Ingen vill ha det nätverk de lyckas blimålet för skadliga användare som försöker stjäla företagsdata eller orsaka skador på organisationen. För att förhindra det måste du hitta sätt att se till att det finns så få sätt som möjligt för dem att komma in. Och detta uppnås delvis genom att se till att varje sårbarhet i ditt nätverk är känt, adresserat och fixat. Och för de sårbarheter som inte kan åtgärdas, är det något på plats för att mildra dem. Det första steget är uppenbart; det är att skanna ditt nätverk efter dessa sårbarheter. Detta är jobbet för en specifik typ av programvara som kallas verktyg för skanningssökning. Idag granskar vi de 6 bästa verktygen och programvaran för avsökning av sårbarhet.
Låt oss börja med att prata om nätverksårbarhet - eller ska vi säga sårbarheter - och försöka förklara vad de är. Vi diskuterar nästa skanningsverktyg för sårbarhet. Vi beskriver vem som behöver dem och varför. Och eftersom en sårbarhetsskanner bara är en komponent i en sårbarhetshanteringsprocess - om än en viktig - så kommer det här att prata om. Sedan ser vi hur sårbarhetsskannrar vanligtvis fungerar. Alla är något annorlunda men i deras kärna finns det ofta fler likheter än skillnader. Och innan vi granskar de bästa sårbarhetsskanningsverktygen och programvaran kommer vi att diskutera deras huvudfunktioner.
En introduktion till sårbarhet
Datorsystem och nätverk har nått enhögre komplexitet än någonsin. Dagens genomsnittliga server kan vanligtvis köra hundratals processer. Var och en av dessa processer är ett datorprogram, några av dem är stora program som består av tusentals rader med källkod. Och inom den här koden kan det finnas - det finns förmodligen - alla slags oväntade saker. En utvecklare kan vid ett tillfälle ha lagt till en funktion i bakdörren för att underlätta felsökning. Och senare kan den här funktionen felaktigt ha kommit till slutversionen. Det kan också finnas några fel i ingångsvalideringen som kan orsaka oväntade - och oönskade - resultat under vissa specifika omständigheter.
Vilken som helst av dessa kan användas för att försöka få tillgång tillsystem och data. Det finns en enorm gemenskap av människor där ute som inte har något bättre att göra än att hitta dessa hål och utnyttja dem för att attackera dina system. Sårbarheter är vad vi kallar dessa hål. Om det lämnas obevakat kan sårbarheter användas av skadliga användare för att få tillgång till dina system och data - eller eventuellt värre, din klients data - eller för att på annat sätt orsaka skada som att göra dina system oanvändbara.
Sårbarheter kan vara överallt. De finns ofta i mjukvara som körs på dina servrar eller deras operativsystem men de finns också i nätverksutrustning som switchar, routrar och till och med säkerhetsapparater som brandväggar. Man måste verkligen leta efter dem överallt.
Skannverktyg - Vad är de och hur fungerar de
Sårbarhetssökning - eller utvärdering - har verktygen primär funktion: identifiera sårbarheter i dina system, enheter, utrustning och programvara. De kallas skannrar eftersom de vanligtvis skannar din utrustning för att leta efter kända sårbarheter.
Men hur hittar du skanningsverktyg för sårbarhetsårbarheter som vanligtvis inte finns där i synen? Om de var så uppenbara skulle utvecklare ha adresserat dem innan de släppte programvaran. Snälla om gillar virusskyddsprogramvara som använder virusdefinitionsdatabaser för att känna igen datorvirussignaturer, är de flesta sårbarhetsskannrar beroende av sårbarhetsdatabaser och skanningssystem för specifika sårbarheter. Dessa sårbarhetsdatabaser kan erhållas från kända oberoende laboratorier för säkerhetstest som är avsedda för att hitta sårbarheter i programvara och hårdvara, eller de kan vara egna databaser från verktygets leverantör. Som du förväntar dig är nivån för upptäckt du bara lika bra som sårbarhetsdatabasen som ditt verktyg använder.
Skannverktyg - Vem behöver dem?
Svaret med ett ord på den frågan är vackertuppenbar: vem som helst! Ingen i hans rätt sinne skulle tänka på att köra en dator utan något virusskydd i dag. På samma sätt bör ingen nätverksadministratör vara utan åtminstone någon form av sårbarhetsdetektering. Attacker kan komma var som helst och slå dig där du minst förväntar dig dem. Du måste vara medveten om din risk för exponering.
Detta är möjligen något som kan varateoretiskt gjort manuellt. Men praktiskt taget är detta ett nästan omöjligt jobb. Att bara hitta information om sårbarheter, än mindre skanna dina system efter deras närvaro, kan ta enorma resurser. Vissa organisationer ägnar sig åt att hitta sårbarheter och de använder ofta hundratals om inte tusentals människor.
