoor-functie hebben toegevoegd om debuggen te vergemakkelijken en deze functie heeft misschien per ongeluk de definitieve versie gehaald. Er kunnen enkele fouten in de invoervalidatie zijn die onder een bepaalde omstandigheid onverwachte - en ongewenste - resultaten kunnen veroorzaken.
Elk van deze is een gat en er zijn er veelmensen die niets beters te doen hebben dan deze gaten te vinden en ze te gebruiken om je systemen aan te vallen. Kwetsbaarheden noemen we deze gaten. En als ze onbeheerd worden achtergelaten, kunnen ze door kwaadwillende gebruikers worden gebruikt om toegang te krijgen tot uw systemen en gegevens - of erger nog, de gegevens van uw klant - of om op andere wijze schade aan te richten, zoals het onbruikbaar maken van uw systemen.
Kwetsbaarheden kunnen overal in uw netwerk voorkomen. Ze worden vaak gevonden in software die op uw servers of hun besturingssystemen draait, maar ze komen ook veel voor in netwerkapparatuur zoals switches, routers en zelfs beveiligingsapparatuur zoals firewalls.
Netwerkkwetsbaarheidsscanners - wat ze zijn en hoe ze werken
Kwetsbaarheidsscanners of kwetsbaarheidbeoordelingshulpmiddelen zoals ze vaak worden genoemd, zijn softwaretools die uitsluitend ten doel hebben kwetsbaarheden in uw systemen, apparaten, apparatuur en software te identificeren. We noemen ze scanners omdat ze meestal uw apparatuur scannen om te zoeken naar specifieke kwetsbaarheden.
Maar hoe vinden ze deze kwetsbaarheden? Ze zijn er tenslotte meestal niet in het volle zicht, anders zou de ontwikkelaar hen hebben aangesproken. Een beetje zoals antivirussoftware die virusdefinitiedatabases gebruikt om computervirussen te herkennen, de meeste kwetsbaarheidsscanners vertrouwen op kwetsbaarheidsdatabases en scansystemen voor specifieke kwetsbaarheden. Deze kwetsbaarheidsdatabases kunnen afkomstig zijn van bekende beveiligingstestlaboratoria die zich toeleggen op het vinden van kwetsbaarheden in software en hardware of het kunnen eigen databases zijn. Het detectieniveau dat u krijgt, is net zo goed als de database met kwetsbaarheden die uw tool gebruikt.
Netwerkkwetsbaarheidsscanners - wie heeft ze nodig?
Het snelle en gemakkelijke antwoord op deze vraag is eenvoudig: U Doen! Nee echt, iedereen heeft ze nodig. Net zoals niemand bij zijn goede verstand zou denken aan het runnen van een computer zonder enige virusbescherming, zou geen netwerkbeheerder moeten zijn zonder tenminste een schema voor detectie van kwetsbaarheden.
Natuurlijk is dit mogelijk iets dat zou kunnentheoretisch handmatig worden uitgevoerd, maar praktisch is dit een onmogelijke taak. Het zou een enorme hoeveelheid tijd en menselijke hulpbronnen vergen. Sommige organisaties zijn toegewijd aan het vinden van kwetsbaarheden en hebben vaak honderden, zo niet duizenden mensen in dienst.
Het feit is dat als u een aantal beheertcomputersystemen of apparaten, u hebt waarschijnlijk een kwetsbaarheidsscanner nodig. Voldoen aan wettelijke normen zoals SOX of PCI-DSS zal vaak een mandaat voor u zijn. En zelfs als ze dit niet nodig hebben, is compliance gemakkelijker aan te tonen als u kunt aantonen dat u uw netwerk scant op kwetsbaarheden.
Een woord over kwetsbaarheidsbeheer
Het is één ding om kwetsbaarheden te detecteren meteen soort softwaretool, maar het is nutteloos tenzij het deel uitmaakt van een holistisch proces voor het beheer van kwetsbaarheden. Net zoals inbraakdetectiesystemen geen inbraakpreventiesystemen zijn Scanners voor netwerkkwetsbaarheid - of in ieder geval de overgrote meerderheid - detecteren alleen kwetsbaarheden en wijzen deze naar u.
