Най-добри алтернативи на анализатора за сигурност на Microsoft

Сигурността е основна грижа на повечето мрежови и системни администратори. Напълно разбираемо е предвид днешната сцена на заплаха. Кибер атаките са все по-чести и имат лоши ефекти, които са толкова огромни, че могат да бъдат трудни за намиране.

Киберпрестъпниците постоянно търсят уязвимости в системите и софтуера, за да получат достъп до тях най-важният актив на много организации, техните данни. Предотвратяването изисква използването на инструменти за оценка на уязвимостта като Microsoft Baseline Security Analyzer или MBSA. Този инструмент обаче започва да показва някои признаци на възраст. За начало той няма да работи директно с модерни версии на Windows и освен това е донякъде ограничен във функционалността.

За да бъда напълно честен, ако все още използвате MBSA, е време да преминете към нещо друго. Днес разглеждаме четири от най-добрите алтернативи на анализатора за сигурност на Microsoft.

Ще започнем нашата дискусия, като разгледаме MBSA. В крайна сметка, това помага да разберем какво се опитваме да заменим. След това ще обсъдим уязвимостта като цяло. След това ще говорим за инструментите за сканиране на уязвимостта, какви са те, кой има нужда от тях и какви са основните им характеристики. Това ще ни доведе до голямото разкритие: четирите най-добри алтернативи на анализатора за сигурност на Microsoft Baseline. Ще разгледаме накратко всеки от инструментите, за да ви дадем представа за техните функции и възможности.

Microsoft Baseline Security Analyzer: Обяснено

Анализаторът за сигурност на Microsoft Baseline или MBSA е доста стар инструмент от Microsoft. Въпреки че със сигурност не е идеален вариант за големи организации, инструментът може да бъде полезен за по-малки фирми, тези със само шепа сървъри. Освен неговата възраст, един от основните недостатъци на инструмента е този, който идва от Microsoft, не можете да очаквате от него да сканира нищо друго освен продукти на Microsoft. Той обаче ще сканира операционната система Windows, както и някои услуги като Windows Firewall, SQL сървър, IIS и Microsoft Office приложения.

Противно на повечето други инструменти за сканиране на уязвимост, този не сканира за конкретни уязвимости. Вместо това, той търси неща като липсващи кръпки, сервизни пакети и актуализации на сигурността и сканира системите за административни проблеми. Отчетният му механизъм може да генерира списък с липсващи актуализации и неправилни конфигурации.

Друг основен недостатък на MBSA е, че поради възрастта си той не е наистина съвместим с Windows 10. Версия 2.3 на MBSA ще работи с най-новата версия на Windows, но вероятно ще изисква настройване, за да изчистите фалшивите позитиви и да коригирате проверките, които не могат да приключат. Като пример, MBSA невярно ще докладва, че актуализацията на Windows не е активирана в Windows 10, дори когато е такава. Следователно не можете да използвате този продукт, за да проверите дали Windows Update е активиран или не на компютри с Windows 10.

Това е прост инструмент за използване и прави това, което прави добре. Това обаче не прави много и всъщност дори не го прави толкова добре на съвременните компютри, което подтиква много потребители да търсят замяна.

Уязвимост 101

Преди да продължим, нека спрем и накратко да обсъдим уязвимостта. Сложността на съвременните компютърни системи и мрежи достигна безпрецедентно ниво на сложност. Средният сървър често може да изпълнява стотици процеси. Всеки от тези процеси е компютърна програма. Някои от тях са големи програми, които са направени от хиляди редове от изходния код. В рамките на този код може да има - и вероятно има - неочаквани неща. Един разработчик може, в един момент, да добави някаква функция за заден ход, за да облекчи своите усилия за отстраняване на грешки. По-късно, тъй като разработчикът започна да работи върху нещо друго, тази опасна функция може погрешно да е стигнала до окончателното издание. Възможно е също да има някои грешки във входния код за валидиране, които могат да причинят неочаквани - и често нежелани - резултати при някакво конкретно обстоятелство.

Това са нещата, които ние наричаме уязвимости и всяка една от тях може да се използва, за да се опитаме да получим достъп до системи и данни. Има огромна общност от киберпрестъпници, които нямат нищо по-добро от това да намерят тези дупки и да ги използват, за да проникнат във вашите системи и да откраднат вашите данни. Когато бъдат игнорирани или оставени без надзор, уязвимостите могат да бъдат използвани от злонамерени потребители, за да получат достъп до вашите системи и данни или евентуално по-лошо, данните на клиента ви или по друг начин да причинят някои големи щети, като например визуализация на вашите системи неизползваем.

