6 найкращих інструментів та програмного забезпечення для сканування уразливостей

| | 0 Comments| 4:26 PM
Categories:

Ніхто не хоче, щоб мережа, якій вони керуються, стала мішенню зловмисників, які намагаються вкрасти корпоративні дані або завдати шкоди організації. Щоб запобігти цьому, вам потрібно знайти способи, щоб було якомога менше шляхів для їх проникнення. І це частково досягається завдяки тому, що кожна вразливість у вашій мережі відома, адресована та виправлена. А для тих вразливостей, які неможливо виправити, потрібно щось пом’якшити. Перший крок очевидний; це сканування вашої мережі на наявність цих уразливостей. Це робота спеціального типу програмного забезпечення, яке називається інструментами сканування вразливостей. Сьогодні ми розглянемо 6 найкращих інструментів і програмного забезпечення для сканування уразливостей.

Давайте почнемо з розмови про вразливості мережі – або варто сказати про вразливості – і спробуємо пояснити, що це таке. Далі ми обговоримо інструменти сканування уразливостей. Ми розповімо, кому вони потрібні і навіщо. А оскільки сканер уразливостей є лише одним компонентом процесу управління вразливістю — хоча й важливим, — саме про це ми й поговоримо далі. Потім ми побачимо, як зазвичай працюють сканери уразливостей. Всі вони дещо відрізняються, але в їх основі часто більше схожості, ніж відмінностей. І перш ніж ми розглянемо найкращі інструменти та програмне забезпечення для сканування уразливостей, ми обговоримо їх основні функції.

Вступ до вразливості

Комп’ютерні системи та мережі досягли більш високого рівня складності, ніж будь-коли. Сьогодні на середньому сервері зазвичай запускаються сотні процесів. Кожен із цих процесів є комп’ютерною програмою, деякі з них є великими програмами, які складаються з тисяч рядків вихідного коду. І в цьому коді можуть бути — мабуть, — всілякі несподівані речі. У якийсь момент розробник може додати якусь функцію бекдора, щоб полегшити налагодження. І пізніше ця функція могла помилково потрапити до остаточного випуску. У перевірці введених даних також можуть бути помилки, які призведуть до несподіваних – і небажаних – результатів за певних обставин.

Будь-яке з них можна використовувати, щоб спробувати отримати доступ до систем і даних. Існує величезна спільнота людей, які не мають нічого кращого, ніж знайти ці діри та використовувати їх для атаки на ваші системи. Уразливість — це те, що ми називаємо цими дірками. Якщо їх залишити без нагляду, зловмисники можуть використовувати вразливі місця для отримання доступу до ваших систем і даних – або, що ще гірше, даних вашого клієнта – або іншим чином завдати певної шкоди, наприклад, зробити вашу систему непридатною для використання.

Уразливості можуть бути скрізь. Вони часто зустрічаються в програмному забезпеченні, запущеному на ваших серверах або їх операційних системах, але вони також існують у мережевому обладнанні, такому як комутатори, маршрутизатори і навіть пристрої безпеки, такі як брандмауери. Їх справді потрібно шукати скрізь.

Інструменти сканування — що це таке і як вони працюють

Інструменти сканування або оцінки вразливостей мають одну основну функцію: виявлення вразливостей у ваших системах, пристроях, обладнанні та програмному забезпеченні. Вони називаються сканерами, тому що вони зазвичай сканують ваше обладнання, щоб знайти відомі вразливості.

Але як інструменти сканування вразливостей знаходять уразливості, яких зазвичай немає на виду? Якби вони були такими очевидними, розробники звернулися б до них перед випуском програмного забезпечення. Як і програмне забезпечення для захисту від вірусів, яке використовує бази даних вірусних визначень для розпізнавання сигнатур комп’ютерних вірусів, більшість сканерів уразливостей покладаються на бази даних уразливостей та системи сканування на наявність певних вразливостей. Ці бази даних про вразливості можна отримати у відомих незалежних лабораторіях тестування безпеки, які займаються пошуком вразливостей у програмному та апаратному забезпеченні, або це можуть бути власні бази даних від постачальника інструменту. Як і слід було очікувати, рівень виявлення, який ви отримуєте, настільки хороший, як і база даних уразливостей, яку використовує ваш інструмент.

Інструменти сканування — кому вони потрібні?

Відповідь з одного слова на це питання досить очевидна: будь-хто! Сьогодні нікому при здоровому розумі не прийде в голову запускати комп’ютер без захисту від вірусів. Так само жоден мережевий адміністратор не повинен мати хоча б певної форми виявлення вразливостей. Атаки можуть надходити звідусіль і вразити вас там, де ви найменше очікуєте. Ви повинні знати про свій ризик зараження.

