Никой не иска мрежата, която успяват, да стане цел на злонамерени потребители, които се опитват да откраднат корпоративни данни или да причинят щети на организацията. За да предотвратите това, трябва да намерите начини да гарантирате, че има възможно най-малко начини за влизане. И това се постига отчасти, като се уверите, че всяка уязвимост във вашата мрежа е известна, адресирана и коригирана. И за тези уязвимости, които не могат да бъдат коригирани, че има нещо, което да ги смекчи. Първата стъпка е очевидна; това е да сканирате вашата мрежа за тези уязвимости. Това е работата на специфичен тип софтуер, наречен инструменти за сканиране на уязвимости. Днес преглеждаме 6-те най-добри инструменти и софтуер за сканиране на уязвимости.
Нека започнем, като поговорим за уязвимостта на мрежата – или трябва да кажем уязвимостите – и се опитаме да обясним какви са те. След това ще обсъдим инструменти за сканиране на уязвимости. Ще опишем кой има нужда от тях и защо. И тъй като скенерът за уязвимости е само един компонент от процеса на управление на уязвимостите – макар и важен – за това ще говорим по-нататък. След това ще видим как обикновено работят скенерите за уязвимости. Всички са донякъде различни, но в основата си често има повече прилики, отколкото разлики. И преди да прегледаме най-добрите инструменти и софтуер за сканиране на уязвимости, ще обсъдим основните им характеристики.
Съдържание
Въведение в уязвимостта
Компютърните системи и мрежи са достигнали по-високо ниво на сложност от всякога. Днешният среден сървър обикновено може да изпълнява стотици процеси. Всеки от тези процеси е компютърна програма, някои от тях са големи програми, които са направени от хиляди редове изходен код. И в този код може да има — вероятно има — всякакви неочаквани неща. В един момент разработчикът може да е добавил някаква функция за задна врата, за да улесни отстраняването на грешки. И по-късно тази функция може по погрешка да е стигнала до окончателното издание. Възможно е също така да има някои грешки при валидирането на входа, които ще доведат до неочаквани – и нежелани – резултати при някои специфични обстоятелства.
Всяко от тях може да се използва за опит за получаване на достъп до системи и данни. Има огромна общност от хора, които нямат нищо по-добро от това да намерят тези дупки и да ги използват, за да атакуват вашите системи. Уязвимостите са това, което наричаме тези дупки. Ако бъдат оставени без надзор, уязвимостите могат да бъдат използвани от злонамерени потребители, за да получат достъп до вашите системи и данни – или вероятно по-лошо, данните на вашия клиент – или по друг начин да причинят някои щети, като например да направят системите ви неизползваеми.
Уязвимостите могат да бъдат навсякъде. Те често се срещат в софтуер, работещ на вашите сървъри или техните операционни системи, но съществуват и в мрежово оборудване като комутатори, рутери и дори устройства за сигурност като защитни стени. Човек наистина трябва да ги търси навсякъде.
Инструменти за сканиране — какво представляват и как работят
Инструментите за сканиране или оценка на уязвимости имат една основна функция: идентифициране на уязвимости във вашите системи, устройства, оборудване и софтуер. Те се наричат скенери, защото обикновено сканират вашето оборудване, за да търсят известни уязвимости.
Но как инструментите за сканиране на уязвимости намират уязвимости, които обикновено не се виждат? Ако бяха толкова очевидни, разработчиците щяха да се обърнат към тях, преди да пуснат софтуера. Подобно на софтуера за защита от вируси, който използва бази данни с дефиниции на вируси за разпознаване на компютърни вирусни подписи, повечето скенери за уязвимости разчитат на бази данни за уязвимости и системи за сканиране за специфични уязвимости. Тези бази данни за уязвимости могат да бъдат получени от добре познати независими лаборатории за тестване на сигурността, посветени на намирането на уязвимости в софтуера и хардуера, или могат да бъдат собствени бази данни от доставчика на инструмента. Както бихте очаквали, нивото на откриване, което получавате, е толкова добро, колкото базата данни за уязвимости, която използва вашият инструмент.
Инструменти за сканиране — кой има нужда от тях?
Отговорът с една дума на този въпрос е доста очевиден: Всеки! В днешно време никой в здравия си ум не би си помислил да работи с компютър без някаква защита от вируси. По същия начин нито един мрежов администратор не трябва да има поне някаква форма на откриване на уязвимост. Атаките могат да идват отвсякъде и да ви ударят там, където най-малко ги очаквате. Трябва да сте наясно с риска от излагане.