Alla som hanterar ett antal datorsystem ellerenheter skulle ha stor nytta av att använda ett sårbarhetsskanningsverktyg. Att följa regleringsstandarder som SOX eller PCI-DSS kräver dessutom ofta att du gör det. Och även om de inte behöver det, kommer efterlevnad ofta lättare att visa om du kan visa att du skannar ditt nätverk efter sårbarheter.
Sårbarhetshantering i ett nötskal
Upptäck sårbarheter med någon form avmjukvaruverktyg är viktigt. Det är det första steget i att skydda mot attacker. Men det är lite värdelöst om det inte ingår i en fullständig sårbarhetshanteringsprocess. Intrusionsdetekteringssystem är inte Intrusion Prevention Systems och på samma sätt kommer nätverkssårbarhetsskanningsverktyg - eller åtminstone majoriteten av dem - bara att upptäcka sårbarheter och varna dig om deras närvaro.
Det är då upp till dig, administratören, att hanågon process på plats för att hantera upptäckta sårbarheter. Det första du ska göra vid upptäckten är att utvärdera sårbarheter. Du vill se till att upptäckta sårbarheter är verkliga. Sårbarhetsskanningsverktyg tenderar att föredra att göra fel på sidan av försiktighet och många kommer att rapportera ett visst antal falska positiver. Och om de med verkliga sårbarheter kanske de inte är ett verkligt problem. Till exempel kan en oanvänd IP-port på en server inte vara ett problem om den sitter precis bakom en brandvägg som blockerar den porten.
När sårbarheterna har utvärderats är det dags attbesluta hur man ska adressera och fixa dem. Om de hittades i en programvara som din organisation knappt använder - eller inte använder alls - kan din bästa åtgärd vara att ta bort den sårbara programvaran och ersätta den med en annan som erbjuder liknande funktioner. I andra fall är det lika enkelt att fixa sårbarheter som att använda en patch från programvaruförlagaren eller uppgradera till den senaste versionen. Många skanningsverktyg för sårbarhet identifierar tillgängliga korrigeringar för de sårbarheter som hittas. Andra sårbarheter kan åtgärdas helt enkelt genom att ändra någon konfigurationsinställning. Detta gäller särskilt nätverksutrustning men det händer också med programvara som körs på datorer.
Huvudfunktioner i sårbarhetsskanningsverktyg
Det är många saker man bör tänka på närvälja ett sårbarhetsskanningsverktyg. En av de viktigaste aspekterna av dessa verktyg är utbudet av enheter som de kan skanna. Du vill ha ett verktyg som kan skanna all utrustning du äger. Om du till exempel har många Linus-servrar vill du välja ett verktyg som kan skanna dem, inte en som bara hanterar Windows-enheter. Du vill också välja en skanner som är så exakt som möjligt i din miljö. Du skulle inte vilja drunkna i värdelösa meddelanden och falska positiver.
En annan viktig differentierande faktor ärverktygets sårbarhetsdatabas. Underhålls det av säljaren eller kommer det från en oberoende organisation? Hur regelbundet uppdateras det? Lagras det lokalt eller i molnet? Måste du betala ytterligare avgifter för att använda sårbarhetsdatabasen eller för att få uppdateringar? Det här är allt du vill veta innan du väljer ditt verktyg.
Vissa sårbarhetsskannrar använder en merpåträngande skanningsmetod som potentiellt kan påverka systemets prestanda. Detta är inte nödvändigtvis en dålig sak, eftersom de mest påträngande ofta är de bästa skannrarna, men om de påverkar systemets prestanda, vill du veta om det och schemalägga dina skanningar i enlighet därmed. Förresten, schemaläggning är en annan viktig aspekt av skanningsverktygen för nätverkssårbarhet. Vissa verktyg har inte ens schemalagda skanningar och behöver startas manuellt.
Det finns minst två andra viktiga funktionerav sårbarhetsskanningsverktyg: varning och rapportering. Vad händer när en sårbarhet hittas? Är meddelandet tydligt och lätt att förstå? Hur görs det? Är det en popup-skärm, ett e-postmeddelande, ett textmeddelande? Och ännu viktigare, ger verktyget viss insikt om hur man löser sårbarheterna som det identifierar? Vissa verktyg gör och andra inte. Vissa har till och med automatiserad sanering av vissa sårbarheter. Andra verktyg kommer att integreras med programvara för patchhantering eftersom patchning ofta är det bästa sättet att fixa sårbarheter.
