Bedste alternativer til Microsoft Baseline Security Analyzer

Sikkerhed er et stort problem for de fleste netværks- og systemadministratorer. Det er ganske forståeligt i betragtning af dagens trusselscene. Cyberangreb er mere og mere almindelige, og de har dårlige virkninger, der er så enorme, at de kan være svære at forstå.

Cyberkriminelle er konstant på udkig efter sårbarheder i systemer og software for at få adgang til det vigtigste aktiv i mange organisationer, deres data. Forebyggelse af dette kræver brug af værktøjer til sårbarhedsvurdering som Microsoft Baseline Security Analyzer eller MBSA. Imidlertid begynder dette værktøj at vise nogle tegn på alder. Til at begynde med fungerer det ikke direkte med moderne versioner af Windows, og det er også noget begrænset i funktionalitet.

For at være helt ærlig, hvis du stadig bruger MBSA, er det på tide at du skifter til noget andet. I dag gennemgår vi fire af de bedste alternativer til Microsoft Baseline Security Analyzer.

Vi starter vores diskussion med at se på MBSA. Når alt kommer til alt hjælper det at vide, hvad vi prøver at erstatte. Vi diskuterer derefter sårbarheden generelt. Dernæst skal vi tale om scanningsværktøjer til sårbarhed, hvad de er, hvem der har brug for dem, og hvad deres væsentlige funktioner er. Dette bringer os til den store afsløring: de fire bedste alternativer til Microsoft Baseline Security Analyzer. Vi gennemgår kort hvert værktøj for at give dig en idé om deres funktioner og muligheder.

Microsoft Baseline Security Analyzer: Forklaret

Microsoft Baseline Security Analyzer eller MBSA er et temmelig gammelt værktøj fra Microsoft. Selvom det bestemt ikke er en ideel mulighed for store organisationer, kan værktøjet være til nytte for mindre virksomheder, dem med kun en håndfuld servere. Bortset fra dets alder, er en af ​​værktøjets største ulemper, at der kommer fra Microsoft, du kan ikke forvente, at det scanner andet end Microsoft-produkter. Det vil dog scanne Windows-operativsystemet såvel som nogle tjenester såsom Windows Firewall, SQL-server, IIS og Microsoft Office-applikationer.

I modsætning til de fleste andre scanningsværktøjer til sårbarhed scanner denne ikke efter specifikke sårbarheder. I stedet ser det efter ting som manglende programrettelser, servicepakker og sikkerhedsopdateringer, og det scanner systemer for administrative problemer. Dens rapporteringsmotor kan generere en liste over manglende opdateringer og fejlkonfigurationer.

En anden stor ulempe ved MBSA er, at den på grund af sin alder ikke rigtig er kompatibel med Windows 10. Version 2.3 af MBSA fungerer med den nyeste version af Windows, men den vil sandsynligvis kræve en finjustering for at rydde op i falske positiver og for at rette kontroller, der ikke kan udføres. Som et eksempel vil MBSA falsk rapportere, at Windows Update ikke er aktiveret i Windows 10, selv når det er tilfældet. Derfor kan du ikke bruge dette produkt til at kontrollere, om Windows Update er aktiveret på Windows 10-computere eller ej.

Dette er et simpelt værktøj at bruge, og det gør, hvad det gør godt. Dog gør det ikke meget, og det gør faktisk ikke engang det så godt på moderne computere, hvilket får mange brugere til at søge en erstatning.

Sårbarhed 101

Før vi går videre, lad os stoppe og kort diskutere sårbarheden. Kompleksiteten i moderne computersystemer og netværk har nået et hidtil uset niveau af kompleksitet. En gennemsnitlig server kører ofte hundreder af processer. Hver af disse processer er et computerprogram. Nogle af dem er store programmer, der er lavet af tusinder af linjer med kildekode. Inden for denne kode kan der være - og der er sandsynligvis - uventede ting. En udvikler har muligvis på et tidspunkt tilføjet en funktion til bagdør for at lette hans fejlfinding. Senere, da udvikleren begyndte at arbejde på noget andet, kan denne farlige funktion muligvis fejlagtigt have nået den endelige udgivelse. Der kan også være nogle fejl i inputvalideringskoden, der kan forårsage uventede - og ofte uønskede - resultater under nogle specifikke omstændigheder.

Dette refererer til som sårbarheder, og en af ​​disse kan bruges til at forsøge at få adgang til systemer og data. Der er et enormt samfund af cyberkriminelle derude, der ikke har noget bedre at gøre end at finde disse huller og udnytte dem til at trænge ind i dine systemer og stjæle dine data. Når ignoreret eller efterlades uden opsyn, kan sårbarheder bruges af ondsindede brugere til at få adgang til dine systemer og data eller, muligvis, værre, din klients data eller på anden måde forårsage nogen større skade, såsom at gøre dine systemer ubrugelig.

