Nimeni nu vrea ca rețeaua pe care o reușesc să devină ținta utilizatorilor rău intenționați care încearcă să fure date corporative sau să provoace daune organizației. Pentru a preveni acest lucru, trebuie să găsiți modalități de a vă asigura că există cât mai puține moduri de intrare. Și acest lucru se realizează în parte, asigurându-vă că fiecare vulnerabilitate din rețeaua dvs. este cunoscută, abordată și remediată. Și pentru acele vulnerabilități care nu pot fi remediate, există ceva care să le atenueze. Primul pas este evident; este să vă scanați rețeaua pentru acele vulnerabilități. Aceasta este sarcina unui anumit tip de software numit instrumente de scanare a vulnerabilităților. Astăzi, analizăm cele mai bune 6 instrumente și software de scanare a vulnerabilităților.
Să începem prin a vorbi despre vulnerabilitatea rețelei – sau ar trebui să spunem vulnerabilități – și să încercăm să explicăm care sunt acestea. În continuare vom discuta despre instrumentele de scanare a vulnerabilităților. Vom descrie cine are nevoie de ele și de ce. Și din moment ce un scanner de vulnerabilități este doar o componentă a unui proces de gestionare a vulnerabilităților – deși unul important – despre asta vom vorbi în continuare. Apoi, vom vedea cum funcționează de obicei scanerele de vulnerabilitate. Toate sunt oarecum diferite, dar în esență există adesea mai multe asemănări decât diferențe. Și înainte de a analiza cele mai bune instrumente și software de scanare a vulnerabilităților, vom discuta despre principalele lor caracteristici.
Cuprins
O introducere în vulnerabilitate
Sistemele și rețelele de calculatoare au atins un nivel mai ridicat de complexitate decât oricând. Serverul mediu de astăzi ar putea rula de obicei sute de procese. Fiecare dintre aceste procese este un program de calculator, unele dintre ele sunt programe mari care sunt formate din mii de linii de cod sursă. Și în acest cod, ar putea exista – probabil că există – tot felul de lucruri neașteptate. Este posibil ca, la un moment dat, un dezvoltator să fi adăugat o caracteristică backdoor pentru a ușura depanarea. Și mai târziu, este posibil ca această caracteristică să fi ajuns din greșeală la versiunea finală. Ar putea exista, de asemenea, unele erori în validarea intrărilor care vor cauza rezultate neașteptate și nedorite în anumite circumstanțe specifice.
Oricare dintre acestea poate fi folosit pentru a încerca să obțineți acces la sisteme și date. Există o comunitate imensă de oameni care nu au nimic mai bun de făcut decât să găsească aceste găuri și să le exploateze pentru a vă ataca sistemele. Vulnerabilitățile sunt ceea ce numim aceste găuri. Dacă sunt lăsate nesupravegheate, vulnerabilitățile pot fi folosite de utilizatorii rău intenționați pentru a obține acces la sistemele și datele dumneavoastră – sau, mai rău, la datele clientului dumneavoastră – sau pentru a provoca în alt mod anumite daune, cum ar fi dezactivarea sistemelor dumneavoastră.
Vulnerabilitățile pot fi peste tot. Acestea se găsesc adesea în software-ul care rulează pe serverele dumneavoastră sau pe sistemele lor de operare, dar există și în echipamentele de rețea, cum ar fi comutatoarele, routerele și chiar dispozitivele de securitate, cum ar fi firewall-urile. Chiar trebuie să le cauți peste tot.
Instrumente de scanare — Ce sunt și cum funcționează
Instrumentele de scanare sau evaluare a vulnerabilităților au o funcție principală: identificarea vulnerabilităților în sistemele, dispozitivele, echipamentele și software-ul dvs. Acestea sunt numite scanere, deoarece de obicei vă vor scana echipamentul pentru a căuta vulnerabilități cunoscute.
