Du skulle inte vilja att ditt nätverk ska bli detmål för skadliga användare som försöker stjäla dina data eller orsaka skada på din organisation. Men hur kan du säkerställa att det finns så lite sätt som möjligt för dem att komma in? Genom att se till att varje sårbarhet i ditt nätverk är känt, adresserat och fixat eller att någon åtgärd finns för att mildra det. Och det första steget i att uppnå det är att skanna ditt nätverk efter dessa sårbarheter. Detta är jobbet för en specifik typ av mjukvaruverktyg och idag är vi glada att ge dig våra topp 6 bästa gratis nätverkssårbarhetsskannrar.
Vi börjar dagens diskussion med att prataom nätverkssårbarhet - eller kanske sårbarheter - försöker förklara vad de är. Därefter diskuterar vi sårbarhetsskannrar i allmänhet. Vi får se vem som behöver dem och varför. Eftersom en sårbarhetsskanner bara fungerar som en del av en sårbarhetshanteringsprocess, är det här vi kommer att diskutera nästa. Sedan studerar vi hur sårbarhetsskannrar vanligtvis fungerar. De är alla olika men i deras kärna finns det oftast fler likheter än skillnader. Och innan vi avslöjar vad de bästa gratis sårbarhetsskannrarna är, säger vi vad du ska leta efter i dem.
Sårbarhet 101
Datorsystem och nätverk är mer komplexaän någonsin. Det är inte ovanligt att en typisk server kör hundratals processer. Var och en av dessa processer är ett program, några av dem är stora program som innehåller tusentals kodrader. Och inom den här koden kan det finnas alla möjliga oväntade saker. En programmerare kan vid ett tillfälle ha lagt till någon bakdörrfunktion för att underlätta felsökning och den här funktionen kan ha gjort felaktigt till den slutliga versionen. Det kan finnas några fel i ingångsvalideringen som kan orsaka oväntade - och oönskade - resultat under vissa specifika omständigheter.
Var och en av dessa är ett hål och det finns mångamänniskor där ute som inte har något bättre att göra än att hitta dessa hål och använda dem för att attackera dina system. Sårbarheter är vad vi kallar dessa hål. Och om de lämnas obevakade kan de användas av skadliga användare för att få tillgång till dina system och data - eller ännu värre, din klients data - eller för att på annat sätt orsaka skador som att göra dina system oanvändbara.
Sårbarheter kan vara överallt i ditt nätverk. De finns ofta på programvara som körs på dina servrar eller deras operativsystem, men de är också vanliga i nätverksutrustning som switchar, routrar och till och med säkerhetsapparater som brandväggar.
Säkerhetsskannrar för nätverk - vad de är och hur de fungerar
Sårbarhetsskannrar eller sårbarhetutvärderingsverktyg som de ofta kallas är mjukvaruverktyg vars enda syfte är att identifiera sårbarheter i dina system, enheter, utrustning och programvara. Vi kallar dem skannrar eftersom de vanligtvis skannar din utrustning för att leta efter specifika sårbarheter.
Men hur hittar de dessa sårbarheter? När allt kommer omkring är de vanligtvis inte där i synen, annars skulle utvecklaren ha adresserat dem. Något liknande virusskyddsprogramvara som använder virusdefinitionsdatabaser för att känna igen datavirus mest sårbarhetsskannrar förlitar sig på sårbarhetsdatabaser och skanningssystem för specifika sårbarheter. Dessa sårbarhetsdatabaser kan antingen hämtas från välkända laboratorier för säkerhetstester som är avsedda för att hitta sårbarheter i programvara och hårdvara eller de kan vara egna databaser. Detekteringsnivån du får är lika bra som sårbarhetsdatabasen som ditt verktyg använder.
Nätverkssårbarhetsskannrar - Vem behöver dem?
Det snabba och enkla svaret på denna fråga är enkelt: Du do! Nej egentligen, alla behöver dem. Precis som ingen i hans rätta sinne skulle tänka på att köra en dator utan visst virusskydd, borde ingen nätverksadministratör vara utan åtminstone något sårbarhetsdetekteringsschema.
Naturligtvis är detta möjligen något som kangörs teoretiskt manuellt men praktiskt sett är detta ett omöjligt jobb. Det kräver enorm tid och mänskliga resurser. Vissa organisationer ägnar sig åt att hitta sårbarheter och de sysselsätter ofta hundratals människor om inte tusentals.
