Ingen vil ha nettverket de klarer å blimålet for ondsinnede brukere som prøver å stjele bedriftsdata eller forårsake skade på organisasjonen. For å forhindre det, må du finne måter å sikre at det er så få måter som mulig å komme inn på dem. Og dette oppnås delvis ved å sikre at hvert eneste sårbarhet i nettverket ditt er kjent, adressert og løst. Og for de sårbarhetene som ikke kan løses, er at noe er på plass for å dempe dem. Det første trinnet er åpenbart; det er å skanne nettverket ditt etter disse sikkerhetsproblemene. Dette er jobben til en bestemt type programvare som kalles sårbarhetsskanningsverktøy. I dag vurderer vi de 6 beste skanningsverktøyene og programvaren for sårbarhet.
La oss begynne med å snakke om nettverksårbarhet - eller skal vi si sårbarheter - og prøve å forklare hva de er. Vi vil deretter diskutere skanneverktøy for sårbarhet. Vi beskriver hvem som trenger dem og hvorfor. Og siden en sårbarhetsskanner bare er en komponent i en sårbarhetsadministrasjonsprosess - om enn en viktig - er det dette vi skal snakke om videre. Deretter ser vi hvordan sårbarhetsskannere vanligvis fungerer. Alle er noe forskjellige, men i kjernen er det ofte flere likheter enn forskjeller. Og før vi går gjennom de beste skanneverktøyene og programvaren for sårbarhet, diskuterer vi hovedfunksjonene deres.
En introduksjon til sårbarhet
Datasystemer og nettverk har nådd enhøyere kompleksitet enn noen gang. Dagens gjennomsnittlige server kan typisk kjøre hundrevis av prosesser. Hver av disse prosessene er et dataprogram, noen av dem er store programmer som er laget av tusenvis av linjer med kildekode. Og innenfor denne koden kan det være - det er sannsynligvis - alle slags uventede ting. En utvikler kan på et tidspunkt ha lagt til noen funksjon i bakdøren for å gjøre feilsøking enklere. Og senere kan det hende at denne funksjonen feilaktig har kommet seg til den endelige utgivelsen. Det kan også være noen feil i inndatavalidering som vil føre til uventede - og uønskede - resultater under noen spesielle omstendigheter.
Noen av disse kan brukes til å prøve å få tilgang tilsystemer og data. Det er et stort fellesskap av mennesker der ute som ikke har noe bedre å gjøre enn å finne disse hullene og utnytte dem til å angripe systemene dine. Sårbarheter er det vi kaller disse hullene. Hvis det ikke blir overvåket, kan sårbarheter brukes av ondsinnede brukere for å få tilgang til systemene og dataene dine - eller muligens verre, kundens data - eller for på annen måte å forårsake noen skader som å gjøre systemene dine ubrukelige.
Sårbarheter kan være overalt. De finnes ofte i programvare som kjører på serverne dine eller operativsystemene deres, men de finnes også i nettverksutstyr som brytere, rutere og til og med sikkerhetsapparater som brannmurer. Man trenger virkelig å se etter dem overalt.
Skanneverktøy - Hva er de og hvordan fungerer de
Sikkerhetsskanning - eller vurdering - verktøy haren hovedfunksjon: å identifisere sårbarheter i systemene, enhetene, utstyret og programvaren din. De kalles skannere fordi de vanligvis vil skanne utstyret ditt for å se etter kjente sårbarheter.
Men hvordan finner skanneverktøy for sårbarhetsårbarheter som vanligvis ikke er der i synet? Hvis de var så opplagte, ville utviklere ha adressert dem før de ga ut programvaren. Vær så snill om som virusbeskyttelsesprogramvare som bruker virusdefinisjonsdatabaser for å gjenkjenne datavirusunderskrifter, er de fleste sårbarhetsskannere avhengige av sårbarhetsdatabaser og skanningssystemer for spesifikke sårbarheter. Disse sårbarhetsdatabasene kan hentes fra kjente uavhengige sikkerhetstestinglaboratorier dedikert til å finne sårbarheter i programvare og maskinvare, eller de kan være proprietære databaser fra verktøyets leverandør. Som du forventer, er deteksjonsnivået du bare er så bra som sårbarhetsdatabasen som verktøyet ditt bruker.
