Nimeni nu vrea ca rețeaua în care reușesc să devinăținta utilizatorilor nocivi care încearcă să fure date corporative sau să producă pagube organizației. Pentru a preveni acest lucru, trebuie să găsiți modalități de a vă asigura că există cât mai puține căi pentru a intra. Acest lucru se realizează în parte asigurându-vă că fiecare vulnerabilitate din rețeaua dvs. este cunoscută, adresată și remediată. Și pentru acele vulnerabilități care nu pot fi rezolvate, există ceva care să le diminueze. Primul pas este evident; este să scanați rețeaua pentru vulnerabilitățile respective. Aceasta este sarcina unui tip specific de software numit instrumente de scanare a vulnerabilității. Astăzi, analizăm cele mai bune 6 instrumente și software de scanare a vulnerabilităților.
Să începem vorbind despre rețeavulnerabilitate - sau ar trebui să spunem vulnerabilități - și să încercăm să explicăm care sunt acestea. În continuare vom discuta despre instrumentele de scanare a vulnerabilității. Vom descrie cine are nevoie de ei și de ce. Și întrucât un scaner de vulnerabilitate este doar o componentă a unui proces de gestionare a vulnerabilității - deși unul important - despre asta vom vorbi în continuare. Apoi, vom vedea cum funcționează de obicei scanerele de vulnerabilitate. Toate sunt oarecum diferite, dar în centrul lor, există adesea mai multe asemănări decât diferențe. Și înainte de a trece în revistă cele mai bune instrumente de scanare a vulnerabilității și software, vom discuta principalele caracteristici ale acestora.
O introducere în vulnerabilitate
Sistemele și rețelele informatice au ajuns lanivel de complexitate mai mare ca niciodată. Serverul mediu de astăzi ar putea, de obicei, să ruleze sute de procese. Fiecare dintre aceste procese este un program de calculator, unele dintre ele sunt programe mari care sunt alcătuite din mii de linii de cod sursă. Și în cadrul acestui cod, ar putea exista - probabil există - tot felul de lucruri neașteptate. Un dezvoltator poate, la un moment dat, a adăugat unele funcții de backdoor pentru a facilita depurarea. Și mai târziu, este posibil ca această caracteristică să fi ajuns greșit la lansarea finală. De asemenea, ar putea exista unele erori în validarea intrării care vor provoca rezultate neașteptate - și nedorite - în anumite circumstanțe.
Oricare dintre acestea poate fi folosită pentru a încerca să obțină accessisteme și date. Există o comunitate uriașă de oameni acolo, care nu au nimic mai bun de făcut decât să găsească aceste găuri și să le exploateze pentru a vă ataca sistemele. Vulnerabilitățile sunt ceea ce numim aceste găuri. Dacă sunt lăsate nesupravegheate, vulnerabilitățile pot fi utilizate de utilizatorii rău intenționate pentru a avea acces la sistemele și datele dvs. sau, eventual, mai rău, datele clientului dvs. sau pentru a provoca alte daune, cum ar fi inutilizarea sistemelor dvs.
Vulnerabilitățile pot fi peste tot. Adesea se găsesc în software-ul care rulează pe serverele dvs. sau în sistemele lor de operare, dar există și în echipamente de rețea, cum ar fi switch-uri, routere și chiar aparate de securitate, cum ar fi firewall-uri. Trebuie cu adevărat să le căutăm peste tot.
Instrumente de scanare - Ce sunt și cum funcționează
Instrumentele de scanare sau evaluare a vulnerabilităților auo singură funcție principală: identificarea vulnerabilităților din sistemele, dispozitivele, echipamentele și software-ul dvs. Acestea sunt numite scanere deoarece, de obicei, vă vor scana echipamentul pentru a căuta vulnerabilități cunoscute.
Dar cum găsesc instrumentele de scanare a vulnerabilitățilorvulnerabilități care de obicei nu există la vedere? Dacă ar fi atât de evident, dezvoltatorii le-ar fi adresat înainte de a lansa software-ul. Cum ar fi un software de protecție antivirus, care folosește baze de date cu definiții ale virusului pentru a recunoaște semnăturile virusului computerului, cele mai multe scanere de vulnerabilitate se bazează pe baze de date de vulnerabilitate și sisteme de scanare pentru vulnerabilități specifice. Aceste baze de date de vulnerabilitate pot fi obținute din laboratoare de testare de securitate independente, binecunoscute, dedicate găsirii vulnerabilităților în software și hardware sau pot fi baze de date proprii de la furnizorul instrumentului. După cum vă așteptați, nivelul de detectare pe care îl obțineți este la fel de bun ca baza de date de vulnerabilitate pe care o folosește instrumentul dvs.