  6 найкращих інструментів оптимізації WAN, які ми випробували у 2020 році

Це, можливо, те, що теоретично можна було б зробити вручну. Проте, практично, це майже неможлива робота. Просто пошук інформації про вразливості, не кажучи вже про сканування ваших систем на їх наявність, може зайняти величезну кількість ресурсів. Деякі організації займаються пошуком вразливостей, і в них часто працюють сотні, якщо не тисячі людей.

Будь-хто, хто керує кількома комп’ютерними системами або пристроями, мав би велику користь від використання інструменту сканування вразливостей. Крім того, дотримання нормативних стандартів, таких як SOX або PCI-DSS, часто вимагатиме цього. І навіть якщо вони цього не потребують, дотримання вимог часто буде легше продемонструвати, якщо ви зможете показати, що скануєте свою мережу на наявність уразливостей.

Коротко про керування вразливістю

Важливо виявляти вразливості за допомогою певного програмного засобу. Це перший крок у захисті від атак. Але це марно, якщо не є частиною повного процесу управління вразливістю. Системи виявлення вторгнень не є системами запобігання вторгненням, а також інструменти сканування мережевих вразливостей – або принаймні більшість із них – лише виявлять вразливості та попереджатимуть вас про їх наявність.

Тоді вам, адміністратору, належить створити певний процес для усунення виявлених уразливостей. Перше, що потрібно зробити при їх виявленні, це оцінити вразливі місця. Ви хочете переконатися, що виявлені вразливості є реальними. Інструменти сканування вразливостей, як правило, вважають за краще помилятися на стороні обережності, і багато хто повідомляє про певну кількість помилкових результатів. І якщо з справжніми вразливими місцями, вони можуть не викликати справжнього занепокоєння. Наприклад, невикористаний відкритий IP-порт на сервері може не бути проблемою, якщо він знаходиться безпосередньо за брандмауером, який блокує цей порт.

Після оцінки вразливостей настав час вирішити, як їх усунути та виправити. Якщо вони були виявлені в програмному забезпеченні, яке ваша організація майже не використовує або не використовує взагалі, найкращим способом дій може бути видалити вразливе програмне забезпечення та замінити його іншим із подібними функціями. В інших випадках виправити вразливості так само просто, як застосувати якийсь патч від видавця програмного забезпечення або оновити його до останньої версії. Багато інструментів сканування вразливостей виявлять доступні виправлення для знайдених уразливостей. Інші вразливості можна виправити, просто змінивши деякі налаштування конфігурації. Особливо це стосується мережевого обладнання, але це також трапляється з програмним забезпеченням, запущеним на комп’ютерах.

Основні можливості інструментів сканування уразливостей

Вибираючи інструмент сканування уразливостей, слід враховувати багато речей. Одним з найважливіших аспектів цих інструментів є діапазон пристроїв, які вони можуть сканувати. Вам потрібен інструмент, який зможе сканувати все обладнання, яке у вас є. Наприклад, якщо у вас багато серверів Linus, вам потрібно вибрати інструмент, який може їх сканувати, а не той, який обробляє лише пристрої Windows. Ви також хочете вибрати сканер, який максимально точний у вашому середовищі. Ви не хотіли б потонути в марних сповіщеннях і помилкових результатах.

Іншим важливим фактором, що відрізняє цей інструмент, є база даних уразливостей інструменту. Він підтримується постачальником чи є незалежною організацією? Наскільки регулярно він оновлюється? Він зберігається локально чи в хмарі? Чи потрібно сплачувати додаткові збори за використання бази даних про вразливості або отримання оновлень? Це все, що вам потрібно знати, перш ніж вибрати свій інструмент.

Деякі сканери уразливостей використовуватимуть більш настирливий метод сканування, який потенційно може вплинути на продуктивність системи. Це не обов’язково погано, оскільки найнав’язливіші часто є найкращими сканерами, але якщо вони впливають на продуктивність системи, вам захочеться знати про це та відповідно запланувати сканування. До речі, планування є ще одним важливим аспектом інструментів сканування мережевих уразливостей. Деякі інструменти навіть не мають запланованого сканування, і їх потрібно запускати вручну.

Існують принаймні дві інші важливі функції інструментів сканування уразливостей: попередження та звітування. Що станеться, коли буде виявлено вразливість? Чи сповіщення зрозуміле та зрозуміле? Як це подається? Це спливаюче вікно на екрані, електронна пошта, текстове повідомлення? І що ще важливіше, чи дає інструмент деяке уявлення про те, як виправити виявлені вразливості? Деякі інструменти підходять, а деякі ні. Деякі навіть мають автоматичне усунення певних уразливостей. Інші інструменти будуть інтегровані з програмним забезпеченням для керування виправленнями, оскільки виправлення часто є найкращим способом виправлення вразливостей.

