Nie chcesz, aby Twoja sieć stała sięcelem złośliwych użytkowników próbujących ukraść dane lub spowodować szkody w organizacji. Ale jak możesz się upewnić, że istnieje jak najmniej sposobów, aby mogli wejść? Upewniając się, że każda luka w sieci jest znana, usuwana i usuwana, lub że istnieje jakiś sposób na jej złagodzenie. Pierwszym krokiem w tym celu jest przeskanowanie sieci w poszukiwaniu tych luk. Jest to zadanie określonego rodzaju oprogramowania i dzisiaj z przyjemnością przedstawiamy nasze 6 najlepszych darmowych skanerów podatności na zagrożenia w sieci.
Dzisiejszą dyskusję rozpoczniemy od rozmowyna temat podatności sieci - lub być może luk - próbujących wyjaśnić, czym one są. Następnie omówimy ogólnie skanery podatności. Zobaczymy, kto ich potrzebuje i dlaczego. Ponieważ skaner podatności działa tylko w ramach procesu zarządzania podatnościami, omówimy to dalej. Następnie przestudiujemy, jak zwykle działają skanery narażenia na atak. Wszystkie są różne, ale u ich podstaw są zwykle więcej podobieństw niż różnic. A zanim ujawnimy, jakie są najlepsze bezpłatne skanery narażenia na atak, powiemy ci, czego w nich szukać.
Luka w zabezpieczeniach 101
Systemy i sieci komputerowe są bardziej złożoneniż kiedykolwiek. Często zdarza się, że typowy serwer obsługuje setki procesów. Każdy z tych procesów jest programem, niektóre z nich są dużymi programami zawierającymi tysiące wierszy kodu. W ramach tego kodu mogą znajdować się różnego rodzaju nieoczekiwane rzeczy. W pewnym momencie programista może dodać funkcję backdoora w celu ułatwienia debugowania i ta funkcja mogła błędnie przejść do ostatecznej wersji. Mogą występować błędy w sprawdzaniu poprawności danych wejściowych, które spowodują nieoczekiwane i niepożądane wyniki w określonych okolicznościach.
Każda z nich jest dziurą i jest ich wieleludzie, którzy nie mają nic lepszego do roboty niż znaleźć te dziury i użyć ich do ataku na twoje systemy. Luki nazywamy lukami. A jeśli pozostaną bez nadzoru, mogą być wykorzystywane przez złośliwych użytkowników w celu uzyskania dostępu do twoich systemów i danych - lub, co gorsza, danych twojego klienta - lub w inny sposób spowodować szkody, takie jak uniemożliwienie korzystania z twojego systemu.
Luki w zabezpieczeniach mogą znajdować się wszędzie w sieci. Często można je znaleźć w oprogramowaniu działającym na twoich serwerach lub ich systemach operacyjnych, ale są one również powszechne w sprzęcie sieciowym, takim jak przełączniki, routery, a nawet urządzenia bezpieczeństwa, takie jak zapory ogniowe.
Sieciowe skanery podatności - czym są i jak działają
Skanery podatności lub podatnośćnarzędzia oceny, jak się je często nazywa, to narzędzia programowe, których jedynym celem jest identyfikacja luk w systemach, urządzeniach, sprzęcie i oprogramowaniu. Nazywamy je skanerami, ponieważ zwykle skanują twój sprzęt w poszukiwaniu określonych luk.
Ale jak znajdują te luki? W końcu zwykle nie ma ich na widoku lub deweloper zwróciłby się do nich. W pewnym sensie, podobnie jak oprogramowanie antywirusowe, które wykorzystuje bazy danych definicji wirusów do rozpoznawania wirusów komputerowych, większość skanerów podatności na zagrożenia opiera się na bazach danych podatności i systemach skanowania w poszukiwaniu określonych luk. Te bazy danych podatności na zagrożenia mogą być pozyskiwane ze znanych laboratoriów testujących bezpieczeństwo, które zajmują się wyszukiwaniem luk w oprogramowaniu i sprzęcie, lub mogą to być zastrzeżone bazy danych. Poziom wykrywalności jest tak dobry, jak baza danych podatności wykorzystywana przez twoje narzędzie.