Instrumente de scanare - Cine le are nevoie?
Răspunsul cu un singur cuvânt la această întrebare este destul deevident: Oricine! Nimeni în mintea lui bună nu s-ar gândi să ruleze un computer fără nicio protecție împotriva virusului în aceste zile. De asemenea, niciun administrator de rețea nu ar trebui să fie fără cel puțin o formă de detectare a vulnerabilității. Atacurile ar putea veni de oriunde și te pot lovi acolo unde te aștepți cel mai puțin. Trebuie să fiți conștienți de riscul dvs. de expunere.
Este posibil să fie ceva care ar putea fiteoretic realizat manual. Practic, însă, aceasta este o muncă aproape imposibilă. Doar găsirea informațiilor despre vulnerabilități, cu atât mai puțin să vă scanăm sistemele pentru prezența lor, ar putea lua o cantitate enormă de resurse. Unele organizații sunt dedicate să găsească vulnerabilități și angajează adesea sute, dacă nu mii de oameni.
Oricine gestionează un număr de sisteme de computer saudispozitivele ar beneficia foarte mult de utilizarea unui instrument de scanare a vulnerabilităților. În plus, respectarea standardelor de reglementare, cum ar fi SOX sau PCI-DSS, va solicita deseori acest lucru. Și chiar dacă nu o solicită, conformitatea va fi adesea mai ușor de demonstrat dacă puteți arăta că vă scanați rețeaua pentru vulnerabilități.
Gestionarea vulnerabilității într-un Nutshell
Detectați vulnerabilitățile folosind un fel deinstrumentul software este esențial. Este primul pas în protejarea împotriva atacurilor. Dar este inutil dacă nu face parte dintr-un proces complet de gestionare a vulnerabilităților. Sistemele de detectare a intruziunilor nu sunt sisteme de prevenire a intruziunilor și, de asemenea, instrumentele de scanare a vulnerabilității rețelei - sau cel puțin majoritatea acestora - vor detecta doar vulnerabilitățile și vă vor avertiza despre prezența lor.
Atunci trebuie să aveți, administrator, să avețiun anumit proces pentru a rezolva vulnerabilitățile detectate. Primul lucru care trebuie făcut în urma detectării lor este evaluarea vulnerabilităților. Vrei să te asiguri că vulnerabilitățile detectate sunt reale. Instrumentele de scanare a vulnerabilității tind să prefere greșirea din partea prudenței și mulți vor raporta un anumit număr de falsuri pozitive. Și dacă există vulnerabilități adevărate, s-ar putea să nu fie o problemă reală. De exemplu, un port IP deschis neutilizat pe un server poate să nu fie o problemă dacă se află chiar în spatele unui firewall care blochează portul respectiv.
Odată ce vulnerabilitățile sunt evaluate, este timpul sădecide cum să le adresezi și să le rezolvi. Dacă s-au găsit într-un software pe care organizația dvs. nu îl folosește - sau nu îl folosește deloc -, cel mai bun curs de acțiune ar putea fi eliminarea software-ului vulnerabil și înlocuirea acestuia cu o altă funcționalitate similară. În alte cazuri, remedierea vulnerabilităților este la fel de ușoară precum aplicarea unor corecții de la editorul de software sau actualizarea la cea mai recentă versiune. Multe instrumente de scanare a vulnerabilităților vor identifica corecțiile disponibile pentru vulnerabilitățile găsite. Alte vulnerabilități pot fi rezolvate prin simpla modificare a unei setări de configurare. Acest lucru este valabil în special pentru echipamentele de rețea, dar se întâmplă și cu software-ul care rulează pe computere.