  Як користуватися навушниками AirPods та AirPods Pro: повний посібник

Що стосується звітності, то це часто залежить від особистих переваг. Однак ви повинні переконатися, що інформація, яку ви очікуєте та яку потрібно знайти у звітах, дійсно буде там. Деякі інструменти мають лише попередньо визначені звіти, інші дозволяють змінювати вбудовані звіти. А найкращі — принаймні з точки зору звітності — дозволять створювати спеціальні звіти з нуля.

Наші 6 найкращих інструментів сканування уразливостей

Тепер, коли ми дізналися трохи більше про інструменти сканування уразливостей, давайте розглянемо деякі з найкращих або найцікавіших пакетів, які ми могли знайти. Ми намагалися включити поєднання платних і безкоштовних інструментів. Є також інструменти, які доступні у безкоштовній і платній версії.

1. Менеджер конфігурації мережі SolarWinds (БЕЗКОШТОВНА ПРОБНА ОПЕРАЦІЯ)

Якщо ви ще не знаєте SolarWinds, компанія створює одні з найкращих інструментів адміністрування мережі протягом приблизно 20 років. Серед своїх найкращих інструментів, SolarWinds Network Performance Monitor, постійно отримує високу оцінку та захоплені відгуки як один із найкращих інструментів моніторингу пропускної здатності мережі SNMP. Компанія також дещо відома своїми безкоштовними інструментами. Це менші інструменти, призначені для вирішення конкретного завдання керування мережею. Серед найвідоміших із цих безкоштовних інструментів — калькулятор підмережі та сервер TFTP.

Інструментом, який ми хотіли б представити тут, є інструмент під назвою Менеджер конфігурації мережі SolarWinds. Однак це насправді не інструмент сканування уразливостей. Але є дві конкретні причини, чому ми вирішили включити цей інструмент до нашого списку. У продукті є функція оцінки вразливості, і вона вирішує певний тип уразливості, який є важливим, але який не вирішується багатьма іншими інструментами, — неправильна конфігурація мережевого обладнання.

Основна утиліта SolarWinds Network Configuration Manager як інструмент сканування вразливостей полягає в перевірці конфігурацій мережевого обладнання на наявність помилок і пропусків. Інструмент також може періодично перевіряти конфігурації пристрою на наявність змін. Це також корисно, оскільки деякі атаки починаються зі зміни конфігурації мережі деяких пристроїв, які часто не такі безпечні, як сервери, таким чином, щоб полегшити доступ до інших систем. Інструмент також може допомогти вам у дотриманні стандартів або нормативно-правових актів за допомогою своїх автоматизованих інструментів конфігурації мережі, які можуть розгортати стандартизовані конфігурації, виявляти позапроцесні зміни, перевіряти конфігурації та навіть виправляти порушення.

Програмне забезпечення інтегрується з Національною базою даних уразливостей, завдяки чому воно заслуговує бути в нашому списку ще більше. Він має доступ до найновіших CVE для виявлення вразливостей у ваших пристроях Cisco. Він працюватиме з будь-яким пристроєм Cisco під керуванням ОС ASA, IOS або Nexus. Фактично, два інші корисні інструменти, Network Insights для ASA і Network Insights для Nexus, вбудовані прямо в продукт.

Ціни на Менеджер конфігурації мережі SolarWinds починаються від 2895 доларів США для 50 керованих вузлів і змінюються залежно від кількості вузлів. Якщо ви хочете спробувати цей інструмент, безкоштовну 30-денну пробну версію можна завантажити з SolarWinds.

2. Microsoft Baseline Security Analyzer (MBSA)

Microsoft Baseline Security Analyzer, або MBSA, є дещо старішим інструментом від Microsoft. Незважаючи на те, що цей інструмент не є ідеальним варіантом для великих організацій, він може добре підійти для невеликих підприємств, у яких лише кілька серверів. Це інструмент Microsoft, тому краще не очікувати, що t буде виглядати сканованим, а продукти Microsoft, інакше ви будете розчаровані. Однак він скануватиме операційну систему Windows, а також деякі служби, такі як брандмауер Windows, сервер SQL, програми IIS та Microsoft Office.

Але цей інструмент не сканує певні вразливості, як це роблять інші сканери вразливостей. Він шукає відсутні виправлення, пакети оновлень та оновлення безпеки, а також сканує системи на наявність адміністративних проблем. Механізм звітності MBSA дозволить вам отримати список відсутніх оновлень і неправильних конфігурацій.

Будучи застарілим інструментом від Microsoft, MBSA не повністю сумісний з Windows 10. Версія 2.3 працюватиме з останньою версією Windows, але може вимагати деяких налаштувань для очищення помилкових спрацьовувань і виправлення перевірок, які не можна завершити. Наприклад, цей інструмент буде помилково повідомляти, що Windows Update не ввімкнено в Windows 10. Іншим недоліком цього продукту є те, що він не виявляє вразливості сторонніх розробників або комплексні вразливості. Цей інструмент простий у використанні і добре виконує свою роботу. Це цілком міг би стати ідеальним інструментом для невеликої організації з кількома комп’ютерами Windows.

