Najboljše alternative Microsoftovemu varnostnemu analizatorju Baseline

Varnost je glavna skrb večine skrbnikov omrežij in sistemov. Glede na današnjo prizorišče groženj je povsem razumljivo. Kibernetski napadi so vse pogostejši in imajo tako velike neželene učinke, da jih je težko dojeti.

Kibernetski kriminalci nenehno iščejo ranljivosti v sistemih in programski opremi, do katerih lahko dostopajo najpomembnejša prednost mnogih organizacij, njihovi podatki. Preprečevanje, ki zahteva uporabo orodij za ocenjevanje ranljivosti, kot sta Microsoftov osnovni varnostni analizator ali MBSA. Vendar to orodje začenja kazati nekatere znake starosti. Za začetek ne bo neposredno deloval s sodobnimi različicami sistema Windows in je tudi nekoliko omejen v funkcionalnosti.

Če sem popolnoma iskren, če še vedno uporabljate MBSA, je čas, da preklopite na kaj drugega. Danes pregledujemo štiri najboljše alternative Microsoftovemu varnostnemu analizatorju Baseline.

Naše razprave bomo začeli s pregledom MBSA. Navsezadnje nam pomaga vedeti, kaj poskušamo nadomestiti. Nato bomo na splošno obravnavali ranljivost. Nato bomo govorili o orodjih za skeniranje ranljivosti, kaj so, kdo jih potrebuje in katere so njihove bistvene značilnosti. S tem se bomo odkrili: štiri najboljše alternative Microsoftovemu varnostnemu analizatorju Baseline. Na kratko bomo pregledali vsako od orodij, da vam predstavimo njihove lastnosti in zmogljivosti.

Microsoftov osnovni varnostni analizator: Pojasnjeno

Microsoftov varnostni analizator Baseline ali MBSA je precej staro orodje Microsofta. Čeprav to zagotovo ni idealna možnost za velike organizacije, bi orodje lahko koristilo manjšim podjetjem, tistim, ki imajo le nekaj strežnikov. Razen starosti, ena glavnih pomanjkljivosti orodja je tisto, kar prihaja od Microsofta, ne morete pričakovati, da bo skeniral nič drugega kot Microsoftove izdelke. Bodo pa skenirali operacijski sistem Windows in nekatere storitve, kot so požarni zid Windows, strežnik SQL, IIS in Microsoft Office.

V nasprotju z večino drugih orodij za pregledovanje ranljivosti ta ne skenira posebnih ranljivosti. Namesto tega išče stvari, kot so manjkajoči popravki, servisni paketi in posodobitve varnosti, in pregleda sisteme za administrativne težave. Njegov sistem poročanja lahko ustvari seznam manjkajočih posodobitev in napačnih konfiguracij.

Druga velika pomanjkljivost MBSA je, da zaradi starosti ni zares združljiv z Windows 10. Različica 2.3 MBSA bo delovala z najnovejšo različico sistema Windows, vendar bo za čiščenje lažnih pozitivnih rezultatov in odpravljanje preverjanj, ki jih ni mogoče zaključiti, verjetno treba spremeniti. Kot primer bo MBSA lažno sporočila, da Windows Update ni omogočen v sistemu Windows 10, tudi če je. Zato tega izdelka ne morete uporabiti za preverjanje, ali je v računalnikih Windows 10 omogočena posodobitev sistema Windows.

To je preprosto orodje za uporabo in naredi tisto, kar naredi dobro. Vendar pa ne naredi veliko in pravzaprav sploh ne počne tako dobro na sodobnih računalnikih, zaradi česar mnogi uporabniki iščejo zamenjavo.