Уязвимостите могат да се намерят навсякъде. Те често пълзят в софтуер, работещ на вашите сървъри или в техните операционни системи. Те съществуват и в мрежово оборудване като превключватели, рутери и дори уреди за сигурност като защитни стени. За да сте на сигурна страна - ако има такова нещо, като да сте на сигурна страна - наистина трябва да ги търсите навсякъде.

Инструменти за сканиране на уязвимост

Инструментите за сканиране или оценка на уязвимостта имат една основна функция: идентифициране на уязвимостите във вашите системи, устройства, оборудване и софтуер. Те често се наричат ​​скенери, защото обикновено ще сканират вашето оборудване, за да търсят известни уязвимости.

Но как инструментите за сканиране на уязвимостта намират уязвимости? В края на краищата те обикновено не са там наглед. Ако бяха толкова очевидни, разработчиците щяха да се обърнат към тях преди да пуснат софтуера. Инструментите всъщност не се различават много от софтуера за защита от вируси, които използват бази данни за дефиниции на вируси, за да разпознаят подписите на компютърни вируси. По подобен начин повечето скенери за уязвимост разчитат на бази данни за уязвимост и сканиращи системи за специфични уязвимости. Такива бази данни за уязвимост често са достъпни от известни независими лаборатории за тестване на сигурността, посветени на намирането уязвимости в софтуера и хардуера или те могат да бъдат собствени бази данни от сканиращия инструмент за сканиране на уязвимостта доставчик. Тъй като веригата е толкова силна, колкото и най-слабата й връзка, нивото на откриване, което получавате, е толкова добро, колкото базата данни за уязвимост, която използва вашият инструмент.

Кой има нужда от тях?

Еднословният отговор на този въпрос е доста очевиден: Всички! Точно както никой с правилния си ум не би помислил да работи с компютър без някаква защита от вируси в наши дни никой мрежов администратор не трябва да бъде без поне някаква форма на уязвимост защита. Атаките може да идват отвсякъде и да ви удрят където и когато най-малко ги очаквате. Трябва да сте наясно с риска от излагане.

Докато сканирането за уязвимости е вероятно нещо, което би могло да се извърши ръчно, това е почти невъзможна работа. Само намирането на информация за уязвимостите, камо ли да сканирате вашите системи за тяхното присъствие, може да отнеме огромно количество ресурси. Някои организации са посветени на намирането на уязвимости и често наемат стотици, ако не и хиляди хора. Защо да не се възползвате от тях?

Всеки, който управлява редица компютърни системи или устройства, ще има голяма полза от използването на инструмент за сканиране на уязвимост. Спазването на регулаторни стандарти като SOX или PCI-DSS, само за да назовем няколко, често ще изисква това. И дори ако те не изискват конкретно това, спазването често ще бъде по-лесно да се демонстрира, ако можете да покажете, че разполагате с инструменти за сканиране на уязвимост.

Основни характеристики на инструментите за сканиране на уязвимостта

Има много фактори, които трябва да имате предвид при избора на инструмент за сканиране на уязвимост. На върха на списъка с неща, които трябва да се вземат предвид, е набор от устройства, които могат да бъдат сканирани. Имате нужда от инструмент, който ще може да сканира цялото оборудване, от което се нуждаете. Ако имате много Linux сървъри, например, ще искате да изберете инструмент, който може да ги сканира, а не един, който обработва само Windows машини. Освен това искате да изберете скенер, който е възможно най-точен във вашата среда. Не бихте искали да се удавите в безполезни известия и фалшиви позитиви.

Друг разграничаващ елемент между продуктите е съответната им база данни за уязвимост. Поддържа ли се от доставчика или е от независима организация? Колко редовно се актуализира? Съхранява ли се локално или в облака? Трябва ли да плащате допълнителни такси, за да използвате базата данни за уязвимост или да получавате актуализации? Може да искате да получите отговори на тези въпроси, преди да изберете инструмента си.

Някои скенери за уязвимост използват натрапчиви методи за сканиране. Те могат потенциално да повлияят на производителността на системата. Всъщност най-натрапчивите често са най-добрите скенери. Ако обаче те засягат производителността на системата, ще трябва да знаете за това предварително, за да планирате съответно своите сканирания. Говорейки за планиране, това е друг важен аспект на инструментите за сканиране на уязвимост на мрежата. Някои инструменти дори нямат планирани сканирания и трябва да бъдат стартирани ръчно.