Sieciowe skanery podatności - kto ich potrzebuje?
Szybka i łatwa odpowiedź na to pytanie jest prosta: ty zrobić! Nie, naprawdę wszyscy ich potrzebują. Tak jak nikt przy zdrowych zmysłach nie pomyślałby o uruchomieniu komputera bez ochrony antywirusowej, żaden administrator sieci nie powinien być pozbawiony przynajmniej jakiegoś schematu wykrywania luk.
Oczywiście jest to prawdopodobnie coś, co mogłobyteoretycznie robić to ręcznie, ale praktycznie jest to niemożliwe. Wymagałoby to ogromnej ilości czasu i zasobów ludzkich. Niektóre organizacje zajmują się wyszukiwaniem luk w zabezpieczeniach i często zatrudniają setki osób, jeśli nie tysiące.
Faktem jest, że jeśli zarządzasz wielomasystemy komputerowe lub urządzenia, prawdopodobnie potrzebujesz skanera podatności. Zgodność ze standardami regulacyjnymi, takimi jak SOX lub PCI-DSS, często będzie tego wymagać. Nawet jeśli nie będą tego wymagać, łatwiej będzie wykazać zgodność, jeśli możesz wykazać, że skanujesz sieć w poszukiwaniu luk.
Słowo o zarządzaniu podatnością
Jedną rzeczą jest wykrywanie luk w zabezpieczeniachjakieś narzędzie programowe, ale jest bezużyteczne, chyba że jest częścią całościowego procesu zarządzania podatnością na zagrożenia. Podobnie jak systemy wykrywania włamań nie są systemami zapobiegania włamaniom Skanery podatności na zagrożenia sieciowe - a przynajmniej zdecydowana większość z nich - wykrywa tylko luki w zabezpieczeniach i kieruje je do Ciebie.
To do ciebie, aby mieć jakiś proces na miejscureagować na te wykryte luki. Pierwszą rzeczą, którą należy zrobić, jest ich ocena. Chodzi o to, aby wykryte luki były prawdziwe. Twórcy skanerów podatności często wolą popełniać błędy po stronie ostrożności, a wiele z ich narzędzi zgłasza pewną liczbę fałszywych alarmów.
Kolejny krok w zarządzaniu podatnościąProces polega na podjęciu decyzji, w jaki sposób usunąć i naprawić rzeczywiste luki. Jeśli zostaną znalezione w oprogramowaniu, które Twoja organizacja prawie nie używa - lub w ogóle z niego nie korzysta - najlepszym rozwiązaniem może być usunięcie go i zastąpienie innym oprogramowaniem oferującym podobną funkcjonalność. W wielu przypadkach naprawianie luk jest tak proste, jak zastosowanie poprawki od wydawcy oprogramowania lub uaktualnienie do najnowszej wersji. Czasami można je również naprawić, modyfikując niektóre ustawienia konfiguracji.
Czego szukać w sieciowych skanerach narażenia na atak
Rzućmy okiem na niektóre z najważniejszychrzeczy do rozważenia przy ocenie skanerów podatności na zagrożenia sieciowe. Przede wszystkim jest to zakres urządzeń, które narzędzie może skanować. Musi to jak najlepiej dopasować się do środowiska. Jeśli na przykład twoje środowisko ma wiele serwerów Linux, powinieneś wybrać narzędzie, które je przeskanuje. Twój skaner powinien również być tak dokładny, jak to możliwe w twoim środowisku, aby nie zagłuszyć cię w bezużytecznych powiadomieniach i fałszywych trafieniach.
Kolejnym ważnym czynnikiem do rozważeniabaza danych podatności narzędzia. Czy jest regularnie aktualizowany? Czy jest przechowywany lokalnie czy w chmurze? Czy musisz uiścić dodatkowe opłaty, aby zaktualizować bazę danych luk w zabezpieczeniach? To wszystko, co musisz wiedzieć, zanim wybierzesz swoje narzędzie.