Ranljivost 101

Preden nadaljujemo, ustavimo in na kratko razpravimo o ranljivosti. Kompleksnost sodobnih računalniških sistemov in omrežij je dosegla neverjetno raven zahtevnosti. Povprečni strežnik lahko pogosto izvaja več sto procesov. Vsak od teh procesov je računalniški program. Nekateri od njih so veliki programi, ki so sestavljeni iz tisoč vrstic izvorne kode. Znotraj te kode bi bile lahko - in verjetno obstajajo - nepričakovane stvari. Razvijalec je lahko naenkrat dodal nekaj zakulisne funkcije, da bi olajšal svoja prizadevanja za odpravljanje napak. Pozneje, ko je razvijalci začel delati na nečem drugem, je morda ta nevarna funkcija pomotoma prišla do končne izdaje. Prav tako lahko pride do nekaterih napak v kodi za potrditev vnosa, ki lahko v določenih okoliščinah povzročijo nepričakovane in pogosto nezaželene rezultate.

To so tiste, ki jih imenujemo ranljivosti, in katero koli od njih lahko uporabimo za poskus dostopa do sistemov in podatkov. Tam je ogromna skupnost kibernetskih kriminalcev, ki nimajo nič drugega kot najti te luknje in jih izkoristiti, da prodrejo v vaše sisteme in ukradejo vaše podatke. Če jih prezrejo ali ostanejo brez nadzora, lahko zlonamerni uporabniki izkoristijo ranljivosti za dostop do vaših sistemov in Podatki ali, kar je še huje, podatki vaše stranke ali kako drugače povzročijo večjo škodo, kot je upodabljanje vaših sistemov neuporabna

Ranljivosti je mogoče najti povsod. Pogosto lezejo v programski opremi, ki deluje na vaših strežnikih ali v njihovih operacijskih sistemih. Obstajajo tudi v omrežni opremi, kot so stikala, usmerjevalniki in celo varnostne naprave, kot so požarni zidovi. Če želite biti na varni strani - če obstaja takšna stvar, kot da ste na varni strani, jih morate resnično povsod iskati.

Orodja za skeniranje ranljivosti

Orodja za skeniranje in ocenjevanje ranljivosti imajo eno osnovno funkcijo: prepoznavanje ranljivosti v vaših sistemih, napravah, opremi in programski opremi. Pogosto jih imenujejo optični bralniki, ker bodo običajno pregledali vašo opremo in iskali znane ranljivosti.

Toda kako orodja za pregledovanje ranljivosti najdejo ranljivosti? Konec koncev jih običajno ni na vidiku. Če bi bili tako očitni, bi se razvijalci lotili njih pred izdajo programske opreme. Orodja se pravzaprav ne razlikujejo veliko od programske opreme za zaščito pred virusi, ki uporabljajo podatkovne baze definicij virusov za prepoznavanje podpisov računalniških virusov. Podobno se večina skenerjev za ranljivost opira na baze podatkov o ranljivosti in sisteme skeniranja za posebne ranljivosti. Take baze ranljivosti so pogosto na voljo v znanih neodvisnih laboratorijih za preskušanje varnosti, ki so namenjeni iskanju ranljivosti v programski in strojni opremi ali pa so lahko lastniške baze podatkov iz orodja za skeniranje ranljivosti prodajalec. Ker je veriga le močna kot njena najšibkejša vez, je stopnja zaznave, ki jo dobite, le tako dobra, kot je baza podatkov o ranljivosti, ki jo uporablja vaše orodje.

Kdo jih potrebuje?

Odgovor na eno besedo na to vprašanje je precej očiten: vsi! Tako kot si nihče pri pravem umu ne bi mislil voditi računalnika brez zaščite pred virusi te dni noben skrbnik omrežja ne bi smel imeti vsaj neke oblike ranljivosti zaščita. Napadi bi lahko prišli od koder koli in vas udarili tam in takrat, ko jih najmanj pričakujete. Zavedati se morate svojega tveganja izpostavljenosti.

Medtem ko je skeniranje ranljivosti verjetno nekaj, kar bi bilo mogoče storiti ročno, je to skoraj nemogoče delo. Že samo iskanje informacij o ranljivostih, kaj šele skeniranje sistemov na njihovo prisotnost, bi lahko zahtevalo ogromno virov. Nekatere organizacije so namenjene iskanju ranljivosti in pogosto zaposlujejo na stotine, če ne na tisoče ljudi. Zakaj jih ne bi izkoristili?