Sårbarheder findes overalt. De kryber ofte ind i software, der kører på dine servere eller i deres operativsystemer. De findes også i netværksudstyr såsom switches, routere og endda sikkerhedsapparater såsom firewalls. For at være på den sikre side - hvis der er noget som at være på den sikre side - skal du virkelig kigge efter dem overalt.

Sårbarhedsscanningsværktøjer

Sårbarhedsscannings- eller vurderingsværktøjer har en primær funktion: identificering af sårbarheder i dine systemer, enheder, udstyr og software. De kaldes ofte scannere, fordi de normalt vil scanne dit udstyr for at se efter kendte sårbarheder.

Men hvordan finder sårbarhedsscanningsværktøjer sårbarheder? Når alt kommer til alt er de normalt ikke der i synet. Hvis de var så indlysende, ville udviklere have adresseret dem, inden de frigav softwaren. Værktøjerne adskiller sig faktisk ikke meget fra virusbeskyttelsessoftware, der bruger virusdefinitionsdatabaser til at genkende computervirussignaturer. Tilsvarende er de fleste sårbarhedsscannere afhængige af sårbarhedsdatabaser og scanningssystemer for specifikke sårbarheder. Sådanne sårbarhedsdatabaser er ofte tilgængelige fra velkendte uafhængige sikkerhedstestlaboratorier, der er dedikeret til at finde sårbarheder i software og hardware, eller de kan være proprietære databaser fra sårbarhedsscanningsværktøjet sælger. Da en kæde kun er så stærk som dets svageste link, er detekteringsniveauet, du får, kun så godt som den sårbarhedsdatabase, dit værktøj bruger.

Hvem har brug for dem?

Ét-ordets svar på dette spørgsmål er temmelig indlysende: Alle! Ligesom ingen i hans rette sind ville tænke på at køre en computer uden nogen virusbeskyttelse i disse dage skal ingen netværksadministrator være uden mindst en form for sårbarhed beskyttelse. Der kan komme angreb overalt og ramme dig hvor og når du mindst forventer dem. Du skal være opmærksom på din risiko for eksponering.

Selvom scanning efter sårbarheder muligvis er noget, der kunne gøres manuelt, er dette et næsten umuligt job. Bare det at finde information om sårbarheder, og ikke desto mindre scanne dine systemer for deres tilstedeværelse, kan tage enorme ressourcer. Nogle organisationer er dedikerede til at finde sårbarheder, og de beskæftiger ofte hundreder, hvis ikke tusinder af mennesker. Hvorfor ikke drage fordel af dem?

Enhver, der administrerer et antal computersystemer eller enheder, kunne drage stor fordel af at bruge et sårbarhedsscanningsværktøj. Overholdelse af lovgivningsmæssige standarder som SOX eller PCI-DSS, bare for at nævne nogle få, kræver ofte, at du gør det. Og selvom de ikke specifikt kræver det, vil compliance ofte være lettere at demonstrere, hvis du kan vise, at du har scanningsværktøjer til sårbarhed på plads.

Væsentlige funktioner i sårbarhedsscanningsværktøjer

Der er mange faktorer, der skal overvejes, når du vælger et sårbarhedsscanningsværktøj. Øverst på listen over ting, der skal overvejes, er udvalget af enheder, der kan scannes. Du har brug for et værktøj, der kan scanne alt det udstyr, du har brug for at scanne. Hvis du f.eks. Har mange Linux-servere, vil du vælge et værktøj, der kan scanne dem, ikke en, der kun håndterer Windows-maskiner. Du vil også vælge en scanner, der er så nøjagtig som muligt i dit miljø. Du ønsker ikke at drukne i ubrukelige underretninger og falske positiver.

Et andet differentierende element mellem produkter er deres respektive sårbarhedsdatabase. Vedligeholdes det af sælgeren, eller er det fra en uafhængig organisation? Hvor regelmæssigt opdateres det? Opbevares det lokalt eller i skyen? Skal du betale ekstra gebyrer for at bruge sårbarhedsdatabasen eller for at få opdateringer? Du ønsker måske at få svar på disse spørgsmål, inden du vælger dit værktøj.

Nogle sårbarhedsscannere bruger indgribende scanningsmetoder. De kan potentielt påvirke systemets ydelse. Faktisk er de mest påtrængende ofte de bedste scannere. Hvis de imidlertid påvirker systemets ydeevne, vil du vide om det på forhånd for at planlægge dine scanninger i overensstemmelse hermed. Når vi taler om planlægning, er dette et andet vigtigt aspekt af scanningsværktøjer til netværkssårbarhed. Nogle værktøjer har ikke engang planlagte scanninger og skal startes manuelt.