Nie wszystkie skanery są sobie równe, niektóre będą używaćbardziej inwazyjna metoda skanowania niż inne i potencjalnie wpłynie na wydajność systemu. Nie jest to złą rzeczą, ponieważ najbardziej natrętne są często najlepsze skanery, ale jeśli wpływają one na wydajność systemu, musisz wiedzieć o tym i odpowiednio zaplanować skanowanie. Mówiąc o planowaniu, jest to kolejny ważny aspekt skanerów podatności na zagrożenia sieciowe. Czy rozważane narzędzie ma nawet zaplanowane skanowanie? Niektóre narzędzia należy uruchomić ręcznie.
Ostatni ważny aspekt sieciskanery podatności na zagrożenia to ich alarmowanie i zgłaszanie. Co dzieje się po wykryciu podatności? Czy powiadomienie jest jasne i łatwe do zrozumienia? Czy to narzędzie zapewnia wgląd w sposób usuwania znalezionych luk? Niektóre narzędzia mają nawet automatyczne usuwanie niektórych luk. Inne integrują się z oprogramowaniem do zarządzania poprawkami. Jeśli chodzi o raportowanie, często jest to kwestia osobistych preferencji, ale musisz upewnić się, że informacje, które spodziewasz się znaleźć w raportach, faktycznie tam są. Niektóre narzędzia mają tylko predefiniowane raporty, niektóre pozwalają je modyfikować, a niektóre pozwalają tworzyć nowe od zera.
Nasze najlepsze 6 najlepszych sieciowych skanerów narażenia na atak
Teraz, gdy wiemy, czego szukaćskanery podatności, rzućmy okiem na jedne z najlepszych lub najciekawszych pakietów, jakie mogliśmy znaleźć. Wszystkie oprócz jednego są bezpłatne, a płatny ma bezpłatny okres próbny.
1. Menedżer konfiguracji sieci SolarWinds (BEZPŁATNA WERSJA PRÓBNA)
Nasz pierwszy wpis w interesującym kawałkuoprogramowanie SolarWinds o nazwie Network Configuration Manager. Nie jest to jednak ani darmowe narzędzie, ani skaner podatności na zagrożenia w sieci. Być może zastanawiasz się, co robi na tej liście. Jest jeden główny powód jego włączenia: narzędzie usuwa konkretny rodzaj podatności, którego nie robi wiele innych narzędzi i że jest to błędna konfiguracja sprzętu sieciowego.
BEZPŁATNA WERSJA PRÓBNA: Menedżer konfiguracji sieci SolarWinds
Głównym celem tego narzędzia jest luka w zabezpieczeniachskaner sprawdza poprawność sprzętu sieciowego pod kątem błędów i pominięć w konfiguracji. Będzie również okresowo sprawdzać konfiguracje urządzeń pod kątem zmian. Może to być przydatne, ponieważ niektóre ataki są uruchamiane przez modyfikację konfiguracji niektórych urządzeń w sposób, który może ułatwić dostęp do innych systemów. Menedżer konfiguracji sieci może również pomóc w zapewnieniu zgodności z siecią dzięki zautomatyzowanym narzędziom do konfiguracji sieci, które mogą wdrażać standardowe konfiguracje, wykrywać zmiany poza procesem, konfigurować audyty, a nawet korygować naruszenia.
Oprogramowanie integruje się z NationalBaza danych podatności i ma dostęp do najnowszych CVE w celu zidentyfikowania luk w urządzeniach Cisco. Będzie działać z dowolnym urządzeniem Cisco z systemem ASA, IOS lub Nexus. W rzeczywistości dwa przydatne narzędzia, Network Insights dla ASA i Network Insights dla Nexus są wbudowane bezpośrednio w produkt.