  Як увімкнути офлайн-режим Gmail [Chrome]

3. Відкрита система оцінки вразливостей (OpenVAS)

Наш наступний інструмент називається Open Vulnerability Assessment System, або OpenVAS. Це структура кількох сервісів та інструментів. Усі вони поєднуються, щоб зробити його комплексним і потужним інструментом сканування уразливостей. Фреймворк, що лежить в основі OpenVAS, є частиною рішення Greenbone Networks для управління вразливістю, елементи якого надавалися спільноті протягом приблизно десяти років. Система повністю безкоштовна, і більшість її компонентів є відкритими, хоча деякі з них не є. Сканер OpenVAS містить понад п’ятдесят тисяч тестів на вразливість мережі, які регулярно оновлюються.

OpenVAS складається з двох основних компонентів. Перший компонент — сканер OpenVAS. Як випливає з назви, він відповідає за фактичне сканування цільових комп’ютерів. Другим компонентом є менеджер OpenVAS, який обробляє все інше, наприклад, керування сканером, консолідацію результатів і збереження їх у центральній базі даних SQL. Система включає в себе інтерфейси користувача на основі браузера та командного рядка. Іншим компонентом системи є база даних Network Vulnerability Tests. Ця база даних може отримувати оновлення з безкоштовного каналу спільноти Greenborne або з платного каналу безпеки Greenborne.

4. Спільнота Retina Network

Retina Network Community — це безкоштовна версія сканера безпеки мережі Retina від AboveTrust, який є одним із найвідоміших сканерів уразливостей. Цей комплексний сканер уразливостей має багато функцій. Інструмент може виконувати ретельну оцінку вразливості відсутніх виправлень, уразливостей нульового дня та незахищених конфігурацій. Він також може похвалитися профілями користувачів, узгодженими з робочими функціями, що спрощує роботу системи. Цей продукт має інтуїтивно зрозумілий графічний інтерфейс у стилі метро, ​​який дозволяє спростити роботу системи.

Спільнота Retina Network використовує ту саму базу даних уразливостей, що й її платний брат. Це обширна база даних про вразливості мережі, проблеми з конфігурацією та відсутні виправлення, яка автоматично оновлюється та охоплює широкий спектр операційних систем, пристроїв, програм і віртуальних середовищ. З огляду на це, цей продукт повністю підтримує середовища VMware і включає онлайн- та офлайн-сканування віртуальних зображень, сканування віртуальних програм та інтеграцію з vCenter.

Однак у спільноти Retina Network є серйозний недолік. Інструмент обмежено скануванням 256 IP-адрес. Це може виглядати не так багато, якщо ви керуєте великою мережею, але цього може бути більш ніж достатньо для багатьох менших організацій. Якщо ваше середовище більше, ніж це, все, що ми щойно сказали про цей продукт, також стосується його старшого брата, Retina Network Security Scanner, який доступний у стандартній та необмеженій версіях. Будь-яке видання має такий самий розширений набір функцій у порівнянні зі сканером Retina Network Community.

5. Nexpose Community Edition

Можливо, він не такий популярний, як Retina, але Nexpose від Rapid7 — ще один добре відомий сканер уразливостей. А Nexpose Community Edition — це дещо зменшена версія комплексного сканера вразливостей Rapid7. Однак обмеження продукту важливі. Наприклад, ви можете використовувати продукт лише для сканування максимум 32 IP-адрес. Це робить його хорошим варіантом лише для найменших мереж. Крім того, продукт можна використовувати лише один рік. Якщо ви можете жити з продуктом, це чудово.

Nexpose Community Edition працюватиме на фізичних машинах під керуванням Windows або Linux. Він також доступний у вигляді віртуального пристрою. Його широкі можливості сканування будуть працювати з мережами, операційними системами, веб-додатками, базами даних та віртуальними середовищами. Nexpose Community Edition використовує адаптивну безпеку, яка може автоматично виявляти та оцінювати нові пристрої та нові вразливості в момент, коли вони звертаються до вашої мережі. Ця функція працює в поєднанні з динамічними підключеннями до VMware та AWS. Цей інструмент також інтегрується з дослідницьким проектом Sonar для забезпечення реального моніторингу в реальному часі. Nexpose Community Edition забезпечує інтегроване сканування політики, щоб допомогти у відповідності з популярними стандартами, такими як CIS і NIST. І останнє, але не менш важливе, інтуїтивно зрозумілі звіти інструменту про виправлення дають вам покрокові інструкції щодо дій по виправленню.