Skanneverktøy - Hvem trenger dem?
Svaret med ett ord på det spørsmålet er pentåpenbart: Hvem som helst! Ingen i hans rette sinn tenker å kjøre en datamaskin uten virusbeskyttelse i disse dager. På samme måte bør ingen nettverksadministrator være uten minst noen form for sårbarhetsdeteksjon. Angrep kan komme hvor som helst og treffe deg der du minst venter dem. Du må være klar over risikoen for eksponering.
Dette er muligens noe som kan væreteoretisk gjort manuelt. Rent praktisk, men dette er en nesten umulig jobb. Bare det å finne informasjon om sårbarheter, enn si å skanne systemene deres for tilstedeværelse, kan ta enorme ressurser. Noen organisasjoner er opptatt av å finne sårbarheter, og de sysselsetter ofte hundrevis om ikke tusenvis av mennesker.
Alle som administrerer en rekke datasystemer ellerenheter vil ha stor fordel av å bruke et sårbarhetsskanningsverktøy. Videre vil det å overholde forskriftsstandarder som SOX eller PCI-DSS ofte gjøre det. Og selv om de ikke trenger det, vil det ofte være lettere å demonstrere samsvar hvis du kan vise at du skanner nettverket etter sårbarheter.
Sårbarhetsstyring i et nøtteskall
Oppdage sårbarheter ved hjelp av en slagsprogramvareverktøy er viktig. Det er det første trinnet i å beskytte mot angrep. Men det er slags ubrukelig hvis det ikke er en del av en fullstendig sårbarhetsadministrasjonsprosess. Inntrengingsdeteksjonssystemer er ikke Innbruddsforebyggende systemer, og på samme måte skanner verktøy for nettverk sårbarhet - eller i det minste de fleste av dem - bare oppdager sårbarheter og varsler deg om deres tilstedeværelse.
Det er da opp til deg, administratorennoen prosess på plass for å adressere oppdagede sårbarheter. Den første tingen å gjøre når de oppdages, er å vurdere sårbarheter. Du vil være sikker på at oppdagede sårbarheter er reelle. Sårbarhetsskanneverktøy har en tendens til å foretrekke å feile på siden av forsiktighet, og mange vil rapportere et visst antall falske positiver. Og hvis det er sanne sårbarheter, kan det hende at de ikke er et reelt problem. En ubrukt åpen IP-port på en server kan for eksempel ikke være noe problem hvis den sitter rett bak en brannmur som blokkerer porten.
Når sårbarhetene er vurdert, er det på tidebestemme hvordan du skal adressere og fikse dem. Hvis de ble funnet i en programvare som din organisasjon knapt bruker - eller ikke bruker i det hele tatt - kan det beste handlingsforløpet ditt være å fjerne den sårbare programvaren og erstatte den med en annen som tilbyr lignende funksjonalitet. I andre tilfeller er det like enkelt å fikse sårbarheter som å bruke en patch fra programvareutgiveren eller oppgradere til den nyeste versjonen. Mange skanneverktøy for sårbarhet vil identifisere tilgjengelige rettelser for sikkerhetsproblemene som finner. Andre sårbarheter kan løses bare ved å endre noen konfigurasjonsinnstillinger. Dette gjelder spesielt nettverksutstyr, men det skjer også med programvare som kjører på datamaskiner.
Hovedfunksjoner i sårbarhetsskanneverktøy
Det er mange ting man bør tenke på nårvelge et skanneverktøy for sårbarhet. Et av de viktigste aspektene ved verktøyene er utvalget av enheter de kan skanne. Du vil ha et verktøy som kan skanne alt utstyret du eier. Hvis du for eksempel har mange Linus-servere, vil du velge et verktøy som kan skanne dem, ikke en som bare håndterer Windows-enheter. Du vil også velge en skanner som er så nøyaktig som mulig i miljøet ditt. Du ønsker ikke å drukne i ubrukelige varsler og falske positiver.