Dar cum găsesc instrumentele de scanare a vulnerabilităților vulnerabilități care de obicei nu sunt la vedere? Dacă ar fi fost atât de evidente, dezvoltatorii le-ar fi abordat înainte de a lansa software-ul. La fel ca software-ul de protecție împotriva virușilor care utilizează baze de date cu definiții de viruși pentru a recunoaște semnăturile virușilor de computer, majoritatea scanerelor de vulnerabilități se bazează pe baze de date de vulnerabilități și sisteme de scanare pentru vulnerabilități specifice. Aceste baze de date de vulnerabilități pot fi obținute de la laboratoarele independente de testare de securitate bine-cunoscute dedicate găsirii vulnerabilităților în software și hardware sau pot fi baze de date proprietare de la furnizorul instrumentului. După cum v-ați aștepta, nivelul de detectare pe care îl obțineți este la fel de bun ca baza de date de vulnerabilități pe care o folosește instrumentul dvs.
Instrumente de scanare — Cine are nevoie de ele?
Răspunsul dintr-un singur cuvânt la această întrebare este destul de evident: Oricine! Nimeni în mintea lui sănătoasă nu s-ar gândi să ruleze un computer fără o protecție împotriva virusurilor în zilele noastre. De asemenea, niciun administrator de rețea nu ar trebui să fie fără cel puțin o formă de detectare a vulnerabilităților. Atacurile ar putea veni de oriunde și să te lovească acolo unde te aștepți mai puțin. Trebuie să fii conștient de riscul de expunere.
Acesta este, probabil, ceva care ar putea fi făcut teoretic manual. Practic, totuși, aceasta este o muncă aproape imposibilă. Doar găsirea de informații despre vulnerabilități, ca să nu mai vorbim de scanarea sistemelor pentru prezența lor, ar putea necesita o cantitate enormă de resurse. Unele organizații sunt dedicate găsirii vulnerabilităților și adesea angajează sute, dacă nu mii de oameni.
Oricine gestionează un număr de sisteme sau dispozitive computerizate ar beneficia foarte mult de utilizarea unui instrument de scanare a vulnerabilităților. În plus, respectarea standardelor de reglementare, cum ar fi SOX sau PCI-DSS, vă va obliga adesea să faceți acest lucru. Și chiar dacă nu o necesită, conformitatea va fi adesea mai ușor de demonstrat dacă puteți demonstra că vă scanați rețeaua pentru vulnerabilități.
Managementul vulnerabilităților pe scurt
Detectarea vulnerabilităților folosind un fel de instrument software este esențială. Este primul pas în protejarea împotriva atacurilor. Dar este oarecum inutil dacă nu face parte dintr-un proces complet de gestionare a vulnerabilităților. Sistemele de detectare a intruziunilor nu sunt sisteme de prevenire a intruziunilor și, de asemenea, instrumentele de scanare a vulnerabilităților din rețea – sau cel puțin majoritatea dintre ele – vor detecta doar vulnerabilități și vă vor avertiza cu privire la prezența lor.
Apoi depinde de dvs., administratorul, să aveți un proces în vigoare pentru a aborda vulnerabilitățile detectate. Primul lucru de făcut la detectarea lor este evaluarea vulnerabilităților. Vrei să te asiguri că vulnerabilitățile detectate sunt reale. Instrumentele de scanare a vulnerabilităților tind să prefere să greșească din partea precauției și mulți vor raporta un anumit număr de fals pozitive. Și dacă există vulnerabilități adevărate, s-ar putea să nu fie o preocupare reală. De exemplu, un port IP deschis neutilizat pe un server ar putea să nu fie o problemă dacă se află chiar în spatele unui firewall care blochează acel port.
Odată ce vulnerabilitățile sunt evaluate, este timpul să decideți cum să le remediați și să le remediați. Dacă acestea au fost găsite într-un software pe care organizația dumneavoastră abia îl folosește – sau nu îl folosește deloc – cel mai bun curs de acțiune ar putea fi să eliminați software-ul vulnerabil și să îl înlocuiți cu un altul care oferă o funcționalitate similară. În alte cazuri, repararea vulnerabilităților este la fel de ușoară ca aplicarea unui patch de la editorul de software sau upgrade la cea mai recentă versiune. Multe instrumente de scanare a vulnerabilităților vor identifica soluțiile disponibile pentru vulnerabilitățile găsite. Alte vulnerabilități pot fi remediate pur și simplu prin modificarea unor setări de configurare. Acest lucru este valabil mai ales pentru echipamentele de rețea, dar se întâmplă și cu software-ul care rulează pe computere.