Ceny za konfigurację sieci SolarWindsMenedżer zaczyna od 2 895 USD i różni się w zależności od liczby węzłów. Jeśli chcesz wypróbować to narzędzie, bezpłatną 30-dniową wersję próbną można pobrać z SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Nasz drugi wpis to starsze narzędzie firmy Microsofto nazwie Baseline Security Analyzer lub MBSA. To narzędzie jest niezbyt idealną opcją dla większych organizacji, ale może być odpowiednie dla małych firm posiadających tylko kilka serwerów. Biorąc pod uwagę jego pochodzenie od Microsoft, nie spodziewaj się, że to narzędzie będzie patrzeć tylko na produkty Microsoft. Będzie skanować podstawowy system operacyjny Windows, a także niektóre usługi, takie jak Zapora systemu Windows, serwer SQL, IIS i aplikacje Microsoft Office.
Narzędzie nie skanuje w poszukiwaniu określonychpodatności, takie jak prawdziwe skanery podatności, robią to, ale szuka brakujących poprawek, dodatków Service Pack i aktualizacji zabezpieczeń, a także skanuje systemy pod kątem problemów administracyjnych. Mechanizm raportowania MBSA pozwoli Ci uzyskać listę brakujących aktualizacji i błędnych konfiguracji
MBSA to stare narzędzie firmy Microsoft. Jest tak stary, że nie jest w pełni kompatybilny z Windows 10. Wersja 2.3 będzie działać z najnowszą wersją systemu Windows, ale będzie wymagała drobnych poprawek w celu wyczyszczenia fałszywych alarmów i naprawienia kontroli, których nie można ukończyć. Na przykład MBSA fałszywie zgłosi, że usługa Windows Update nie jest włączona w najnowszej wersji systemu Windows. Kolejną wadą jest to, że MBSA nie wykrywa luk innych niż Microsoft ani złożonych luk. To narzędzie jest jednak proste w użyciu i dobrze spełnia swoje zadanie i może być idealnym narzędziem dla mniejszej organizacji posiadającej tylko komputery z systemem Windows.
3. Otwarty system oceny podatności (OpenVAS)
Otwarty system oceny podatności lubOpenVAS to struktura wielu usług i narzędzi, które łączą się w celu zaoferowania kompleksowego i wydajnego systemu skanowania w poszukiwaniu luk i zarządzania nimi. Ramy stojące za OpenVAS są częścią rozwiązania do zarządzania podatnościami Greenbone Networks, od którego opracowano rozwiązania dla społeczności od około dziesięciu lat. System jest całkowicie darmowy, a większość jego komponentów jest typu open source, chociaż niektóre są zastrzeżone. Skaner OpenVAS jest dostarczany z ponad pięćdziesięcioma tysiącami testów podatności na awarie sieci, które są regularnie aktualizowane.
OpenVAS ma dwa główne komponenty, OpenVASskaner, który jest odpowiedzialny za faktyczne skanowanie komputerów docelowych oraz menedżer OpenVAS, który kontroluje skaner, konsoliduje wyniki i przechowuje je w centralnej bazie danych SQL wraz z konfiguracją systemu. Inne składniki obejmują interfejsy użytkownika oparte na przeglądarce i wierszu polecenia. Dodatkowym składnikiem systemu jest baza danych Network Vulnerability Tests. Ta baza danych jest aktualizowana z płatnego pliku danych społeczności Greenborne lub z pliku danych zabezpieczeń Greenborne. Ten ostatni jest płatnym serwerem subskrypcyjnym, a kanał społecznościowy jest bezpłatny.
4. Społeczność sieci Retina
Thre Retina Network Community to darmowa wersjaRetina Network Security Scanner firmy AboveTrust, jednego z najbardziej znanych skanerów podatności na zagrożenia. Jest to wszechstronny skaner podatności na zagrożenia z wieloma funkcjami. Narzędzie może wykonać bezpłatną ocenę podatności na brakujące łaty, luki w systemie zero-day i niezabezpieczone konfiguracje. Profile użytkowników dostosowane do funkcji zadań upraszczają obsługę systemu. Jego intuicyjny interfejs użytkownika w stylu metra pozwala na usprawnienie działania systemu.