När det gäller rapportering handlar det ofta ompersonlig preferens. Du måste dock se till att den information du förväntar dig och behöver hitta i rapporterna faktiskt kommer att finnas där. Vissa verktyg har bara fördefinierade rapporter, andra låter dig ändra inbyggda rapporter. Och de bästa - åtminstone ur rapporteringssynpunkt - låter dig skapa anpassade rapporter från början.
Våra 6 bästa skanningsverktyg för sårbarhet
Nu när vi har lärt oss lite mer omskanningsverktyg för sårbarhet, låt oss granska några av de bästa eller mest intressanta paketen vi kunde hitta. Vi har försökt ta med en blandning av betalda och gratis verktyg. Det finns också verktyg som finns tillgängliga i en gratis och en betald version.
1. SolarWinds Network Configuration Manager (GRATIS PRÖVNING)
Om du inte redan känner till SolarWinds, theFöretaget har gjort några av de bästa nätverksadministrationsverktygen i cirka 20 år. Bland de bästa verktygen har SolarWinds Network Performance Monitor konsekvent fått hög beröm och bra recensioner som ett av de bästa SNMP-nätverksbandbreddövervakningsverktyget. Företaget är också något känt för sina gratisverktyg. Dessa är mindre verktyg utformade för att hantera en specifik uppgift för nätverkshantering. Bland de mest kända av dessa gratisverktyg är en undernätkalkylator och en TFTP-server.
Verktyget vi vill introducera här är ett verktyg som kallas SolarWinds Network Configuration Manager. Detta är dock inte riktigt en sårbarhetskanningsverktyg. Men det finns två specifika skäl till varför vi beslutade att ta med detta verktyg på vår lista. Produkten har en sårbarhetsbedömningsfunktion och den adresserar en specifik typ av sårbarhet, en som är viktig men som inte många andra verktyg adresserar, felkonfiguration av nätverksutrustning.
SolarWinds Network Configuration Managerprimärverktyget som ett sårbarhetsskanningsverktyg är i valideringen av nätverksutrustningskonfigurationer för fel och utelämningar. Verktyget kan också regelbundet kontrollera enhetskonfigurationer för ändringar. Detta är också användbart eftersom vissa attacker startas genom att modifiera vissa enhetsnätverkskonfiguration - som ofta inte är lika säkra som servrar - på ett sätt som kan underlätta åtkomst till andra system. Verktyget kan också hjälpa dig med standarder eller lagstiftningens överensstämmelse med dess automatiserade nätverkskonfigurationsverktyg som kan distribuera standardiserade konfigurationer, upptäcka förändrade processer, revisionskonfigurationer och till och med korrigera kränkningar.
Programvaran integreras med NationalSårbarhetsdatabas som gör att den förtjänar att vara på vår lista ännu mer. Den har tillgång till de senaste CVE: erna för att identifiera sårbarheter i dina Cisco-enheter. Det fungerar med alla Cisco-enheter som kör ASA, IOS eller Nexus OS. I själva verket är två andra användbara verktyg, Network Insights för ASA och Network Insights for Nexus, inbyggda i produkten.
Priser för SolarWinds nätverkskonfigurationManager börjar på $ 2,895 för upp till 50 hanterade noder och varierar beroende på antalet noder. Om du vill prova det här verktyget kan du ladda ner en gratis 30-dagars provversion från SolarWinds.
- GRATIS PRÖVNING: SolarWinds Network Configuration Manager
- Officiell nedladdning: https://www.solarwinds.com/network-configuration-manager
2. Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer ellerMBSA, är ett något äldre verktyg från Microsoft. Trots att det är ett mindre än idealiskt alternativ för stora organisationer, kan verktyget passa bra för mindre företag, de med bara en handfull servrar. Detta är ett Microsoft-verktyg så att du bättre inte förväntar dig att se skanningen utan Microsoft-produkter eller så blir du besviken. Det kommer emellertid att skanna Windows-operativsystemet såväl som vissa tjänster som Windows Firewall, SQL-server, IIS och Microsoft Office-applikationer.
Men det här verktyget skannar inte efter specifiktsårbarheter som andra sårbarhetsskannrar gör. Vad det gör är att leta efter saknade korrigeringsfiler, servicepaket och säkerhetsuppdateringar samt skanningssystem för administrativa problem. Med MBSA: s rapporteringsmotor får du en lista över saknade uppdateringar och felkonfigurationer.
MBSA är inte ett gammalt verktyg från Microsofthelt kompatibelt med Windows 10. Version 2.3 fungerar med den senaste versionen av Windows men kan kräva några justeringar för att rensa upp falska positiver och för att fixa kontroller som inte kan slutföras. Till exempel kommer detta verktyg felaktigt att rapportera att Windows Update inte är aktiverat i Windows 10. En annan nackdel med denna produkt är att det inte kommer att upptäcka sårbarheter som inte är Microsoft eller komplexa sårbarheter. Detta verktyg är enkelt att använda och gör sitt jobb bra. Det kan mycket väl vara det perfekta verktyget för en mindre organisation med bara ett fåtal Windows-datorer.