Principalele caracteristici ale instrumentelor de scanare a vulnerabilităților
Există multe lucruri pe care trebuie să le luați în considerare atunci când alegeți un instrument de scanare a vulnerabilităților. Unul dintre cele mai importante aspecte ale acestor instrumente este gama de dispozitive pe care le pot scana. Vrei un instrument care să poată scana toate echipamentele pe care le deții. Dacă aveți multe servere Linus, de exemplu, veți dori să alegeți un instrument care le poate scana, nu unul care se ocupă doar de dispozitive Windows. De asemenea, doriți să alegeți un scaner cât mai precis posibil în mediul dvs. Nu ai vrea să te îneci în notificări inutile și false pozitive.
Un alt factor de diferențiere major este baza de date a vulnerabilităților instrumentului. Este întreținut de vânzător sau este de la o organizație independentă? Cât de regulat este actualizat? Este stocat local sau în cloud? Trebuie să plătiți taxe suplimentare pentru a utiliza baza de date de vulnerabilități sau pentru a obține actualizări? Acestea sunt toate lucrurile pe care veți dori să le știți înainte de a vă alege unealta.
Unele scanere de vulnerabilitate vor folosi o metodă de scanare mai intruzivă, care ar putea afecta performanța sistemului. Acest lucru nu este neapărat un lucru rău, deoarece cele mai intruzive sunt adesea cele mai bune scanere, dar dacă acestea afectează performanța sistemului, veți dori să știți despre asta și să vă programați scanările în consecință. Apropo, programarea este un alt aspect important al instrumentelor de scanare a vulnerabilităților rețelei. Unele instrumente nici măcar nu au scanări programate și trebuie lansate manual.
Există cel puțin alte două caracteristici importante ale instrumentelor de scanare a vulnerabilităților: alertarea și raportarea. Ce se întâmplă când se găsește o vulnerabilitate? Este notificarea clară și ușor de înțeles? Cum este redat? Este un pop-up de pe ecran, un e-mail, un mesaj text? Și chiar mai important, oferă instrumentul câteva informații despre cum să remedieze vulnerabilitățile pe care le identifică? Unele instrumente fac și altele nu. Unii au chiar remedierea automată a anumitor vulnerabilități. Alte instrumente se vor integra cu software-ul de gestionare a corecțiilor, deoarece corecția este adesea cea mai bună modalitate de a remedia vulnerabilitățile.
În ceea ce privește raportarea, aceasta este adesea o chestiune de preferință personală. Cu toate acestea, trebuie să vă asigurați că informațiile pe care le așteptați și trebuie să le găsiți în rapoarte vor fi de fapt acolo. Unele instrumente au doar rapoarte predefinite, altele vă vor permite să modificați rapoartele încorporate. Iar cele mai bune — cel puțin din punct de vedere al raportării — vă vor permite să creați rapoarte personalizate de la zero.
Cele mai bune 6 instrumente de scanare a vulnerabilităților
Acum că am aflat ceva mai multe despre instrumentele de scanare a vulnerabilităților, haideți să trecem în revistă unele dintre cele mai bune sau mai interesante pachete pe care le-am putut găsi. Am încercat să includem o combinație de instrumente plătite și gratuite. Există, de asemenea, instrumente care sunt disponibile într-o versiune gratuită și una cu plată.
1. Manager de configurare a rețelei SolarWinds (ÎNCERCARE GRATUITĂ)
În cazul în care nu cunoașteți deja SolarWinds, compania produce unele dintre cele mai bune instrumente de administrare a rețelei de aproximativ 20 de ani. Printre cele mai bune instrumente ale sale, Monitorul de performanță a rețelei SolarWinds a primit în mod constant laude și recenzii elogioase ca fiind unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă a rețelei SNMP. Compania este, de asemenea, oarecum renumită pentru instrumentele sale gratuite. Acestea sunt instrumente mai mici concepute pentru a aborda o sarcină specifică de gestionare a rețelei. Printre cele mai cunoscute dintre aceste instrumente gratuite se numără un calculator de subrețea și un server TFTP.