Сигнализирането и отчитането също са важни характеристики на инструментите за сканиране на уязвимостта. Предупреждението се отнася до това, което се случва, когато се намери уязвимост. Има ли ясно и лесно за разбиране известие? Как се предава? Чрез изскачащо на екрана, имейл, текстово съобщение? По-важното е дали инструментът дава някаква представа за това как да коригира уязвимите места? Някои инструменти дори имат автоматизирано отстраняване на някои видове уязвимости. Други инструменти се интегрират със софтуер за управление на кръпка, тъй като кръпката често е най-добрият начин за отстраняване на уязвимостите.

Що се отнася до отчитането, макар че често това е въпрос на лични предпочитания, трябва да сте сигурни, че информацията, която очаквате и трябва да намерите в отчетите, действително ще бъде там. Някои инструменти имат само предварително зададени отчети, други ще ви позволят да променяте вградените отчети. Що се отнася до най-добрите - поне от гледна точка на отчитането - те ще ви позволят да създавате персонализирани отчети от нулата.

Четири страхотни алтернативи на MBSA

Сега, когато знаем какви са уязвимостите, как се сканират и какви са основните характеристики Инструментите за сканиране на уязвимостта са, ние сме готови да прегледаме някои от най-добрите или най-интересните пакети, които имаме можех да намеря. Включихме някои платени и някои безплатни инструменти. Някои дори са достъпни в безплатна и платена версия. Всичко би било добре да замени MBSA. Нека да видим какви са основните им характеристики.

SolarWinds е добре познато име сред мрежовите и системните администратори. Компанията прави едни от най-добрите инструменти за мрежово администриране от около 20 години. Един от най-добрите си инструменти, SolarWinds Network Performance Monitor постоянно получава висока оценка и възторжени отзиви като един от най-добрите SNMP мрежови инструменти за мониторинг на честотната лента. Компанията също е доста известна със своите безплатни инструменти. Те са по-малки инструменти, създадени за справяне с конкретни задачи за управление на мрежата. Сред най-известните от тези безплатни инструменти са Advanced Subnet Calculator и сървъра Kiwi Syslog.

Първият ни инструмент - SolarWinds Network Configuration Manager всъщност не е инструмент за сканиране на уязвимостта. Но поради две конкретни причини решихме, че е интересна алтернатива на MBSA и избрахме да я включим в нашия списък. За начало продуктът има функция за оценка на уязвимостта и също така адресира конкретен тип уязвимост, която е важна, но не че много други инструменти адресират, неправилната конфигурация на работата в мрежа оборудване. Продуктът също е пълен с функции, свързани с неуязвимостта.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Network Configuration Manager
• Официална връзка за изтегляне: https://www.solarwinds.com/network-configuration-manager/registration

Най- SolarWinds Network Configuration ManagerОсновната употреба като инструмент за сканиране на уязвимост е във валидирането на конфигурациите на мрежовото оборудване за грешки и пропуски. Инструментът може също така периодично да проверява конфигурациите на устройството за промени. Това е полезно, тъй като някои атаки започват с промяна на конфигурацията на мрежово устройство - които често не са толкова сигурни, колкото сървърите - по начин, който може да улесни достъпа до други системи. Инструментът може също да помогне за спазване на стандарти или регулаторни норми чрез използването на своите автоматизирани инструменти за конфигуриране на мрежата които могат да разгърнат стандартизирани конфигурации, откриват промени извън процеса, конфигурации на одит и дори коригират нарушения.

Софтуерът се интегрира с Националната база данни за уязвимост, която спечели мястото си в този списък с алтернативи на MBSA. Той също така има достъп до най-актуалните CVE, за да идентифицира уязвимостите във вашите устройства на Cisco. Той ще работи с всяко Cisco устройство, работещо с ASA, IOS или Nexus OS. Всъщност два други полезни инструмента, Network Insights за ASA и Network Insights за Nexus са вградени в продукта.

Цена за SolarWinds Network Configuration Manager започва от $ 2895 за до 50 управлявани възли и се увеличава с броя управлявани възли. Ако искате да опитате този инструмент, безплатна 30-дневна пробна версия може да бъде изтеглена директно от SolarWinds.