En annen viktig differensierende faktor erverktøyets sårbarhetsdatabase. Opprettholdes det av leverandøren, eller er det fra en uavhengig organisasjon? Hvor regelmessig blir den oppdatert? Lagres det lokalt eller i skyen? Må du betale ekstra gebyrer for å bruke sårbarhetsdatabasen eller for å få oppdateringer? Dette er alt du vil vite før du velger verktøyet.
Noen sårbarhetsskannere vil bruke en merpåtrengende skannemetode som potensielt kan påvirke systemytelsen. Dette er ikke nødvendigvis en dårlig ting, da de mest påtrengende ofte er de beste skannerne, men hvis de påvirker systemytelsen, vil du vite om det og planlegge skannene dine deretter. For øvrig er planlegging et annet viktig aspekt av skanneverktøy for nettverkssårbarhet. Noen verktøy har ikke en gang planlagte skanninger og trenger å bli lansert manuelt.
Det er minst to andre viktige funksjonerav skannerverktøy for sårbarhet: varsling og rapportering. Hva skjer når en sårbarhet blir funnet? Er varslingen tydelig og lett å forstå? Hvordan gjengis det? Er det en popup, en e-post, en tekstmelding på skjermen? Og enda viktigere: gir verktøyet litt innsikt i hvordan du løser sårbarhetene det identifiserer? Noen verktøy gjør og andre ikke. Noen har til og med automatisert utbedring av visse sårbarheter. Andre verktøy vil integreres med programvare for programvarehåndtering, da lapping ofte er den beste måten å fikse sårbarheter.
Når det gjelder rapportering er dette ofte et spørsmål ompersonlig preferanse. Du må imidlertid sørge for at informasjonen du forventer og trenger å finne i rapportene faktisk vil være der. Noen verktøy har bare forhåndsdefinerte rapporter, andre lar deg endre innebygde rapporter. Og de beste - i det minste fra rapporteringssynspunkt - lar deg lage tilpassede rapporter fra bunnen av.
Våre Topp 6 sårbarhetsskanneverktøy
Nå som vi har lært litt mer omsårbarhetsskanneverktøy, la oss se på noen av de beste eller mest interessante pakkene vi kan finne. Vi har prøvd å ta med en blanding av betalte og gratis verktøy. Det er også verktøy som er tilgjengelige i en gratis og en betalt versjon.
1. SolarWinds Network Configuration Manager (GRATIS PRØVEPERIODE)
I tilfelle du ikke allerede kjenner SolarWinds, theselskapet har laget noen av de beste verktøyene for nettverksadministrasjon i omtrent 20 år. Blant de beste verktøyene har SolarWinds Network Performance Monitor konsekvent mottatt høye ros og rave vurderinger som et av de beste SNMP-nettverkets båndbreddeovervåkningsverktøy. Selskapet er også noe kjent for sine gratis verktøy. Dette er mindre verktøy designet for å adressere en spesifikk oppgave med nettverksadministrasjon. Blant de mest kjente av disse gratis verktøyene er en undernettkalkulator og en TFTP-server.
Verktøyet vi ønsker å introdusere her er et verktøy som heter SolarWinds Network Configuration Manager. Dette er imidlertid ikke egentlig en sårbarhetskanneverktøy. Men det er to spesifikke grunner til at vi bestemte oss for å inkludere dette verktøyet på listen vår. Produktet har en sårbarhetsvurderingsfunksjon, og den adresserer en bestemt type sårbarhet, en som er viktig, men som ikke mange andre verktøy adresserer, feilkonfigurasjon av nettverksutstyr.