Instrumentul pe care am dori să-l prezentăm aici este un instrument numit Managerul de configurare a rețelei SolarWinds. Totuși, acesta nu este cu adevărat un instrument de scanare a vulnerabilităților. Dar există două motive specifice pentru care am decis să includem acest instrument pe lista noastră. Produsul are o funcție de evaluare a vulnerabilităților și abordează un anumit tip de vulnerabilitate, una care este importantă, dar pe care nu o abordează multe alte instrumente, configurarea greșită a echipamentelor de rețea.
Utilitarul principal al SolarWinds Network Configuration Manager ca instrument de scanare a vulnerabilităților este validarea configurațiilor echipamentelor de rețea pentru erori și omisiuni. De asemenea, instrumentul poate verifica periodic configurațiile dispozitivului pentru modificări. Acest lucru este, de asemenea, util, deoarece unele atacuri sunt declanșate prin modificarea unei configurații de rețea a dispozitivelor – care de multe ori nu sunt la fel de sigure ca serverele – într-un mod care poate facilita accesul la alte sisteme. Instrumentul vă poate ajuta, de asemenea, cu standardele sau cu respectarea reglementărilor cu instrumentele sale automate de configurare a rețelei, care pot implementa configurații standardizate, pot detecta modificări în afara procesului, configurații de audit și chiar pot corecta încălcările.
Software-ul se integrează cu National Vulnerability Database, ceea ce îl face să merite să fie și mai mult pe lista noastră. Are acces la cele mai recente CVE-uri pentru a identifica vulnerabilitățile din dispozitivele dumneavoastră Cisco. Acesta va funcționa cu orice dispozitiv Cisco care rulează ASA, IOS sau Nexus OS. De fapt, alte două instrumente utile, Network Insights pentru ASA și Network Insights pentru Nexus sunt integrate chiar în produs.
Prețurile pentru SolarWinds Network Configuration Manager încep de la 2.895 USD pentru până la 50 de noduri gestionate și variază în funcție de numărul de noduri. Dacă doriți să încercați acest instrument, o versiune de încercare gratuită de 30 de zile poate fi descărcată de pe SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer, sau MBSA, este un instrument oarecum mai vechi de la Microsoft. În ciuda faptului că este o opțiune mai puțin decât ideală pentru organizațiile mari, instrumentul ar putea fi potrivit pentru întreprinderile mai mici, cele cu doar câteva servere. Acesta este un instrument Microsoft, așa că ar fi bine să nu vă așteptați să vă uitați la scanare, ci produsele Microsoft sau veți fi dezamăgit. Totuși, va scana sistemul de operare Windows, precum și unele servicii, cum ar fi paravanul de protecție Windows, serverul SQL, IIS și aplicațiile Microsoft Office.
Dar acest instrument nu scanează pentru vulnerabilități specifice, așa cum fac alte scanere de vulnerabilități. Ceea ce face este să caute corecțiile, pachetele de service și actualizările de securitate lipsă, precum și sistemele de scanare pentru probleme administrative. Motorul de raportare al MBSA vă va permite să obțineți o listă cu actualizările și configurațiile greșite lipsă.
Fiind un instrument vechi de la Microsoft, MBSA nu este complet compatibil cu Windows 10. Versiunea 2.3 va funcționa cu cea mai recentă versiune de Windows, dar ar putea necesita unele ajustări pentru a curăța elementele false pozitive și pentru a remedia verificările care nu pot fi finalizate. De exemplu, acest instrument va raporta în mod fals că Windows Update nu este activat pe Windows 10. Un alt dezavantaj al acestui produs este că nu va detecta vulnerabilități non-Microsoft sau vulnerabilități complexe. Acest instrument este simplu de utilizat și își face treaba bine. Ar putea fi foarte bine instrumentul perfect pentru o organizație mai mică, cu doar câteva computere Windows.
3. Sistem deschis de evaluare a vulnerabilităților (OpenVAS)
Următorul nostru instrument se numește Open Vulnerability Assessment System sau OpenVAS. Este un cadru de mai multe servicii și instrumente. Toate se combină pentru a face din acesta un instrument cuprinzător și puternic de scanare a vulnerabilităților. Cadrul din spatele OpenVAS face parte din soluția de gestionare a vulnerabilităților Greenbone Networks din care au contribuit comunități de aproximativ zece ani. Sistemul este complet gratuit și majoritatea componentelor sale sunt open-source, deși unele nu sunt. Scanerul OpenVAS vine cu peste cincizeci de mii de teste de vulnerabilitate a rețelei, care sunt actualizate în mod regulat.