3. System för bedömning av öppet sårbarhet (OpenVAS)
Vårt nästa verktyg kallas Open VulnerabilityBedömningssystem, eller OpenVAS. Det är ett ramverk för flera tjänster och verktyg. De kombineras alla för att göra det till ett omfattande och kraftfullt skanningsverktyg för sårbarhet. Ramverket bakom OpenVAS är en del av Greenbone Networks 'sårbarhetshanteringslösning från vilken delar har bidragit till samhället i cirka tio år. Systemet är helt gratis och de flesta av dess komponenter är open-source, även om vissa inte är det. OpenVAS-skannern levereras med över femtiotusen nätverkssäkerhetsprov som uppdateras regelbundet.
Det finns två primära komponenter till OpenVAS. Den första komponenten är OpenVAS-skannern. Som namnet antyder är det ansvaret för den faktiska skanningen av måldatorer. Den andra komponenten är OpenVAS-hanteraren som hanterar allt annat som att kontrollera skannern, konsolidera resultaten och lagra dem i en central SQL-databas. Systemet innehåller både webbläsarbaserade och kommandoradsanvändargränssnitt. En annan komponent i systemet är databasen Network Vulnerability Tests. Denna databas kan få sina uppdateringar från antingen det gratis Greenborne Community Feed eller det betalda Greenborne Security Feed.
4. Retina Network Community
Retina Network Community är den gratis versionen avRetina Network Security Scanner från AboveTrust, som är en av de mest kända sårbarhetsskannrarna. Den här omfattande sårbarhetsskannern är full av funktioner. Verktyget kan utföra en grundlig bedömning av sårbarhet av saknade korrigeringar, nolldagars sårbarheter och icke-säkra konfigurationer. Den har också användarprofiler som är anpassade till jobbfunktioner, vilket förenklar systemdrift. Denna produkt har en intuitiv GUI för tunnelbanestil som möjliggör en strömlinjeformad drift av systemet.
Retina Network Community använder samma saksårbarhetsdatabasen som dess betalda syskon. Det är en omfattande databas med nätverkssårbarheter, konfigurationsproblem och saknade korrigeringsfiler som automatiskt uppdateras och täcker ett brett utbud av operativsystem, enheter, applikationer och virtuella miljöer. Även om detta ämne stöder den här produkten fullständigt VMware-miljöer och den inkluderar online och offline virtuell bildskanning, virtuell applikationsskanning och integration med vCenter.
Det finns dock en stor nackdel för näthinnanNätverksgemenskap. Verktyget är begränsat till att skanna 256 IP-adresser. Det här ser kanske inte så mycket ut om du hanterar ett stort nätverk, men det kan vara mer än tillräckligt för många mindre organisationer. Om din miljö är större än så gäller allt vi just sa om den här produkten också för storebror, Retina Network Security Scanner, som finns i standard- och obegränsade utgåvor. Endera versionen har samma utvidgade funktioner som jämfört med Retina Network Community-skannern.
5. Nexpose Community Edition
Det kanske inte är lika populärt som näthinnan menNexpose från Rapid7 är en annan välkänd sårbarhetsskanner. Och Nexpose Community Edition är en något nedskalad version av Rapid7s omfattande sårbarhetsskanner. Produktens begränsningar är dock viktiga. Till exempel kan du bara använda produkten för att skanna högst 32 IP-adresser. Detta gör det till ett bra alternativ endast för de minsta nätverken. Produkten kan dessutom bara användas i ett år. Om du kan leva med produktens är det utmärkt.
Nexpose Community Edition kommer att köras på fysiskmaskiner som kör antingen Windows eller Linux. Det finns också som en virtuell apparat. Dess omfattande skanningsfunktioner kommer att hantera nätverk, operativsystem, webbapplikationer, databaser och virtuella miljöer. Nexpose Community Edition använder anpassningsbar säkerhet som automatiskt kan upptäcka och utvärdera nya enheter och nya sårbarheter i det ögonblick de kommer åt ditt nätverk. Den här funktionen fungerar tillsammans med dynamiska anslutningar till VMware och AWS. Detta verktyg integreras också med Sonar-forskningsprojektet för att tillhandahålla verklig liveövervakning. Nexpose Community Edition tillhandahåller integrerad policyscanning för att hjälpa till att följa populära standarder som CIS och NIST. Och sist men inte minst, verktygets intuitiva saneringsrapporter ger dig steg-för-steg-instruktioner om åtgärdsåtgärder.
kommentarer