Vsakdo, ki upravlja več računalniških sistemov ali naprav, bi imel veliko koristi od uporabe orodja za skeniranje ranljivosti. Spoštovanje regulativnih standardov, kot sta SOX ali PCI-DSS, če jih naštejem le nekaj, vam pogosto naloži. Tudi če tega posebej ne zahtevajo, bo skladnost pogosto lažje dokazati, če lahko pokažete, da imate na voljo orodja za skeniranje ranljivosti.

Bistvene značilnosti orodij za skeniranje ranljivosti

Pri izbiri orodja za skeniranje ranljivosti je treba upoštevati veliko dejavnikov. Na vrhu seznama stvari, ki jih je treba upoštevati, je vrsta naprav, ki jih je mogoče skenirati. Potrebujete orodje, s katerim boste lahko skenirali vso opremo, ki jo potrebujete za pregled. Če imate na primer veliko strežnikov Linux, boste želeli izbrati orodje, ki jih lahko skenira, in ne tisto, ki uporablja samo Windows naprave. Izbrati morate tudi skener, ki je v vašem okolju čim natančnejši. Ne bi se želeli utopiti v nekoristnih obvestilih in lažnih pozitivnih navedbah.

Drug razlikovalni element med izdelki je njihova zbirka podatkov o ranljivosti. Ali ga prodajalec vzdržuje ali je to neodvisna organizacija? Kako redno se posodablja? Ali je shranjena lokalno ali v oblaku? Ali morate za uporabo baze ranljivosti ali za posodobitve plačati dodatne pristojbine? Pred izbiro orodja boste morda želeli dobiti odgovore na ta vprašanja.

Nekateri bralniki ranljivosti uporabljajo vsiljive metode skeniranja. Lahko bi vplivali na delovanje sistema. Pravzaprav so najbolj vsiljivi pogosto najboljši bralniki. Če pa vplivajo na delovanje sistema, boste o tem želeli vnaprej vedeti, da boste ustrezno pregledali svoje skeniranje. Ko govorimo o razporejanju, je to še en pomemben vidik orodij za skeniranje ranljivosti omrežja. Nekatera orodja sploh nimajo načrtovanih pregledov in jih je treba zagnati ročno.

Opozorilo in poročanje sta prav tako pomembni značilnosti orodij za skeniranje ranljivosti. Opozorilo se nanaša na to, kaj se zgodi, ko se najde ranljivost. Ali obstaja jasno in enostavno razumevanje obvestila? Kako se prenaša? Preko pojavnega okna na zaslonu, e-poštnega sporočila, besedilnega sporočila? Še pomembneje je, ali orodje ponuja kakšen vpogled v to, kako odpraviti ranljivosti, ki jih najde? Nekatera orodja imajo celo samodejno sanacijo nekaterih vrst ranljivosti. Ostala orodja se integrirajo s programsko opremo za upravljanje popravkov, saj je popravilo pogosto najboljši način za odpravljanje ranljivosti.

Kar zadeva poročanje, čeprav gre pogosto za osebne želje, morate zagotoviti, da bodo informacije, ki jih pričakujete in jih morate najti v poročilih, dejansko tam. Nekatera orodja imajo samo vnaprej določena poročila, druga pa vam omogočajo spreminjanje vgrajenih poročil. Kar se tiče najboljših - vsaj z vidika poročanja - vam bodo omogočili, da ustvarite poročila po meri iz nič.

Štiri odlične alternative MBSA

Zdaj, ko vemo, kaj so ranljivosti, kako se skenirajo in katere so glavne značilnosti Orodja za skeniranje ranljivosti so pripravljena na pregled nekaterih najboljših ali najbolj zanimivih paketov, ki jih imamo bi lahko našli. Vključili smo nekaj plačanih in nekaj brezplačnih orodij. Nekateri so na voljo celo v brezplačni in plačljivi različici. Vse bi bilo dobro nadomestiti MBSA. Poglejmo, katere so njihove glavne značilnosti.