SolarWinds Network Configuration Managerprimærverktøyet som et sårbarhetsskanneverktøy er i valideringen av nettverksutstyrskonfigurasjoner for feil og mangler. Verktøyet kan også periodisk sjekke enhetskonfigurasjoner for endringer. Dette er også nyttig fordi noen angrep startes ved å endre noen nettverkskonfigurasjoner for enheter - som ofte ikke er like sikre som servere - på en måte som kan gjøre det lettere å få tilgang til andre systemer. Verktøyet kan også hjelpe deg med standarder eller forskriftsmessig overholdelse av automatiserte nettverkskonfigurasjonsverktøy som kan distribuere standardiserte konfigurasjoner, oppdage endringer utenfor prosessen, revisjonskonfigurasjoner og til og med rette brudd.
Programvaren integreres med NationalSårbarhetsdatabase som gjør at den fortjener å være på listen vår enda mer. Den har tilgang til de nyeste CVE-ene for å identifisere sårbarheter på Cisco-enhetene dine. Det vil fungere med alle Cisco-enheter som kjører ASA, IOS eller Nexus OS. Faktisk er to andre nyttige verktøy, Network Insights for ASA og Network Insights for Nexus, bygget rett inn i produktet.
Prisene for SolarWinds Network ConfigurationManager starter på $ 2.895 for opptil 50 administrerte noder og varierer avhengig av antall noder. Hvis du vil prøve dette verktøyet, kan en gratis 30-dagers prøveversjon lastes ned fra SolarWinds.
- GRATIS PRØVEPERIODE: SolarWinds Network Configuration Manager
- Offisiell nedlasting: https://www.solarwinds.com/network-configuration-manager
2. Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer, ellerMBSA, er et noe eldre verktøy fra Microsoft. Til tross for at det er et mindre enn ideelt alternativ for store organisasjoner, kan verktøyet passe godt for mindre bedrifter, de som bare har en håndfull servere. Dette er et Microsoft-verktøy, så du bør ikke forvente at du skal se etter skanning, men Microsoft-produkter, eller du vil bli skuffet. Det vil imidlertid skanne Windows-operativsystemet, så vel som noen tjenester som Windows Firewall, SQL server, IIS og Microsoft Office-applikasjoner.
Men dette verktøyet skanner ikke etter spesifikkesårbarheter som andre sårbarhetsskannere gjør. Hva det gjør er å se etter manglende oppdateringer, servicepakker og sikkerhetsoppdateringer samt skanningssystemer for administrative problemer. MBSAs rapporteringsmotor lar deg få en liste over manglende oppdateringer og feilkonfigurasjoner.
Å være et gammelt verktøy fra Microsoft, er ikke MBSA dethelt kompatibel med Windows 10. Versjon 2.3 fungerer med den nyeste versjonen av Windows, men kan kreve litt finjustering for å rydde opp i falske positiver og for å fikse kontroller som ikke kan fullføres. For eksempel vil dette verktøyet feilaktig rapportere at Windows Update ikke er aktivert på Windows 10. En annen ulempe med dette produktet er at det ikke vil oppdage sårbarheter som ikke er fra Microsoft eller komplekse sårbarheter. Dette verktøyet er enkelt å bruke og gjør jobben sin godt. Det kan godt være det perfekte verktøyet for en mindre organisasjon med bare noen få Windows-datamaskiner.
3. System for åpent sårbarhetsvurdering (OpenVAS)
Vårt neste verktøy heter Open VulnerabilityVurderingssystem, eller OpenVAS. Det er en ramme av flere tjenester og verktøy. De kombineres for å gjøre det til et omfattende og kraftig skanneverktøy for sårbarhet. Rammeverket bak OpenVAS er en del av Greenbone Networks 'sårbarhetsadministrasjonsløsning som elementer har blitt bidratt til samfunnet i rundt ti år. Systemet er helt gratis, og de fleste av komponentene er åpen kildekode, selv om noen ikke er det. OpenVAS-skanneren leveres med over femti tusen nettverkssårbarhetstester som oppdateres regelmessig.