Това вероятно е нещо, което теоретично може да се направи ръчно. На практика обаче това е почти невъзможна работа. Само намирането на информация за уязвимости, да не говорим за сканиране на вашите системи за тяхното присъствие, може да отнеме огромно количество ресурси. Някои организации са посветени на намирането на уязвимости и често наемат стотици, ако не и хиляди хора.
Всеки, който управлява редица компютърни системи или устройства, би се възползвал много от използването на инструмент за сканиране на уязвимости. Освен това, спазването на регулаторни стандарти като SOX или PCI-DSS често ще изисква да го направите. И дори да не го изискват, съответствието често ще бъде по-лесно за демонстриране, ако можете да покажете, че сканирате мрежата си за уязвимости.
Управление на уязвимостите накратко
Откриването на уязвимости с помощта на някакъв софтуерен инструмент е от съществено значение. Това е първата стъпка в защитата срещу атаки. Но това е някак безполезно, ако не е част от пълен процес на управление на уязвимостите. Системите за откриване на проникване не са системи за предотвратяване на проникване и по същия начин инструментите за сканиране на мрежови уязвимости – или поне повечето от тях – само ще откриват уязвимости и ще ви предупреждават за тяхното присъствие.
Тогава от вас, администратора, зависи да имате някакъв процес за справяне с откритите уязвимости. Първото нещо, което трябва да направите при тяхното откриване, е да оцените уязвимостите. Искате да сте сигурни, че откритите уязвимости са реални. Инструментите за сканиране на уязвимости предпочитат да грешат от страна на предпазливост и много от тях ще докладват определен брой фалшиви положителни резултати. И ако с истински уязвимости, те може да не представляват истинска загриженост. Например, неизползван отворен IP порт на сървър може да не е проблем, ако се намира точно зад защитна стена, която блокира този порт.
След като бъдат оценени уязвимостите, е време да решите как да ги адресирате и коригирате. Ако бъдат открити в софтуер, който вашата организация почти не използва – или изобщо не използва – най-добрият ви начин на действие може да бъде да премахнете уязвимия софтуер и да го замените с друг, предлагащ подобна функционалност. В други случаи коригирането на уязвимостите е толкова лесно, колкото да приложите някаква корекция от софтуерния издател или да надстроите до най-новата версия. Много инструменти за сканиране на уязвимости ще идентифицират наличните корекции за откритите уязвимости. Други уязвимости могат да бъдат коригирани просто чрез промяна на някои конфигурационни настройки. Това е особено вярно за мрежово оборудване, но се случва и със софтуер, работещ на компютри.
Основни характеристики на инструментите за сканиране на уязвимости
Има много неща, които трябва да имате предвид, когато избирате инструмент за сканиране на уязвимости. Един от най-важните аспекти на тези инструменти е наборът от устройства, които могат да сканират. Искате инструмент, който ще може да сканира цялото оборудване, което притежавате. Ако имате много сървъри на Linus, например, ще искате да изберете инструмент, който може да ги сканира, а не такъв, който обработва само устройства с Windows. Вие също искате да изберете скенер, който е възможно най-точен във вашата среда. Не бихте искали да се удавите в безполезни известия и фалшиви положителни резултати.
Друг основен диференциращ фактор е базата данни за уязвимостите на инструмента. Поддържа ли се от продавача или е от независима организация? Колко редовно се актуализира? Съхранява ли се локално или в облака? Трябва ли да плащате допълнителни такси, за да използвате базата данни за уязвимости или да получавате актуализации? Това са всички неща, които ще искате да знаете, преди да изберете своя инструмент.
Някои скенери за уязвимости ще използват по-натрапчив метод за сканиране, който потенциално може да повлияе на производителността на системата. Това не е непременно лошо, тъй като най-натрапчивите често са най-добрите скенери, но ако влияят на производителността на системата, ще искате да знаете за това и да планирате сканирането си съответно. Между другото, планирането е друг важен аспект на инструментите за сканиране на уязвимости в мрежата. Някои инструменти дори нямат планирано сканиране и трябва да се стартират ръчно.
Има поне две други важни характеристики на инструментите за сканиране на уязвимости: предупреждение и докладване. Какво се случва, когато се открие уязвимост? Уведомлението ясно и лесно ли е за разбиране? Как се представя? Това изскачащ прозорец на екрана, имейл, текстово съобщение ли е? И още по-важното е, предоставя ли инструментът някаква представа за това как да се коригират идентифицираните от него уязвимости? Някои инструменти го правят, а други не. Някои дори имат автоматизирано отстраняване на определени уязвимости. Други инструменти ще се интегрират със софтуера за управление на корекции, тъй като корекцията често е най-добрият начин за коригиране на уязвимости.