Alert og rapportering er også vigtige funktioner i scanningsværktøjer til sårbarhed. Alert vedrører, hvad der sker, når der findes en sårbarhed. Er der en klar og let at forstå anmeldelse? Hvordan transmitteres det? Via en popup-skærm, en e-mail, en sms? Mere vigtigt er det, at værktøjet giver en vis indsigt i, hvordan man løser de sårbarheder, det finder? Nogle værktøjer har endda automatiseret afhjælpning af visse typer af sårbarheder. Andre værktøjer integreres med patch management software, da patchning ofte er den bedste måde at løse sårbarheder på.

Med hensyn til rapportering, selvom det ofte er et spørgsmål om personlig præference, skal du sikre dig, at de oplysninger, du forventer og har brug for at finde i rapporterne, faktisk vil være der. Nogle værktøjer har kun foruddefinerede rapporter, andre giver dig mulighed for at ændre de indbyggede rapporter. Hvad angår de bedste - i det mindste fra et rapporteringsmæssigt synspunkt - giver de dig mulighed for at oprette brugerdefinerede rapporter fra bunden.

Fire store alternativer til MBSA

Nu hvor vi ved, hvad sårbarheder er, hvordan de scannes, og hvad de vigtigste funktioner i sårbarhedsscanningsværktøjer er, vi er klar til at gennemgå nogle af de bedste eller mest interessante pakker, vi har kunne finde. Vi har inkluderet nogle betalte og nogle gratis værktøjer. Nogle fås endda i både en gratis og en betalt version. Alle ville være en god pasform til at erstatte MBSA. Lad os se, hvad deres vigtigste funktioner er.

SolarWinds er et velkendt navn blandt netværks- og systemadministratorer. Virksomheden har lavet nogle af de bedste netværksadministrationsværktøjer i cirka 20 år. Et af dets topværktøjer, SolarWinds Network Performance Monitor, modtager konstant stor ros og rave-anmeldelser som et af de bedste SNMP-netværksbåndbreddeovervågningsværktøj. Virksomheden er også meget berømt for sine gratis værktøjer. De er mindre værktøjer designet til at tackle specifikke opgaver inden for netværksstyring. Blandt de mest kendte af disse gratis værktøjer er Advanced Subnet Calculator og Kiwi Syslog-serveren.

Vores første værktøj, the SolarWinds Network Configuration Manager er ikke rigtig et sårbarhedsscanningsværktøj. Men af ​​to specifikke grunde troede vi, at det var et interessant alternativ til MBSA og valgte at medtage det på vores liste. For det første har produktet en sårbarhedsvurderingsfunktion, og den adresserer også en bestemt type sårbarhed, en der er vigtig, men at ikke mange andre værktøjer adresserer, fejlkonfiguration af netværk udstyr. Produktet er også pakket med ikke-sårbarhedsrelaterede funktioner.

• GRATIS PRØVEVERSION: SolarWinds Network Configuration Manager
• Officielt downloadlink: https://www.solarwinds.com/network-configuration-manager/registration

Det SolarWinds Network Configuration Manager'S vigtigste anvendelse som et sårbarhedsscanningsværktøj er i valideringen af ​​netværksudstyrskonfigurationer for fejl og mangler. Værktøjet kan også med jævne mellemrum kontrollere enhedskonfigurationer for ændringer. Dette er nyttigt, da nogle angreb startes ved at ændre en netværksenheds konfiguration - som ofte ikke er så sikre som servere - på en måde, der kan lette adgangen til andre systemer. Værktøjet kan også hjælpe med standarder eller lovgivningsmæssig overholdelse gennem brugen af ​​dets automatiserede netværkskonfigurationsværktøjer som kan implementere standardiserede konfigurationer, detektere ændringer uden for processen, revisionskonfigurationer og endda rigtige overtrædelser.

Softwaren integreres med den nationale sårbarhedsdatabase, der gjorde det sin plads på denne liste over MBSA-alternativer. Det har også adgang til de mest aktuelle CVE'er til at identificere sårbarheder på dine Cisco-enheder. Det fungerer med enhver Cisco-enhed, der kører ASA, IOS eller Nexus OS. Faktisk er to andre nyttige værktøjer, Network Insights for ASA og Network Insights for Nexus, indbygget lige i produktet.

Pris for SolarWinds Network Configuration Manager starter ved $ 2.895 for op til 50 styrede noder og går op med antallet af administrerede noder. Hvis du gerne vil prøve dette værktøj, kan en gratis 30-dages prøveversion downloades direkte fra SolarWinds.