Det er to primære komponenter til OpenVAS. Den første komponenten er OpenVAS-skanneren. Som navnet tilsier, er det ansvarlig for den faktiske skanningen av måldatamaskiner. Den andre komponenten er OpenVAS-manageren som håndterer alt annet som å kontrollere skanneren, konsolidere resultater og lagre dem i en sentral SQL-database. Systemet inkluderer både nettleserbaserte og kommandolinjebrukergrensesnitt. En annen komponent i systemet er databasen Network Vulnerability Tests. Denne databasen kan få sine oppdateringer fra enten det gratis Greenborne Community Feed eller det betalte Greenborne Security Feed.
4. Retina Network Community
Retina Network Community er den gratis versjonen avRetina Network Security Scanner fra AboveTrust, som er en av de mest kjente sårbarhetsskannerne. Denne omfattende sårbarhetsskanneren er full av funksjoner. Verktøyet kan utføre en grundig sårbarhetsvurdering av manglende oppdateringer, nulldagers sårbarheter og ikke-sikre konfigurasjoner. Den kan også skryte av brukerprofiler justert med jobbfunksjoner, og forenkler dermed systemdriften. Dette produktet har en intuitiv GUI med metro-stil som gir mulighet for en strømlinjeformet drift av systemet.
Retina Network Community bruker det sammesårbarhetsdatabase som det betalte søsken. Det er en omfattende database over nettverkssårbarheter, konfigurasjonsproblemer og manglende oppdateringer som automatisk oppdateres og dekker et bredt spekter av operativsystemer, enheter, applikasjoner og virtuelle miljøer. Dette produktet støtter VMware-miljøer fullt ut, og det inkluderer online og offline virtuell bildeskanning, virtuell applikasjonsskanning og integrasjon med vCenter.
Det er imidlertid en stor ulempe for netthinnenNettverkssamfunn. Verktøyet er begrenset til å skanne 256 IP-adresser. Dette kan ikke se ut som om du administrerer et stort nettverk, men det kan være mer enn nok for mange mindre organisasjoner. Hvis miljøet ditt er større enn det, gjelder alt vi nettopp sa om dette produktet også storebroren, Retina Network Security Scanner, som er tilgjengelig i standard- og ubegrensede utgaver. Hver utgave har det samme utvidede funksjonssettet sammenlignet med Retina Network Community-skanneren.
5. Nexpose Community Edition
Det er kanskje ikke så populært som netthinnen, menNexpose fra Rapid7 er en annen kjent sårbarhetsskanner. Og Nexpose Community Edition er en litt nedskalert versjon av Rapid7s omfattende sårbarhetsskanner. Produktets begrensninger er imidlertid viktige. For eksempel kan du bare bruke produktet til å skanne maksimalt 32 IP-adresser. Dette gjør det til et godt alternativ bare for de minste nettverkene. Videre kan produktet bare brukes i ett år. Hvis du kan leve med produktene, er det utmerket.
Nexpose Community Edition kjører på fysiskmaskiner som kjører enten Windows eller Linux. Det er også tilgjengelig som et virtuelt apparat. Dets omfattende skannemuligheter vil håndtere nettverk, operativsystemer, webapplikasjoner, databaser og virtuelle miljøer. Nexpose Community Edition bruker adaptiv sikkerhet som automatisk kan oppdage og vurdere nye enheter og nye sårbarheter i det øyeblikket de får tilgang til nettverket ditt. Denne funksjonen fungerer sammen med dynamiske tilkoblinger til VMware og AWS. Dette verktøyet integreres også med Sonar-forskningsprosjektet for å gi ekte liveovervåking. Nexpose Community Edition tilbyr integrert policy-skanning for å hjelpe deg med å overholde populære standarder som CIS og NIST. Og sist men ikke minst, verktøyets intuitive saneringsrapporter gir deg trinnvise instruksjoner om saneringshandlinger.
kommentarer