Faktum är att om du hanterar ett antaldatorsystem eller enheter, du behöver förmodligen en sårbarhetsskanner. Att följa regleringsstandarder som SOX eller PCI-DSS kräver ofta att du gör det. Och även om de inte kräver det kommer efterlevnad att vara lättare att visa om du kan visa att du skannar ditt nätverk efter sårbarheter.
Ett ord om sårbarhetshantering
Det är en sak att upptäcka sårbarheter mednågot slags programverktyg men det är lite värdelöst om det inte ingår i en holistisk sårbarhetshanteringsprocess. Precis som Intrusion Detection-system inte är Intrusion Prevention Systems Network sårbarhetsskannrar - eller åtminstone den stora majoriteten av dem - kommer bara att upptäcka sårbarheter och peka dem till dig.
Det är upp till dig att ha någon process på plats att görareagera på dessa upptäckta sårbarheter. Det första som bör göras är att utvärdera dem. Tanken här är att se till att upptäckta sårbarheter är verkliga. Tillverkare av sårbarhetsskannrar föredrar ofta fel på sidan av försiktighet och många av deras verktyg kommer att rapportera ett visst antal falska positiver.
Nästa steg i sårbarhetshanteringenprocessen är att bestämma hur du vill adressera och fixa verkliga sårbarheter. Om de hittades i en mjukvara som din organisation knappt använder - eller inte använder alls - kan din bästa åtgärd vara att ta bort och ersätta den med en annan programvara som erbjuder liknande funktioner. I många fall är det lika enkelt att fixa sårbarheter som att applicera någon patch från programvaruförlagaren eller uppgradera till den senaste versionen. Ibland kan de också fixas genom att ändra vissa konfigurationsinställningar.
Vad man ska leta efter i nätverkssårbarhetsskannrar
Låt oss titta på några av de viktigastesaker att tänka på när du utvärderar nätverkssårbarhetsskannrar. Först och främst är det utbud av enheter som verktyget kan skanna. Detta måste matcha din miljö så nära som möjligt. Om till exempel din miljö har många Linux-servrar bör du välja ett verktyg som skannar dessa. Din skanner bör också vara så exakt som möjligt i din miljö för att inte drunkna dig i värdelösa meddelanden och falska positiver.
En annan viktig faktor att överväga detverktygets sårbarhetsdatabas. Uppdateras den regelbundet? Lagras det lokalt eller i molnet? Måste du betala ytterligare avgifter för att uppdatera sårbarhetsdatabasen? Det här är allt du vill veta innan du väljer ditt verktyg.
Inte alla skannrar skapas lika, vissa kommer att användaen mer påträngande skanningsmetod än andra och kan potentiellt påverka systemets prestanda. Detta är inte en dålig sak, eftersom de mest påträngande ofta är de bästa skannrarna, men om de påverkar systemets prestanda, vill du veta om det och planera skanningarna i enlighet därmed. Och när vi talar om schemaläggning är detta en annan viktig aspekt av nätverkssårbarhetsskannrar. Har verktyget du överväger till och med planerade skanningar? Vissa verktyg måste startas manuellt.
Den sista viktiga aspekten av nätverketsårbarhetsskannrar är deras varning och rapportering. Vad händer när de upptäcker en sårbarhet? Är meddelandet tydligt och lätt att förstå? Ger verktyget lite insikt om hur man fixar hittade sårbarheter? Vissa verktyg har till och med automatiserad sanering av vissa sårbarheter. Andra integreras med programvara för patchhantering. När det gäller rapportering är detta ofta en fråga om personlig preferens, men du måste se till att den information du förväntar dig att hitta i rapporterna faktiskt finns där. Vissa verktyg har bara fördefinierade rapporter, andra låter dig ändra dem och andra låter dig skapa nya från början.
Våra Topp 6 De bästa nätverkssårbarhetsskannrarna
Nu när vi vet vad vi ska leta efter ilåt oss titta på några av de bästa eller mest intressanta paketen vi kunde hitta. Alla utom en av dem är gratis och den betalade har en gratis provperiod tillgänglig.