Principalele caracteristici ale instrumentelor de scanare a vulnerabilităților
Există multe lucruri pe care ar trebui să le avem în vedere cândselectarea unui instrument de scanare a vulnerabilităților. Unul dintre cele mai importante aspecte ale acestor instrumente este gama de dispozitive pe care le pot scana. Vrei un instrument care să poată scana toate echipamentele pe care le deții. Dacă aveți multe servere Linus, de exemplu, veți dori să alegeți un instrument care să le poată scana, nu unul care se ocupă doar de dispozitivele Windows. De asemenea, doriți să alegeți un scaner cât mai corect posibil în mediul dvs. Nu ați dori să vă înecați în notificări inutile și fals pozitive.
Un alt factor de diferenție majoră estebaza de date a vulnerabilității instrumentului. Este întreținut de vânzător sau este de la o organizație independentă? Cât de actualizat este periodic? Este stocat local sau în cloud? Trebuie să plătiți taxe suplimentare pentru a utiliza baza de date a vulnerabilităților sau pentru a primi actualizări? Acestea sunt toate lucrurile pe care doriți să le cunoașteți înainte de a alege instrumentul.
Unele scanere de vulnerabilitate vor utiliza mai multmetoda de scanare intrusivă care ar putea afecta performanța sistemului. Acest lucru nu este neapărat un lucru rău, deoarece cele mai intruzive sunt adesea cele mai bune scanere, dar dacă acestea afectează performanța sistemului, nu veți dori să aflați despre asta și să vă programați scanările în consecință. Apropo, programarea este un alt aspect important al instrumentelor de scanare a vulnerabilității rețelei. Unele instrumente nu au nici măcar scanări programate și trebuie lansate manual.
Există cel puțin două alte caracteristici importanteinstrumente de scanare a vulnerabilităților: alertare și raportare. Ce se întâmplă când se constată o vulnerabilitate? Este notificarea clară și ușor de înțeles? Cum este redat? Este un pop-up pe ecran, un e-mail, un mesaj text? Și chiar mai important, instrumentul oferă informații despre cum să remediați vulnerabilitățile pe care le identifică? Unele instrumente nu și altele nu. Unele au chiar remedierea automată a anumitor vulnerabilități. Alte instrumente se vor integra cu software-ul de gestionare a patch-urilor, deoarece patch-ul este adesea cel mai bun mod de a remedia vulnerabilitățile.
În ceea ce privește raportarea, aceasta este adesea o problemăpreferinte personale. Cu toate acestea, trebuie să vă asigurați că informațiile pe care le așteptați și trebuie să le găsiți în rapoarte vor fi de fapt acolo. Unele instrumente au doar rapoarte predefinite, altele vă vor permite să modificați rapoartele încorporate. Iar cele mai bune - cel puțin din punct de vedere al raportării - vă vor permite să creați rapoarte personalizate de la zero.
Cele mai bune instrumente de scanare a vulnerabilităților noastre
Acum că am aflat un pic mai multe despreinstrumente de scanare a vulnerabilității, revizuim unele dintre cele mai bune sau mai interesante pachete pe care le-am putea găsi. Am încercat să includem un amestec de instrumente plătite și gratuite. Există, de asemenea, instrumente disponibile într-o versiune gratuită și plătită.
1. SolarWinds Network Configuration Manager (ÎNCERCARE GRATUITĂ)
În cazul în care nu cunoașteți deja SolarWinds, acestacompania face unele dintre cele mai bune instrumente de administrare a rețelei de aproximativ 20 de ani. Printre cele mai bune instrumente ale sale, Monitorul de performanță al rețelei SolarWinds a primit în mod constant laude și recenzii rave ca fiind unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă a SNMP. Compania este, de asemenea, oarecum renumită pentru instrumentele sale gratuite. Acestea sunt instrumente mai mici concepute pentru a aborda o sarcină specifică de gestionare a rețelei. Printre cele mai cunoscute dintre aceste instrumente gratuite se numără un calculator de subrețea și un server TFTP.
Instrumentul pe care am dori să-l prezentăm aici este un instrument numit SolarWinds Network Configuration Manager. Totuși, aceasta nu este chiar o vulnerabilitateinstrument de scanare. Dar există două motive specifice pentru care am decis să includem acest instrument pe lista noastră. Produsul are o caracteristică de evaluare a vulnerabilității și se adresează unui tip specific de vulnerabilitate, care este important, dar pe care nu multe alte instrumente se adresează, configurarea greșită a echipamentelor de rețea.