2. OpenVAS

Най- Отворена система за оценка на уязвимостта, или OpenVAS, е рамка на няколко услуги и инструменти. Те се комбинират, за да създадат всеобхватен, но мощен инструмент за сканиране на уязвимостта. Рамката зад OpenVAS е част от решението за управление на уязвимостта на Greenbone Networks, от което елементи допринасят за общността от около десет години. Системата е изцяло безплатна и много от ключовите й компоненти са с отворен код, въпреки че някои от тях не са. Скенерът OpenVAS се доставя с над петдесет хиляди теста за уязвимост на мрежата, които се актуализират редовно.

OpenVAS се състои от два основни компонента. Първият е OpenVAS скенер. Това е компонентът, отговорен за действителното сканиране на целевите компютри. Вторият компонент е OpenVAS мениджър който обработва всичко останало, като контролиране на скенера, консолидиране на резултатите и съхраняване на тях в централна SQL база данни. Софтуерът има както потребителски интерфейс, базиран на браузъра, така и на командния ред. Друг компонент на системата е базата данни за тестове за уязвимост на мрежата. Тази база данни може да получава своите актуализации или от безплатната емисия на общността на Greenborne, или от платената емисия за сигурност Greenborne за по-пълна защита.

3. Общност на мрежата на ретината

Общност на мрежата на ретината е безплатната версия на Retina Network Scanner от AboveTrust, който е един от най-известните скенери за уязвимост. Въпреки че е безплатен, той е цялостен скенер за уязвимост, който е пълен с функции. Той може да извърши задълбочена оценка на уязвимостта на липсващи кръпки, уязвимости с нулев ден и конфигурации, които не са защитени. Той също така може да се похвали с потребителски профили, приведени в съответствие с функциите на задачите, като по този начин опрости работата на системата. Този продукт се отличава с интуитивен графичен интерфейс в стил метро, ​​който позволява опростена работа на системата.

Едно страхотно нещо Общност на мрежата на ретината е, че той използва същата база данни за уязвимост като своя платен брат и сестра. Това е обширна база данни с мрежови уязвимости, проблеми с конфигурацията и липсващи кръпки автоматично се актуализира и обхваща широк спектър от операционни системи, устройства, приложения и виртуални среди. Говорейки за виртуални среди, продуктът напълно поддържа VMware и включва онлайн и офлайн сканиране на виртуални изображения, сканиране на виртуални приложения и интеграция с vCenter.

Основният недостатък на Общност на мрежата на ретината е, че е ограничен до сканиране на 256 IP адреса. Въпреки че това може да не е много, ако управлявате голяма мрежа, може да е повече от достатъчно за много по-малки организации. Ако вашата среда има повече от 256 устройства, всичко, което току-що казахме за този продукт, е вярно и в големия му брат, the Retina Network Scanner която се предлага в стандартни и неограничени издания. Всяко издание има разширен набор от функции в сравнение с Retina Network скенер на общността.

4. Nexpose Community Edition

Може би не е толкова популярна като Retina, Nexpose от Rapid7 е друг добре известен скенер за уязвимост. Колкото до Nexpose Community Edition, това е леко намалена версия на Rapid7Всеобхватен скенер за уязвимост. Продуктът обаче има някои важни ограничения. Например, той е ограничен до сканиране на максимум 32 IP адреса. Това силно ограничава полезността на инструмента само за най-малките мрежи. Друго ограничение е, че продуктът може да се използва само за една година. Ако можете да живеете с тези ограничения, това е отличен продукт. Ако не, винаги можете да разгледате платеното предложение от Rapid7.

Nexpose Community Edition ще работи на физически машини под Windows или Linux. Предлага се и като виртуален уред. Има широки възможности за сканиране, които ще се справят с мрежи, операционни системи, уеб приложения, бази данни и виртуална среда. Този инструмент използва адаптивна защита, която може автоматично да открие и оцени нови устройства и нови уязвимости в момента, в който те имат достъп до вашата мрежа. Тази функция работи във връзка с динамични връзки към VMware и AWS. Софтуерът се интегрира и с изследователския проект Sonar, за да осигури истински мониторинг на живо. Nexpose Community Edition осигурява интегрирано сканиране на политики, за да подпомогне спазването на популярни стандарти като CIS и NIST. И не на последно място, интуитивните отчети за отстраняване на инструмента ви дават стъпка по стъпка инструкции за действия по отстраняване.