SolarWinds je dobro znano ime med skrbniki omrežij in sistemov. Podjetje izdeluje nekaj najboljših orodij za mrežno administracijo že približno 20 let. Eno od svojih najboljših orodij, SolarWinds Monitor Performance Performance, je nenehno deležen visokih pohval in odmevnih ocen kot eno najboljših orodij za nadzor pasovne širine omrežja SNMP. Podjetje je tudi precej znano po svojih brezplačnih orodjih. So manjša orodja, namenjena reševanju določenih nalog upravljanja omrežja. Med najbolj znanimi od teh brezplačnih orodij sta tudi Advanced Subnet Calculator in strežnik Kiwi Syslog.

Naše prvo orodje, Upravitelj konfiguracije omrežja SolarWinds v resnici ni orodje za skeniranje ranljivosti. Toda zaradi dveh posebnih razlogov smo mislili, da gre za zanimivo alternativo MBSA, in se odločili, da jo vključimo na naš seznam. Za začetek ima izdelek funkcijo ocene ranljivosti in prav tako obravnava določeno vrsto ranljivost, ki je pomembna, vendar ne toliko drugih orodij, napačna konfiguracija omrežij oprema. Izdelek ima tudi funkcije, ki niso povezane z ranljivostjo.

• BREZPLAČEN PREIZKUS: Upravitelj konfiguracije omrežja SolarWinds
• Uradna povezava za prenos: https://www.solarwinds.com/network-configuration-manager/registration

The Upravitelj konfiguracije omrežja SolarWindsGlavna uporaba kot orodje za pregledovanje ranljivosti je potrjevanje konfiguracij omrežne opreme za napake in opustitve. Orodje lahko občasno preverja tudi spremembe v konfiguraciji naprave. To je koristno, saj se nekateri napadi začnejo s spreminjanjem konfiguracije omrežne naprave - ki pogosto niso tako varne kot strežniki - na način, ki olajša dostop do drugih sistemov. Orodje lahko pomaga tudi pri izpolnjevanju standardov ali skladnosti s predpisi z uporabo svojih avtomatiziranih orodij za konfiguracijo omrežja ki lahko namestijo standardizirane konfiguracije, zaznajo spremembe, ki niso v postopku, revizijske konfiguracije in celo popravijo kršitve.

Programska oprema se integrira z nacionalno zbirko podatkov o ranljivosti, ki si je prislužila svoje mesto na seznamu alternativ MBSA. Ima tudi dostop do najnovejših CVE-jev za prepoznavanje ranljivosti v vaših napravah Cisco. Delal bo s katero koli napravo Cisco, ki poganja ASA, IOS ali Nexus OS. Pravzaprav sta v izdelek vgrajena še dva uporabna orodja, Network Insights za ASA in Network Insights for Nexus.

Cena za Upravitelj konfiguracije omrežja SolarWinds se začne pri 2895 dolarjev za do 50 upravljanih vozlišč in narašča s številom upravljanih vozlišč. Če želite preizkusiti to orodje, lahko brezplačno 30-dnevno preizkusno različico naložite neposredno s SolarWinds.

2. OpenVAS

The Odprti sistem ocenjevanja ranljivostiali OpenVAS, je okvir več storitev in orodij. Kombinirajo in ustvarjajo celovito, a močno orodje za skeniranje ranljivosti. Okvir za tem OpenVAS je del rešitve za upravljanje ranljivosti Greenbone Networks, iz katere so elementi prispevali skupnost približno deset let. Sistem je popolnoma brezplačen in številne ključne komponente so odprtokodne, čeprav nekatere niso. Optični bralnik OpenVAS ima več kot petdeset tisoč preizkusov ranljivosti omrežja, ki se redno posodabljajo.