Managerul de configurare al rețelei SolarWindsutilitatea principală ca instrument de scanare a vulnerabilităților constă în validarea configurațiilor echipamentelor de rețea pentru erori și omisiuni. Instrumentul poate verifica, de asemenea, periodic modificările configurațiilor dispozitivului. Acest lucru este util, deoarece unele atacuri sunt începute prin modificarea unor configurații de rețea a dispozitivelor - care adesea nu sunt la fel de sigure ca serverele - într-un mod care poate facilita accesul la alte sisteme. Instrumentul vă poate ajuta, de asemenea, cu standarde sau cu respectarea reglementărilor cu instrumentele sale de configurare automată a rețelei care pot implementa configurații standardizate, detecta modificări în afara procesului, configurații de audit și chiar corectări ale încălcărilor.
Software-ul se integrează cu NationalBaza de date despre vulnerabilități, ceea ce face ca acesta să merite și mai mult pe lista noastră. Are acces la cele mai actuale CVE pentru a identifica vulnerabilitățile dispozitivelor dvs. Cisco. Acesta va funcționa cu orice dispozitiv Cisco care rulează ASA, IOS sau Nexus OS. De fapt, alte două instrumente utile, Network Insights pentru ASA și Network Insights pentru Nexus sunt integrate chiar în produs.
Prețuri pentru configurarea rețelei SolarWindsManagerul începe de la 2.895 USD pentru până la 50 de noduri gestionate și variază în funcție de numărul de noduri. Dacă doriți să încercați acest instrument, o versiune de încercare gratuită de 30 de zile poate fi descărcată de pe SolarWinds.
- ÎNCERCARE GRATUITĂ: SolarWinds Network Configuration Manager
- Descărcare oficială: https://www.solarwinds.com/network-configuration-manager
2. Analizator de securitate de bază Microsoft (MBSA)
Analizorul de bază Microsoft pentru securitate sauMBSA, este un instrument ceva mai vechi de la Microsoft. În ciuda faptului că este o opțiune mai puțin decât ideală pentru organizațiile mari, instrumentul ar putea fi o potrivire bună pentru întreprinderile mai mici, cele care au doar o mână de servere. Acesta este un instrument Microsoft, astfel încât să nu vă așteptați să căutați scanarea, dar produsele Microsoft sau veți fi dezamăgiți. Totuși, va scana sistemul de operare Windows, precum și unele servicii, cum ar fi Windows Firewall, server SQL, IIS și aplicații Microsoft Office.
Dar acest instrument nu scanează anumite detaliivulnerabilități precum fac alte scanere de vulnerabilitate. Ceea ce face este să cauți patch-uri lipsă, pachete de service și actualizări de securitate, precum și sisteme de scanare pentru probleme administrative. Motorul de raportare al MBSA vă va permite să obțineți o listă cu actualizări și configurații greșite care lipsesc.
Fiind un instrument vechi de la Microsoft, MBSA nu estecomplet compatibil cu Windows 10. Versiunea 2.3 va funcționa cu cea mai recentă versiune de Windows, dar ar putea necesita unele modificări pentru curățarea falselor pozitive și pentru remedierea verificărilor care nu pot fi finalizate. De exemplu, acest instrument va raporta în mod fals că Windows Update nu este activat pe Windows 10. Un alt dezavantaj al acestui produs este acela că nu va detecta vulnerabilități non-Microsoft sau vulnerabilități complexe. Acest instrument este simplu de utilizat și își face treaba bine. S-ar putea foarte bine să fie instrumentul perfect pentru o organizație mai mică, cu doar câteva computere Windows.
3. Sistem deschis de evaluare a vulnerabilității (OpenVAS)
Următorul nostru instrument se numește Vulnerabilitate deschisăSistem de evaluare sau OpenVAS. Este un cadru al mai multor servicii și instrumente. Toate se combină pentru a-l face un instrument cuprinzător și puternic de scanare a vulnerabilităților. Cadrul din spatele OpenVAS face parte din soluția de gestionare a vulnerabilităților Greenbone Networks din care elemente au contribuit la comunitate de aproximativ zece ani. Sistemul este complet gratuit și majoritatea componentelor sale sunt open-source, deși unele nu sunt. Scanerul OpenVAS vine cu peste cincizeci de mii de teste de vulnerabilitate în rețea, care sunt actualizate în mod regulat.