Het is aan jou om een proces te hebbenreageren op deze gedetecteerde kwetsbaarheden. Het eerste dat moet worden gedaan, is ze te beoordelen. Het idee hier is om ervoor te zorgen dat gedetecteerde kwetsbaarheden echt zijn. Makers van kwetsbaarheidsscanners geven er vaak de voorkeur aan om voorzichtig te zijn en veel van hun tools zullen een bepaald aantal valse positieven melden.
De volgende stap in het kwetsbaarheidsbeheerproces is om te beslissen hoe u echte kwetsbaarheden wilt aanpakken en oplossen. Als ze in een stuk software worden aangetroffen dat uw organisatie nauwelijks of helemaal niet gebruikt, kunt u het beste verwijderen en vervangen door andere software met vergelijkbare functionaliteit. In veel gevallen is het oplossen van kwetsbaarheden net zo eenvoudig als het toepassen van een patch van de software-uitgever of het upgraden naar de nieuwste versie. Soms kunnen ze ook worden opgelost door enkele configuratie-instellingen te wijzigen.
Waarop moet worden gelet bij netwerkkwetsbaarheidsscanners
Laten we een paar van de belangrijkste bekijkendingen om te overwegen bij het evalueren van netwerk kwetsbaarheid scanners. Eerst en vooral is het bereik van apparaten die de tool kan scannen. Dit moet zo goed mogelijk aansluiten bij uw omgeving. Als uw omgeving bijvoorbeeld veel Linux-servers heeft, moet u een tool kiezen die deze scant. Uw scanner moet ook zo nauwkeurig mogelijk zijn in uw omgeving om u niet te verdrinken in nutteloze meldingen en valse positieven.
Een andere belangrijke factor om het te overwegenkwetsbaarheidsdatabase van de tool. Wordt het regelmatig bijgewerkt? Wordt het lokaal of in de cloud opgeslagen? Moet u extra kosten betalen om de kwetsbaarheidsdatabase te updaten? Dit zijn allemaal dingen die u wilt weten voordat u uw tool kiest.
Niet alle scanners zijn gelijk gemaakt, sommige zullen gebruikeneen meer ingrijpende scanmethode dan andere en kan mogelijk van invloed zijn op de systeemprestaties. Dit is geen slechte zaak, omdat de meest indringende vaak de beste scanners zijn, maar als ze van invloed zijn op de systeemprestaties, wilt u dat weten en de scans dienovereenkomstig plannen. En over planning gesproken, dit is een ander belangrijk aspect van scanners voor netwerkkwetsbaarheid. Heeft de tool die u overweegt zelfs scans gepland? Sommige tools moeten handmatig worden gestart.
Het laatste belangrijke aspect van het netwerkkwetsbaarheidsscanners zijn hun alarmering en rapportage. Wat gebeurt er als ze een kwetsbaarheid detecteren? Is de melding duidelijk en gemakkelijk te begrijpen? Biedt de tool enig inzicht in het oplossen van gevonden kwetsbaarheden? Sommige tools hebben zelfs geautomatiseerde herstel van sommige kwetsbaarheden. Andere integreren met patchbeheersoftware. Wat de rapportage betreft, is dit vaak een kwestie van persoonlijke voorkeur, maar u moet ervoor zorgen dat de informatie die u in de rapporten verwacht te vinden er daadwerkelijk is. Sommige tools hebben alleen vooraf gedefinieerde rapporten, met sommige kunt u ze wijzigen, en met sommige kunt u nieuwe rapporten maken.
Onze top 6 van de beste netwerkkwetsbaarheidsscanners
Nu we weten waar we op moeten lettenkwetsbaarheidsscanners, laten we eens kijken naar enkele van de beste of meest interessante pakketten die we konden vinden. Op één na zijn ze allemaal gratis en voor de betaalde versie is een gratis proefversie beschikbaar.
1. SolarWinds Network Configuration Manager (GRATIS PROEF)
Onze eerste inzending in een interessant stuksoftware van SolarWinds de Network Configuration Manager genoemd. Dit is echter geen gratis tool, noch een scanner voor netwerkkwetsbaarheid. Dus je vraagt je misschien af wat het in deze lijst doet. Er is een primaire reden voor de opname ervan: de tool lost een specifiek type kwetsbaarheid op dat niet veel andere tools doen en dat het de verkeerde configuratie van netwerkapparatuur is.