2. OpenVAS

Det Åben system til vurdering af sårbarheder, eller OpenVAS, er en ramme for flere tjenester og værktøjer. De kombineres for at skabe et omfattende, men alligevel kraftigt sårbarhedsscanningsværktøj. Rammerne bag OpenVAS er en del af Greenbone Networks 'sårbarhedsstyringsløsning, hvorfra elementer er bidraget til samfundet i cirka ti år. Systemet er helt gratis, og mange af dets nøglekomponenter er open source, selvom nogle ikke er det. OpenVAS-scanneren leveres med over halvtreds tusind netværkssårbarhedstests, som opdateres regelmæssigt.

OpenVAS består af to primære komponenter. Den første er OpenVAS-scanner. Dette er den komponent, der er ansvarlig for den faktiske scanning af målcomputere. Den anden komponent er OpenVAS manager som håndterer alt andet, såsom at kontrollere scanneren, konsolidere resultater og gemme dem i en central SQL-database. Softwaren har både browserbaserede og kommandolinjegrænseflader. En anden komponent i systemet er databasen Network Vulnerability Tests. Denne database kan få sine opdateringer fra enten det gratis Greenborne Community Feed eller det betalte Greenborne Security Feed for en mere omfattende beskyttelse.

3. Retina Network Community

Retina Network Community er den gratis version af Retina Netværkssikkerhedsscanner fra AboveTrust, som er en af ​​de mest kendte sårbarhedsscannere. På trods af at den er fri, er det en omfattende sårbarhedsscanner, der er fyldt med funktioner. Det kan udføre en grundig vurdering af sårbarhed af manglende programrettelser, nul-dages sårbarheder og ikke-sikre konfigurationer. Det kan også prale af brugerprofiler, der er tilpasset jobfunktioner, hvilket forenkler systemdriften. Dette produkt er udstyret med en intuitiv GUI i metro-stil, der muliggør en strømlinet drift af systemet.

En stor ting ved Retina Network Community er, at den bruger den samme sårbarhedsdatabase som dets betalte søskende. Det er en omfattende database over netværkssårbarheder, konfigurationsproblemer og manglende programrettelser, som er opdateres automatisk og dækker en lang række operativsystemer, enheder, applikationer og virtuel miljøer. Når vi taler om virtuelle miljøer, understøtter produktet fuldt ud VMware, og det inkluderer online og offline virtuel billedscanning, virtuel applikationsscanning og integration med vCenter.

Den største ulempe ved Retina Network Community er, at det er begrænset til at scanne 256 IP-adresser. Selvom det måske ikke er meget, hvis du administrerer et stort netværk, kan det være mere end nok for mange mindre organisationer. Hvis dit miljø har mere end 256 enheder, gælder alt, hvad vi lige har sagt om dette produkt, også i sin storebror, the Retina Netværkssikkerhedsscanner som er tilgængelig i standard- og ubegrænsede udgaver. Hver udgave har et udvidet funktionssæt sammenlignet med Retina Network Community-scanner.

4. Nexpose Community Edition

Måske ikke så populær som nethinden, Nexpose fra Rapid7 er en anden velkendt sårbarhedsscanner. hvad angår Nexpose Community Edition, det er en let nedskaleret version af Rapid7'S omfattende sårbarhedsscanner. Produktet har dog nogle vigtige begrænsninger. For eksempel er det begrænset til scanning af maksimalt 32 IP-adresser. Dette begrænser værktøjets brugbarhed kraftigt til kun de mindste netværk. En anden begrænsning er, at produktet kun kan bruges i et år. Hvis du kan leve med disse begrænsninger, er det et fremragende produkt. Hvis ikke, kan du altid se på det betalte tilbud fra Rapid7.

Nexpose Community Edition kører på fysiske maskiner under enten Windows eller Linux. Det fås også som et virtuelt apparat. Det har omfattende scanningsfunktioner, der håndterer netværk, operativsystemer, webapplikationer, databaser og virtuelle miljøer. Dette værktøj bruger adaptiv sikkerhed, som automatisk kan registrere og vurdere nye enheder og nye sårbarheder, i det øjeblik de får adgang til dit netværk. Denne funktion fungerer sammen med dynamiske forbindelser til VMware og AWS. Softwaren integreres også med Sonar-forskningsprojektet for at tilvejebringe ægte liveovervågning. Nexpose Community Edition leverer integreret politisk scanning for at hjælpe med at overholde populære standarder som CIS og NIST. Og sidst, men ikke mindst, giver værktøjets intuitive saneringsrapporter dig trin-for-trin-instruktioner om afhjælpning.