OpenVAS are două componente principale. Prima componentă este scanerul OpenVAS. După cum îi spune și numele, este responsabil pentru scanarea propriu-zisă a computerelor-țintă. A doua componentă este managerul OpenVAS, care se ocupă de orice alt lucru, cum ar fi controlul scanerului, consolidarea rezultatelor și stocarea lor într-o bază de date SQL centrală. Sistemul include atât interfețe de utilizator bazate pe browser și linie de comandă. O altă componentă a sistemului este baza de date Test de vulnerabilitate a rețelei. Această bază de date poate primi actualizări fie din Feed-ul comunitar Greenborne gratuit, fie din Feed-ul de securitate Greenborne plătit.
4. Comunitatea Retina Retea
Retina Network Community este versiunea gratuită aRetina Network Security Scanner de la AboveTrust, care este unul dintre cele mai cunoscute scanere de vulnerabilitate. Acest scaner complet de vulnerabilitate este dotat cu funcții. Instrumentul poate efectua o evaluare completă a vulnerabilității a patch-urilor lipsă, a vulnerabilităților din ziua zero și a configurațiilor nesigure. De asemenea, se mândrește cu profiluri de utilizator aliniate funcțiilor de lucru, simplificând astfel funcționarea sistemului. Acest produs are o GUI intuitivă în stil metrou care permite o funcționare simplificată a sistemului.
Comunitatea Retina Network folosește același lucrubaza de date de vulnerabilitate ca fratele său plătit. Este o bază de date extinsă cu vulnerabilități de rețea, probleme de configurare și patch-uri lipsă, care este actualizată automat și acoperă o gamă largă de sisteme de operare, dispozitive, aplicații și medii virtuale. Deși pe acest subiect, acest produs acceptă pe deplin mediile VMware și include scanarea virtuală online și offline a imaginilor, scanarea aplicațiilor virtuale și integrarea cu vCenter.
Există totuși un dezavantaj major al retineiComunitate de rețea. Instrumentul este limitat la scanarea a 256 de adrese IP. S-ar putea să nu arate foarte mult dacă gestionați o rețea mare, dar ar putea fi mai mult decât suficient pentru multe organizații mai mici. Dacă mediul dvs. este mai mare decât atât, tot ce am spus despre acest produs este valabil și pentru fratele său mai mare, Retina Network Security Scanner, care este disponibil în ediții Standard și nelimitate. Fiecare ediție are același set de caracteristici extinse în comparație cu scanerul comunității Retina Network.
5. Nexpose Community Edition
S-ar putea să nu fie la fel de popular ca Retina, darNexpose de la Rapid7 este un alt cunoscut scaner de vulnerabilitate. Și ediția comunitară Nexpose este o versiune ușor redusă a scannerului de vulnerabilitate complet Rapid7. Cu toate acestea, limitările produsului sunt importante. De exemplu, puteți utiliza produsul pentru a scana maximum 32 de adrese IP. Aceasta face o opțiune bună doar pentru cea mai mică dintre rețele. Mai mult, produsul poate fi utilizat doar un an. Dacă puteți trăi cu produsul, este excelent.
Nexpose Community Edition va rula pe fizicmașini care rulează fie Windows, fie Linux. De asemenea, este disponibil ca un aparat virtual. Capabilitățile sale extinse de scanare vor gestiona rețele, sisteme de operare, aplicații web, baze de date și medii virtuale. Nexpose Community Edition utilizează securitate adaptivă care poate detecta și evalua automat dispozitivele noi și vulnerabilitățile noi în momentul în care acestea accesează rețeaua dvs. Această caracteristică funcționează împreună cu conexiunile dinamice la VMware și AWS. Acest instrument se integrează, de asemenea, cu proiectul de cercetare Sonar pentru a oferi o monitorizare reală în direct. Nexpose Community Edition oferă o scanare integrată a politicilor pentru a ajuta la respectarea standardelor populare precum CIS și NIST. Și nu în ultimul rând, rapoartele intuitive de remediere ale instrumentului vă oferă instrucțiuni pas cu pas cu privire la acțiunile de remediere.
Comentarii