Що се отнася до докладването, това често е въпрос на лични предпочитания. Трябва обаче да гарантирате, че информацията, която очаквате и трябва да намерите в отчетите, действително ще бъде там. Някои инструменти имат само предварително дефинирани отчети, други ще ви позволят да променяте вградените отчети. А най-добрите – поне от гледна точка на отчетността – ще ви позволят да създавате персонализирани отчети от нулата.
Нашите топ 6 инструмента за сканиране на уязвимости
Сега, когато научихме малко повече за инструментите за сканиране на уязвимости, нека прегледаме някои от най-добрите или най-интересните пакети, които можем да намерим. Опитахме се да включим комбинация от платени и безплатни инструменти. Има и инструменти, които се предлагат в безплатна и платена версия.
1. Мениджър за мрежова конфигурация на SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН АП)
В случай, че все още не познавате SolarWinds, компанията прави едни от най-добрите инструменти за мрежово администриране от около 20 години. Сред най-добрите си инструменти, SolarWinds Network Performance Monitor постоянно получава висока похвала и възторжени отзиви като един от най-добрите инструменти за наблюдение на честотната лента на SNMP мрежата. Компанията е известна и със своите безплатни инструменти. Това са по-малки инструменти, предназначени да отговорят на конкретна задача за управление на мрежата. Сред най-известните от тези безплатни инструменти са калкулатор на подмрежа и TFTP сървър.
Инструментът, който бихме искали да представим тук, е инструмент, наречен SolarWinds Network Configuration Manager. Това обаче всъщност не е инструмент за сканиране на уязвимости. Но има две конкретни причини, поради които решихме да включим този инструмент в нашия списък. Продуктът има функция за оценка на уязвимостта и адресира специфичен тип уязвимост, която е важна, но която не се справя с много други инструменти, неправилната конфигурация на мрежовото оборудване.
Основната помощна програма на SolarWinds Network Configuration Manager като инструмент за сканиране на уязвимости е валидирането на конфигурации на мрежово оборудване за грешки и пропуски. Инструментът може също така периодично да проверява конфигурациите на устройството за промени. Това също е полезно, тъй като някои атаки се стартират чрез промяна на конфигурацията на някои устройства в мрежата, които често не са толкова сигурни като сървърите, по начин, който може да улесни достъпа до други системи. Инструментът може също да ви помогне със стандартите или регулаторното съответствие с неговите автоматизирани инструменти за мрежова конфигурация, които могат да разгръщат стандартизирани конфигурации, да откриват промени извън процеса, одит на конфигурации и дори да коригират нарушенията.
Софтуерът се интегрира с Националната база данни за уязвимости, което го прави да бъде в нашия списък още повече. Той има достъп до най-актуалните CVE за идентифициране на уязвимостите във вашите Cisco устройства. Той ще работи с всяко устройство на Cisco, работещо с ASA, IOS или Nexus OS. Всъщност два други полезни инструмента, Network Insights за ASA и Network Insights за Nexus, са вградени направо в продукта.
Цените за SolarWinds Network Configuration Manager започват от $2895 за до 50 управлявани възли и варират в зависимост от броя на възлите. Ако искате да опитате този инструмент, безплатна 30-дневна пробна версия може да бъде изтеглена от SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer, или MBSA, е малко по-стар инструмент от Microsoft. Въпреки че е по-малко от идеалната опция за големи организации, инструментът може да бъде подходящ за по-малки бизнеси, които имат само шепа сървъри. Това е инструмент на Microsoft, така че по-добре не очаквайте да изглеждате сканирани, а продукти на Microsoft или ще бъдете разочаровани. Той обаче ще сканира операционната система Windows, както и някои услуги като защитната стена на Windows, SQL сървъра, IIS и приложенията на Microsoft Office.
Но този инструмент не сканира за конкретни уязвимости, както правят другите скенери за уязвимости. Това, което прави, е да търси липсващи пачове, сервизни пакети и актуализации на защитата, както и да сканира системи за административни проблеми. Машината за отчитане на MBSA ще ви позволи да получите списък с липсващи актуализации и неправилни конфигурации.