1. SolarWinds Network Configuration Manager (GRATIS prövning)
Vår första post i en intressant bit avprogramvara från SolarWinds som heter Network Configuration Manager. Detta är dock varken ett gratis verktyg eller är det heller en nätverkssårbarhetsskanner. Så du kanske undrar vad det gör i den här listan. Det finns ett huvudskäl till dess inkludering: verktyget adresserar en specifik typ av sårbarhet som inte många andra verktyg gör och att det är felkonfiguration av nätverksutrustning.
GRATIS PRÖVNING: SolarWinds Network Configuration Manager
Detta verktygs primära syfte som en sårbarhetskannern validerar nätverksutrustning för konfigurationsfel och utelämnanden. Det kommer också att regelbundet kontrollera enhetskonfigurationer för ändringar. Detta kan vara användbart eftersom vissa attacker startas genom att ändra någon enhetskonfiguration på ett sätt som kan underlätta åtkomst till andra system. Network Configuration Manager kan också hjälpa dig med nätverksöverensstämmelse med de automatiserade nätverkskonfigurationsverktygen som kan distribuera standardiserade konfigurationer, upptäcka förändrade processer, revisionskonfigurationer och till och med korrigera kränkningar.
Programvaran integreras med NationalSårbarhetsdatabas och har tillgång till de senaste CVE: erna för att identifiera sårbarheter i dina Cisco-enheter. Det fungerar med alla Cisco-enheter som kör ASA, IOS eller Nexus OS. I själva verket är två användbara verktyg, Network Insights för ASA och Network Insights for Nexus, inbyggda i produkten.
Prissättning för SolarWinds nätverkskonfigurationManager börjar på 2 895 $ och varierar beroende på antalet noder. Om du vill prova det här verktyget kan du ladda ner en gratis 30-dagars provversion från SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Vår andra post är ett äldre verktyg från Microsoftkallas Baseline Security Analyzer eller MBSA. Detta verktyg är ett mindre än idealiskt alternativ för större organisationer, men det kan vara OK för små företag med bara ett fåtal servrar. Med tanke på dess Microsoft-ursprung, förväntar dig dock inte att detta verktyg ska titta på något annat än Microsoft-produkter. Det skannar basbaserade Windows-operativsystem samt vissa tjänster som Windows Firewall, SQL-server, IIS och Microsoft Office-applikationer.
Verktyget skannar inte efter specifiktsårbarheter som riktiga sårbarhetsskannrar gör men det kommer att leta efter saknade korrigeringsfiler, servicepaket och säkerhetsuppdateringar samt skanningssystem för administrativa problem. Med MBSA: s rapporteringsmotor får du en lista över saknade uppdateringar och felkonfigurationer
MBSA är ett gammalt verktyg från Microsoft. Så gammal att den inte är helt kompatibel med Windows 10. Version 2.3 kommer att fungera med den senaste versionen av Windows men kommer att kräva några justeringar för att rensa upp falska positiver och fixa kontroller som inte kan slutföras. Till exempel kommer MBSA falskt att rapportera att Windows Update inte är aktiverat i den senaste Windows-versionen. En annan nackdel är att MBSA inte kommer att upptäcka sårbarheter som inte är Microsoft eller komplexa sårbarheter. Ändå är detta verktyg enkelt att använda och gör sitt jobb bra och det kan vara det perfekta verktyget för en mindre organisation med bara Windows-datorer.
3. System för öppet sårbarhetsbedömning (OpenVAS)
Systemet för bedömning av öppet sårbarhet, ellerOpenVAS, är ett ramverk för många tjänster och verktyg som kombineras för att erbjuda ett omfattande och kraftfullt skannings- och hanteringssystem för sårbarheter. Ramverket bakom OpenVAS är en del av Greenbone Networks lösning för sårbarhetshantering från vilken utvecklingen har bidragit till samhället i cirka tio år. Systemet är helt gratis och de flesta av dess komponenter är öppen källkod, även om vissa är egenutvecklade. OpenVAS-skannern levereras med över femtiotusen nätverkssäkerhetsprov som uppdateras regelbundet.
OpenVAS har två huvudkomponenter, OpenVASskanner, som ansvarar för den faktiska skanningen av måldatorer och OpenVAS-hanteraren, som styr skannern, konsoliderar resultaten och lagrar dem i en central SQL-databas tillsammans med systemkonfigurationen. Andra komponenter inkluderar webbläsarbaserade och kommandoradsanvändargränssnitt. En ytterligare komponent i systemet är databasen Network Vulnerability Tests. Denna databas uppdateras från antingen Greenborne Community Feed eller Greenborne Security Feed. Den senare är en betald prenumerationsserver medan communityflödet är gratis.