GRATIS PROEF: SolarWinds Network Configuration Manager
Het primaire doel van deze tool als kwetsbaarheidscanner valideert netwerkapparatuur voor configuratiefouten en omissies. Het zal ook regelmatig apparaatconfiguraties controleren op wijzigingen. Dit kan handig zijn omdat sommige aanvallen worden gestart door een bepaalde apparaatconfiguratie zodanig te wijzigen dat de toegang tot andere systemen wordt vergemakkelijkt. De Network Configuration Manager kan u ook helpen bij de netwerkconformiteit met zijn geautomatiseerde netwerkconfiguratietools die gestandaardiseerde configs kunnen implementeren, wijzigingen die buiten het proces zijn, auditconfiguraties detecteren en zelfs overtredingen corrigeren.
De software integreert met de NationalKwetsbaarheidsdatabase en heeft toegang tot de meest recente CVE's om kwetsbaarheden in uw Cisco-apparaten te identificeren. Het werkt met elk Cisco-apparaat met ASA, IOS of Nexus OS. Twee handige tools, Network Insights voor ASA en Network Insights voor Nexus, zijn zelfs in het product ingebouwd.
Prijzen voor de SolarWinds-netwerkconfiguratieManager begint bij $ 2 895 en varieert afhankelijk van het aantal knooppunten. Als u deze tool wilt proberen, kunt u een gratis proefversie van 30 dagen downloaden van SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Ons tweede item is een oudere tool van Microsoftde Baseline Security Analyzer of MBSA genoemd. Deze tool is een minder dan ideale optie voor grotere organisaties, maar het kan OK zijn voor kleine bedrijven met slechts een paar servers. Gezien de Microsoft-oorsprong, verwacht je echter niet dat deze tool alles behalve Microsoft-producten zal bekijken. Het scant het basis-Windows-besturingssysteem en enkele services zoals de Windows Firewall, SQL Server, IIS en Microsoft Office-applicaties.
De tool scant niet op specifiekkwetsbaarheden zoals echte kwetsbaarheidsscanners doen, maar het zal zoeken naar ontbrekende patches, servicepacks en beveiligingsupdates evenals scansystemen voor administratieve problemen. Met de rapportage-engine van de MBSA krijgt u een lijst met ontbrekende updates en verkeerde configuraties
MBSA is een oude tool van Microsoft. Zo oud dat het niet volledig compatibel is met Windows 10. Versie 2.3 werkt met de nieuwste versie van Windows, maar moet worden aangepast om vals positieven op te ruimen en controles op te lossen die niet kunnen worden voltooid. MBSA zal bijvoorbeeld ten onrechte melden dat Windows Update niet is ingeschakeld op de nieuwste Windows-versie. Een ander nadeel is dat MBSA geen niet-Microsoft-kwetsbaarheden of complexe kwetsbaarheden zal detecteren. Toch is deze tool eenvoudig te gebruiken en doet zijn werk goed en het zou de perfecte tool kunnen zijn voor een kleinere organisatie met alleen Windows-computers.
3. Open kwetsbaarheidsbeoordelingssysteem (OpenVAS)
Het open kwetsbaarheidsbeoordelingssysteem, ofOpenVAS, is een raamwerk van vele services en tools die samen een uitgebreid en krachtig scan- en beheersysteem voor kwetsbaarheden bieden. Het raamwerk achter OpenVAS maakt deel uit van de kwetsbaarheidsbeheeroplossing van Greenbone Networks, waarvan de ontwikkelingen al ongeveer tien jaar bijdragen aan de gemeenschap. Het systeem is volledig gratis en de meeste componenten zijn open-source, hoewel sommige eigen zijn. De OpenVAS-scanner wordt geleverd met meer dan vijftigduizend netwerkkwetsbaarheidstests die regelmatig worden bijgewerkt.
OpenVAS heeft twee hoofdcomponenten, de OpenVASscanner, die verantwoordelijk is voor het daadwerkelijke scannen van doelcomputers en de OpenVAS-manager, die de scanner bestuurt, resultaten consolideert en deze samen met de systeemconfiguratie in een centrale SQL-database opslaat. Andere componenten zijn browsergebaseerde gebruikersinterface en opdrachtregelinterface. Een aanvullend onderdeel van het systeem is de database Network Vulnerability Tests. Deze database wordt bijgewerkt vanuit de vergoeding Greenborne Community Feed of de Greenborne Security Feed. De laatste is een betaalde abonnementsserver terwijl de communityfeed gratis is.