Există două componente principale pentru OpenVAS. Prima componentă este scanerul OpenVAS. După cum sugerează și numele, este responsabil pentru scanarea efectivă a computerelor țintă. A doua componentă este managerul OpenVAS care se ocupă de orice altceva, cum ar fi controlul scanerului, consolidarea rezultatelor și stocarea lor într-o bază de date SQL centrală. Sistemul include atât interfețe de utilizator bazate pe browser, cât și interfețe de linie de comandă. O altă componentă a sistemului este baza de date Network Vulnerability Tests. Această bază de date își poate obține actualizările fie din feedul comunității Greenborne gratuit, fie din feedul de securitate plătit Greenborne.
4. Comunitatea Retina Network
Retina Network Community este versiunea gratuită a Retina Network Security Scanner de la AboveTrust, care este unul dintre cele mai cunoscute scanere de vulnerabilități. Acest scaner cuprinzător de vulnerabilități este plin de funcții. Instrumentul poate efectua o evaluare amănunțită a vulnerabilității patch-urilor lipsă, vulnerabilităților zero-day și configurațiilor nesecurizate. De asemenea, se mândrește cu profiluri de utilizator aliniate cu funcțiile jobului, simplificând astfel funcționarea sistemului. Acest produs are o interfață grafică intuitivă în stil metro care permite o funcționare simplificată a sistemului.
Retina Network Community folosește aceeași bază de date de vulnerabilități ca și fratele său plătit. Este o bază de date extinsă cu vulnerabilități de rețea, probleme de configurare și corecții lipsă, care este actualizată automat și acoperă o gamă largă de sisteme de operare, dispozitive, aplicații și medii virtuale. În timp ce se referă la acest subiect, acest produs acceptă pe deplin mediile VMware și include scanarea imaginilor virtuale online și offline, scanarea aplicațiilor virtuale și integrarea cu vCenter.
Există, totuși, un dezavantaj major al comunității Retina Network. Instrumentul este limitat la scanarea a 256 de adrese IP. Acest lucru poate să nu arate prea mult dacă gestionați o rețea mare, dar ar putea fi mai mult decât suficient pentru multe organizații mai mici. Dacă mediul dvs. este mai mare decât atât, tot ceea ce tocmai am spus despre acest produs este valabil și pentru fratele său mai mare, Retina Network Security Scanner, care este disponibil în edițiile Standard și Unlimited. Oricare dintre ediții are același set de caracteristici extinse în comparație cu scanerul Retina Network Community.
5. Nexpose Community Edition
S-ar putea să nu fie la fel de popular ca Retina, dar Nexpose de la Rapid7 este un alt scaner de vulnerabilități bine-cunoscut. Iar Nexpose Community Edition este o versiune ușor redusă a scanerului cuprinzător de vulnerabilități Rapid7. Limitările produsului sunt totuși importante. De exemplu, puteți utiliza produsul doar pentru a scana maximum 32 de adrese IP. Acest lucru îl face o opțiune bună numai pentru cele mai mici rețele. În plus, produsul poate fi folosit doar un an. Dacă poți trăi cu produsul, este excelent.
Nexpose Community Edition va rula pe mașini fizice care rulează fie Windows, fie Linux. Este disponibil și ca un aparat virtual. Capacitățile sale extinse de scanare vor gestiona rețele, sisteme de operare, aplicații web, baze de date și medii virtuale. Nexpose Community Edition folosește securitatea adaptivă care poate detecta și evalua automat noi dispozitive și noi vulnerabilități în momentul în care acestea vă accesează rețeaua. Această caracteristică funcționează împreună cu conexiuni dinamice la VMware și AWS. Acest instrument se integrează și cu proiectul de cercetare Sonar pentru a oferi o monitorizare reală în direct. Nexpose Community Edition oferă scanare integrată a politicilor pentru a ajuta la respectarea standardelor populare precum CIS și NIST. Și nu în ultimul rând, rapoartele intuitive de remediere ale instrumentului vă oferă instrucțiuni pas cu pas despre acțiunile de remediere.