OpenVAS je sestavljen iz dveh osnovnih komponent. Prva je OpenVAS skener. To je komponenta, odgovorna za dejansko skeniranje ciljnih računalnikov. Druga komponenta je OpenVAS manager ki obravnava vse drugo, kot je nadzor optičnega bralnika, konsolidacija rezultatov in shranjevanje v centralni bazi podatkov SQL. Programska oprema ima uporabniški vmesnik, ki temelji na brskalniku in ukazni vrstici. Druga komponenta sistema je baza podatkov o testih ranljivosti omrežja. Ta zbirka podatkov lahko dobi posodobitve iz brezplačnega krmila Greenborne Community ali plačanega varnostnega vira Greenborne za celovitejšo zaščito.

3. Mrežna skupnost mrežnice

Mrežna skupnost mrežnice je brezplačna različica Retina omrežni varnostni skener iz Zgoraj zaupanje, ki je eden najbolj znanih bralnikov ranljivosti. Kljub brezplačnosti je vsestranski skener ranljivosti poln funkcij. Izvede lahko temeljito oceno ranljivosti manjkajočih popravkov, ranljivosti brez dneva in nezaščitenih konfiguracij. Ponaša se tudi z uporabniškimi profili, usklajenimi s funkcijami opravil, kar poenostavlja delovanje sistema. Ta izdelek odlikuje intuitiven grafični vmesnik v slogu metroja, ki omogoča poenostavljeno delovanje sistema.

Ena super stvar Mrežna skupnost mrežnice je, da uporablja isto bazo podatkov o ranljivosti kot njena plačana sorojenka. To je obsežna baza podatkov o omrežnih ranljivostih, težavah s konfiguracijo in manjkajočimi popravki samodejno posodobljen in zajema širok spekter operacijskih sistemov, naprav, aplikacij in virtualnih okoljih. Če govorimo o virtualnih okoljih, izdelek v celoti podpira VMware in vključuje spletno in zunanje skeniranje navideznih slik, skeniranje virtualnih aplikacij in integracijo z vCenter.

Glavna pomanjkljivost Mrežna skupnost mrežnice je, da je omejena na skeniranje 256 naslovov IP. Čeprav upravljate z veliko mrežo, to morda ne bo veliko, za številne manjše organizacije bi lahko bilo več kot dovolj. Če ima vaše okolje več kot 256 naprav, vse, kar smo pravkar povedali o tem izdelku, velja tudi za njegovega starejšega brata Retina omrežni varnostni skener ki je na voljo v izdajah Standard in Unlimited. Vsaka izdaja ima v primerjavi z različico razširjen nabor funkcij Retine Network skener.

4. Nexpose Community Edition

Morda ni ravno tako priljubljena kot Retina, Nezaščita iz Hitro7 je še en dobro poznan skener ranljivosti. Kar se tiče Nexpose Community Edition, je nekoliko pomanjšana različica Hitro7Celovit skener ranljivosti. Vendar ima izdelek nekaj pomembnih omejitev. Na primer, je omejeno na skeniranje največ 32 naslovov IP. To močno omejuje uporabnost orodja samo na najmanjše mreže. Druga omejitev je, da je izdelek mogoče uporabljati le eno leto. Če lahko živite s temi omejitvami, je odličen izdelek. Če ne, si lahko vedno ogledate plačano ponudbo Hitro7.

Nexpose Community Edition se bo izvajal na fizičnih strojih pod Windows ali Linux. Na voljo je tudi kot virtualni aparat. Ima obsežne možnosti skeniranja, ki lahko upravljajo z omrežji, operacijskimi sistemi, spletnimi aplikacijami, bazami podatkov in virtualnim okoljem. To orodje uporablja prilagodljivo varnost, ki lahko samodejno zazna in oceni nove naprave in nove ranljivosti v trenutku, ko dostopajo do vašega omrežja. Ta funkcija deluje v povezavi z dinamičnimi povezavami z VMware in AWS. Programska oprema se vključuje tudi v raziskovalni projekt Sonar, da bi zagotovila resnično spremljanje v živo. Nexpose Community Edition ponuja integrirano skeniranje pravil, ki pomaga pri izpolnjevanju priljubljenih standardov, kot sta CIS in NIST. In nenazadnje, intuitivna poročila o sanaciji orodja vam dajejo podrobna navodila za ukrepe sanacije.