4. Retina-netwerkgemeenschap
Thre Retina Network Community is de gratis versievan de Retina Network Security Scanner van AboveTrust, een van de bekendste kwetsbaarheidsscanners. Het is een uitgebreide kwetsbaarheidsscanner met veel functies. De tool kan een gratis kwetsbaarheidsbeoordeling uitvoeren van ontbrekende patches, zero-day kwetsbaarheden en niet-beveiligde configuraties. Gebruikersprofielen afgestemd op taakfuncties vereenvoudigen de werking van het systeem. De intuïtieve gebruikersinterface in de metro-stijl zorgt voor een gestroomlijnde werking van het systeem.
Retina Network Community gebruikt het Retinascannerdatabase, een uitgebreide database met netwerkkwetsbaarheden, configuratieproblemen en ontbrekende patches. Het wordt automatisch bijgewerkt en bestrijkt een breed scala aan besturingssystemen, apparaten, applicaties en virtuele omgevingen. Over virtuele omgevingen gesproken, het product biedt volledige ondersteuning voor VMware-omgevingen en omvat online en offline virtuele beeldscanning, scannen van virtuele toepassingen en integratie met vCenter.
De belangrijkste beperking van het Retina-netwerkCommunity is dat het beperkt is tot het scannen van 256 IP-adressen. Hoewel dit niet veel is, is het meer dan genoeg voor verschillende kleinere organisaties. Als uw omgeving groter is, kunt u kiezen voor de Retina Network Security Scanner, beschikbaar in standaard- en onbeperkte edities. Beide edities hebben een uitgebreide functieset in vergelijking met de Retina Network Community-scanner.
5. Nexpose Community-editie
Nexpose van Rapid7 is een andere bekendekwetsbaarheidsscanner, hoewel misschien minder dan Retina. De Nexpose Community-editie is een beperkte versie van Rapid7's uitgebreide kwetsbaarheidsscanner. De beperkingen zijn belangrijk. Eerst en vooral kunt u het product alleen gebruiken om maximaal 32 IP-adressen te scannen. Dit maakt het een goede optie alleen voor de kleinste netwerken. Bovendien kan het product slechts één jaar worden gebruikt. Naast deze beperkingen is dit een uitstekend product.
Nexpose kan worden uitgevoerd op fysieke machines die worden uitgevoerdWindows of Linux. Het is ook beschikbaar als VM-apparaat. De uitgebreide scanmogelijkheden van het product zijn geschikt voor netwerken, besturingssystemen, webapplicaties, databases en virtuele omgevingen. Nexpose gebruikt wat het Adaptive Security noemt, dat automatisch nieuwe apparaten en nieuwe kwetsbaarheden kan detecteren en beoordelen zodra ze toegang krijgen tot uw netwerk. Dit wordt gecombineerd met dynamische verbindingen met VMware en AWS en integratie met het Sonar-onderzoeksproject om echte live monitoring te bieden. Nexpose biedt geïntegreerde beleidsscan om te helpen bij het voldoen aan populaire normen zoals CIS en NIST. De intuïtieve herstelrapporten van de tool geven stapsgewijze instructies over herstelacties om de naleving snel te verbeteren.
6. SecureCheq
Onze laatste inzending is een product van Tripwire,een andere begrip in IT-beveiliging. De SecureCheq-software wordt geadverteerd als een gratis Microsoft Windows-configuratiebeveiligingscontrole voor desktops en servers. De tool voert lokale scans uit op Windows-computers en identificeert onveilige geavanceerde Windows-instellingen zoals gedefinieerd door CIS, ISO of COBIT-normen. Er worden ongeveer twee dozijn veelvoorkomende configuratiefouten met betrekking tot beveiliging gezocht.
Dit is een eenvoudig hulpmiddel dat gemakkelijk te gebruiken is. U voert het eenvoudig uit op de lokale machine en het zal alle aangevinkte instellingen weergeven met een pass- of fail-status. Als u op een van de vermelde instellingen klikt, wordt een samenvatting van het beveiligingslek weergegeven met verwijzingen naar hoe u dit kunt verhelpen. Het rapport kan worden afgedrukt of opgeslagen als een OVAL XML-bestand.
Hoewel SecureCheq op zoek is naar wat geavanceerdconfiguratie-instellingen, mist het veel van de meer algemene kwetsbaarheden en bedreigingen. Uw beste keuze is om het te gebruiken in combinatie met een meer basistool zoals de hierboven besproken Microsoft Baseline Security Analyzer.
Comments