Тъй като е стар инструмент от Microsoft, MBSA не е напълно съвместим с Windows 10. Версия 2.3 ще работи с най-новата версия на Windows, но може да изисква някои настройки за почистване на фалшиви положителни резултати и за коригиране на проверките, които не могат да бъдат завършени. Например, този инструмент ще докладва фалшиво, че Windows Update не е активиран в Windows 10. Друг недостатък на този продукт е, че няма да открива уязвимости, различни от Microsoft, или сложни уязвимости. Този инструмент е лесен за използване и върши работата си добре. Много добре може да бъде идеалният инструмент за по-малка организация само с няколко компютъра с Windows.
3. Отворена система за оценка на уязвимостите (OpenVAS)
Следващият ни инструмент се нарича Open Vulnerability Assessment System или OpenVAS. Това е рамка от няколко услуги и инструменти. Всички те се комбинират, за да го направят изчерпателен и мощен инструмент за сканиране на уязвимости. Рамката зад OpenVAS е част от решението за управление на уязвимостите на Greenbone Networks, от което елементите се предоставят на общността в продължение на около десет години. Системата е напълно безплатна и повечето от нейните компоненти са с отворен код, въпреки че някои не са. Скенерът OpenVAS се предлага с над петдесет хиляди теста за уязвимост на мрежата, които се актуализират редовно.
OpenVAS има два основни компонента. Първият компонент е скенерът OpenVAS. Както подсказва името му, той е отговорен за действителното сканиране на целевите компютри. Вторият компонент е OpenVAS мениджърът, който обработва всичко останало, като например контролиране на скенера, консолидиране на резултатите и съхраняването им в централна SQL база данни. Системата включва както базирани на браузър, така и потребителски интерфейси от команден ред. Друг компонент на системата е базата данни за тестове за мрежови уязвимости. Тази база данни може да получава своите актуализации или от безплатния Greenborne Community Feed или от платения Greenborne Security Feed.
4. Retina Network Community
Retina Network Community е безплатната версия на Retina Network Security Scanner от AboveTrust, който е един от най-известните скенери за уязвимости. Този изчерпателен скенер за уязвимости е пълен с функции. Инструментът може да извърши задълбочена оценка на уязвимостта на липсващи пачове, уязвимости от нулев ден и незащитени конфигурации. Той също така може да се похвали с потребителски профили, съобразени с работните функции, като по този начин опростява работата на системата. Този продукт разполага с интуитивен GUI в стил метро, който позволява опростена работа на системата.
Retina Network Community използва същата база данни за уязвимости като своя платен брат. Това е обширна база данни с уязвимости в мрежата, проблеми с конфигурацията и липсващи пачове, която се актуализира автоматично и обхваща широк спектър от операционни системи, устройства, приложения и виртуални среди. По този въпрос този продукт напълно поддържа VMware среди и включва онлайн и офлайн сканиране на виртуални изображения, сканиране на виртуални приложения и интеграция с vCenter.
Съществува обаче основен недостатък на общността на Retina Network. Инструментът е ограничен до сканиране на 256 IP адреса. Това може да не изглежда много, ако управлявате голяма мрежа, но може да е повече от достатъчно за много по-малки организации. Ако вашата среда е по-голяма от това, всичко, което току-що казахме за този продукт, е вярно и за неговия по-голям брат, Retina Network Security Scanner, който се предлага в стандартни и неограничени издания. Всяко издание има същия разширен набор от функции в сравнение със скенера Retina Network Community.
5. Nexpose Community Edition
Може да не е толкова популярен като Retina, но Nexpose от Rapid7 е друг добре познат скенер за уязвимости. А Nexpose Community Edition е леко намалена версия на цялостния скенер за уязвимости на Rapid7. Ограниченията на продукта обаче са важни. Например, можете да използвате продукта само за сканиране на максимум 32 IP адреса. Това го прави добър вариант само за най-малките мрежи. Освен това продуктът може да се използва само една година. Ако можете да живеете с продукта, той е отличен.
Nexpose Community Edition ще работи на физически машини с Windows или Linux. Предлага се и като виртуален уред. Неговите обширни възможности за сканиране ще се справят с мрежи, операционни системи, уеб приложения, бази данни и виртуални среди. Nexpose Community Edition използва адаптивна защита, която може автоматично да открива и оценява нови устройства и нови уязвимости в момента, в който те осъществят достъп до вашата мрежа. Тази функция работи във връзка с динамични връзки към VMware и AWS. Този инструмент също се интегрира с изследователския проект Sonar, за да осигури истинско наблюдение на живо. Nexpose Community Edition предоставя интегрирано сканиране на политики, за да помогне при спазването на популярни стандарти като CIS и NIST. И не на последно място, интуитивните отчети за коригиране на инструмента ви дават инструкции стъпка по стъпка относно действията за отстраняване.