4. Retina Network Community
Thre Retina Network Community är den gratis versionenav Retina Network Security Scanner från AboveTrust, en av de mest kända sårbarhetsskannrarna. Det är en omfattande sårbarhetsskanner med många funktioner. Verktyget kan utföra en gratis sårbarhetsbedömning av saknade korrigeringar, nolldagars sårbarheter och icke-säkra konfigurationer. Användarprofiler i linje med jobbfunktioner förenklar systemets drift. Dess metrostil intuitiva användargränssnitt möjliggör en strömlinjeformad drift av systemet.
Retina Network Community använder näthinnanskannerdatabas, en omfattande databas med nätverkssårbarheter, konfigurationsproblem och saknade korrigeringsfiler. Den uppdateras automatiskt och täcker ett brett utbud av operativsystem, enheter, applikationer och virtuella miljöer. Med prat om virtuella miljöer stöder produkten fullständigt VMware-miljöer och inkluderar online och offline virtuell bildskanning, virtuell applikationsskanning och integration med vCenter.
Netthinnans huvudbegränsningGemenskapen är att det är begränsat till att skanna 256 IP-adresser. Även om detta inte är mycket, räcker det mer än för flera mindre organisationer. Om din miljö är större än så kan du välja Retina Network Security Scanner, tillgänglig i standard- och obegränsade utgåvor. Båda utgåvorna har en utökad funktionsuppsättning jämfört med Retina Network Community-skannern.
5. Nexpose Community Edition
Nexpose från Rapid7 är en annan välkändsårbarhetsskanner men kanske mindre än näthinnan. Nexpose Community Edition är en begränsad version av Rapid7s omfattande sårbarhetsskanner. Begränsningarna är viktiga. Först och främst kan du bara använda produkten för att skanna högst 32 IP-adresser. Detta gör det till ett bra alternativ endast för de minsta nätverken. Produkten kan dessutom bara användas i ett år. Förutom dessa begränsningar är detta en utmärkt produkt.
Nexpose kan köras på fysiska maskiner som körsantingen Windows eller Linux. Det finns också som en VM-apparat. Produktens omfattande skanningsfunktioner kommer att hantera nätverk, operativsystem, webbapplikationer, databaser och virtuella miljöer. Nexpose använder vad den kallar Adaptive Security som automatiskt kan upptäcka och utvärdera nya enheter och nya sårbarheter i det ögonblick de kommer åt ditt nätverk. Detta kombineras med dynamiska anslutningar till VMware och AWS och integration med Sonar-forskningsprojektet för att ge verklig liveövervakning. Nexpose tillhandahåller integrerad policyscanning för att hjälpa till att följa populära standarder som CIS och NIST. Verktygets intuitiva saneringsrapporter ger steg-för-steg-instruktioner om åtgärder för att snabbt förbättra efterlevnaden.
6. SecureCheq
Vår sista post är en produkt från Tripwire,ett annat hushållsnamn inom IT-säkerhet. Dess SecureCheq-programvara marknadsförs som en gratis Microsoft Windows-konfigurationssäkerhetschecker för stationära datorer och servrar. Verktyget utför lokala skanningar på Windows-datorer och identifierar osäkra Windows-avancerade inställningar som definieras av CIS-, ISO- eller COBIT-standarder. Det kommer att söka cirka två dussin vanliga konfigurationsfel relaterade till säkerhet.
Detta är ett enkelt verktyg som är lätt att använda. Du kör den helt enkelt på den lokala maskinen och den visar alla de kontrollerade inställningarna med en pass- eller misslyckningsstatus. Om du klickar på någon av de listade inställningarna visas en sammanfattning av sårbarheten med referenser till hur du åtgärdar det. Rapporten kan skrivas ut eller sparas som en OVAL XML-fil.
Även om SecureCheq söker efter några avanceradekonfigurationsinställningar, det saknar många av de mer allmänna sårbarheterna och hoten. Det bästa sättet är att använda det i kombination med ett mer grundläggande verktyg som Microsoft Baseline Security Analyzer som granskats ovan.
kommentarer