Społeczność sieci Retina korzysta z Retinabaza danych skanera, obszerna baza danych słabych punktów sieci, problemów z konfiguracją i brakujących poprawek. Jest automatycznie aktualizowany i obejmuje szeroki zakres systemów operacyjnych, urządzeń, aplikacji i środowisk wirtualnych. Mówiąc o środowiskach wirtualnych, produkt w pełni obsługuje środowiska VMware i obejmuje skanowanie obrazów wirtualnych online i offline, skanowanie aplikacji wirtualnych oraz integrację z vCenter.
Główne ograniczenie sieci RetinaSpołeczność polega na tym, że ogranicza się do skanowania 256 adresów IP. Chociaż nie jest to wiele, wystarczy dla kilku mniejszych organizacji. Jeśli twoje środowisko jest większe, możesz wybrać Retina Network Security Scanner, dostępny w wersjach Standard i Unlimited. Obie edycje mają rozszerzony zestaw funkcji w porównaniu do skanera Retina Network Community.
5. Nexpose Community Edition
Nexpose z Rapid7 jest kolejnym znanymskaner podatności na zagrożenia, choć może mniej niż Retina. Nexpose Community Edition to ograniczona wersja wszechstronnego skanera podatności Rapid7. Ograniczenia są ważne. Przede wszystkim możesz używać produktu do skanowania maksymalnie 32 adresów IP. To sprawia, że jest to dobra opcja tylko dla najmniejszych sieci. Ponadto produkt może być używany tylko przez jeden rok. Oprócz tych ograniczeń jest to doskonały produkt.
Nexpose może działać na uruchomionych komputerach fizycznychWindows lub Linux. Jest również dostępny jako urządzenie VM. Rozbudowane możliwości skanowania produktu obsługują sieci, systemy operacyjne, aplikacje internetowe, bazy danych i środowiska wirtualne. Nexpose korzysta z tego, co nazywa Adaptive Security, które może automatycznie wykrywać i oceniać nowe urządzenia i nowe podatności w momencie, gdy uzyskają one dostęp do sieci. Łączy się to z dynamicznymi połączeniami z VMware i AWS oraz integracją z projektem badawczym Sonar, aby zapewnić prawdziwy monitoring na żywo. Nexpose zapewnia zintegrowane skanowanie zasad, aby pomóc w przestrzeganiu popularnych standardów, takich jak CIS i NIST. Intuicyjne raporty o naprawach tego narzędzia zawierają instrukcje krok po kroku dotyczące działań naprawczych w celu szybkiej poprawy zgodności.
6. SecureCheq
Nasz ostatni wpis to produkt Tripwire,inna nazwa gospodarstwa domowego w zakresie bezpieczeństwa IT. Oprogramowanie SecureCheq jest reklamowane jako bezpłatne narzędzie sprawdzające bezpieczeństwo konfiguracji Microsoft Windows dla komputerów stacjonarnych i serwerów. Narzędzie wykonuje lokalne skanowanie na komputerach z systemem Windows i identyfikuje niepewne zaawansowane ustawienia systemu Windows zgodnie ze standardami CIS, ISO lub COBIT. Będzie szukał około dwóch tuzinów typowych błędów konfiguracji związanych z bezpieczeństwem.
To proste narzędzie jest łatwe w użyciu. Po prostu uruchom go na komputerze lokalnym, aby wyświetlić listę wszystkich sprawdzonych ustawień ze statusem pozytywnego lub negatywnego. Kliknięcie dowolnego z wymienionych ustawień ujawnia podsumowanie luki w zabezpieczeniach wraz z odniesieniami do sposobu jej usunięcia. Raport można wydrukować lub zapisać jako plik XML OVAL.
Chociaż SecureCheq skanuje w poszukiwaniu niektórych zaawansowanychustawienia konfiguracji, brakuje wielu bardziej ogólnych luk i zagrożeń. Najlepszym rozwiązaniem jest użycie go w połączeniu z bardziej podstawowym narzędziem, takim jak Microsoft Baseline Security Analyzer omówiony powyżej.
Komentarze