Ninguém quer que a rede que administram se torne alvo de usuários mal-intencionados que tentam roubar dados corporativos ou causar danos à organização. Para evitar isso, você precisa encontrar maneiras de garantir que haja o menor número possível de maneiras de entrar. E isso é feito, em parte, certificando-se de que cada vulnerabilidade em sua rede seja conhecida, abordada e corrigida. E para as vulnerabilidades que não podem ser corrigidas, existe algo para mitigá-las. O primeiro passo é óbvio; é varrer sua rede em busca dessas vulnerabilidades. Este é o trabalho de um tipo específico de software chamado ferramentas de verificação de vulnerabilidade. Hoje, estamos analisando as 6 melhores ferramentas e softwares de verificação de vulnerabilidades.
Vamos começar falando sobre vulnerabilidade de rede – ou devemos dizer vulnerabilidades – e tentar explicar o que são. Em seguida, discutiremos as ferramentas de verificação de vulnerabilidades. Vamos descrever quem precisa deles e por quê. E como um scanner de vulnerabilidades é apenas um componente de um processo de gerenciamento de vulnerabilidades – embora importante – é sobre isso que falaremos a seguir. Em seguida, veremos como os scanners de vulnerabilidade normalmente funcionam. Todos são um pouco diferentes, mas em sua essência, muitas vezes há mais semelhanças do que diferenças. E antes de analisarmos as melhores ferramentas e softwares de varredura de vulnerabilidades, discutiremos seus principais recursos.
últimas postagens
Uma introdução à vulnerabilidade
Os sistemas e redes de computadores atingiram um nível de complexidade mais alto do que nunca. O servidor médio de hoje normalmente pode estar executando centenas de processos. Cada um desses processos é um programa de computador, alguns deles são grandes programas feitos de milhares de linhas de código-fonte. E dentro desse código, pode haver – provavelmente há – todo tipo de coisas inesperadas. Um desenvolvedor pode, em um ponto, ter adicionado algum recurso de backdoor para facilitar a depuração. E mais tarde, esse recurso pode ter chegado à versão final por engano. Também pode haver alguns erros na validação de entrada que causarão resultados inesperados e indesejáveis em alguma circunstância específica.
Qualquer um deles pode ser usado para tentar obter acesso a sistemas e dados. Existe uma enorme comunidade de pessoas por aí que não têm nada melhor a fazer do que encontrar esses buracos e explorá-los para atacar seus sistemas. Vulnerabilidades são como chamamos esses buracos. Se deixadas sem vigilância, as vulnerabilidades podem ser usadas por usuários mal-intencionados para obter acesso aos seus sistemas e dados – ou possivelmente pior, aos dados do seu cliente – ou para causar algum dano, como tornar seus sistemas inutilizáveis.
As vulnerabilidades podem estar em todos os lugares. Eles são frequentemente encontrados em softwares executados em seus servidores ou em seus sistemas operacionais, mas também existem em equipamentos de rede, como switches, roteadores e até dispositivos de segurança, como firewalls. Um realmente precisa procurá-los em todos os lugares.
Ferramentas de digitalização – o que são e como funcionam
As ferramentas de verificação — ou avaliação — de vulnerabilidades têm uma função principal: identificar vulnerabilidades em seus sistemas, dispositivos, equipamentos e software. Eles são chamados de scanners porque geralmente verificam seu equipamento para procurar vulnerabilidades conhecidas.
Mas como as ferramentas de verificação de vulnerabilidades encontram vulnerabilidades que normalmente não estão à vista? Se eles fossem tão óbvios, os desenvolvedores os teriam abordado antes de lançar o software. Assim como o software de proteção contra vírus que usa bancos de dados de definições de vírus para reconhecer assinaturas de vírus de computador, a maioria dos scanners de vulnerabilidade depende de bancos de dados de vulnerabilidade e sistemas de varredura para vulnerabilidades específicas. Esses bancos de dados de vulnerabilidades podem ser obtidos em laboratórios de teste de segurança independentes bem conhecidos dedicados a encontrar vulnerabilidades em software e hardware ou podem ser bancos de dados proprietários do fornecedor da ferramenta. Como seria de esperar, o nível de detecção obtido é tão bom quanto o banco de dados de vulnerabilidades que sua ferramenta usa.
Ferramentas de digitalização — quem precisa delas?
A resposta de uma palavra para essa pergunta é bastante óbvia: Qualquer um! Ninguém em sã consciência pensaria em executar um computador sem alguma proteção contra vírus nos dias de hoje. Da mesma forma, nenhum administrador de rede deve ficar sem pelo menos alguma forma de detecção de vulnerabilidade. Os ataques podem vir de qualquer lugar e atingir você onde você menos espera. Você precisa estar ciente de seu risco de exposição.
Isso é possivelmente algo que teoricamente poderia ser feito manualmente. Praticamente, porém, este é um trabalho quase impossível. Apenas encontrar informações sobre vulnerabilidades, e muito menos verificar a presença de seus sistemas, pode consumir uma enorme quantidade de recursos. Algumas organizações se dedicam a encontrar vulnerabilidades e geralmente empregam centenas, senão milhares de pessoas.
Qualquer pessoa que gerencie vários sistemas ou dispositivos de computador se beneficiaria muito com o uso de uma ferramenta de verificação de vulnerabilidades. Além disso, a conformidade com os padrões regulatórios, como SOX ou PCI-DSS, muitas vezes exigirá que você o faça. E mesmo que eles não exijam isso, a conformidade geralmente será mais fácil de demonstrar se você puder mostrar que está verificando vulnerabilidades em sua rede.
Gerenciamento de vulnerabilidades em poucas palavras
Detectar vulnerabilidades usando algum tipo de ferramenta de software é essencial. É o primeiro passo na proteção contra ataques. Mas é meio inútil se não fizer parte de um processo completo de gerenciamento de vulnerabilidades. Os sistemas de detecção de intrusão não são sistemas de prevenção de intrusão e, da mesma forma, as ferramentas de verificação de vulnerabilidades de rede – ou pelo menos a maioria delas – apenas detectam vulnerabilidades e alertam sobre sua presença.
Cabe então a você, o administrador, ter algum processo em vigor para lidar com as vulnerabilidades detectadas. A primeira coisa a fazer após a detecção é avaliar as vulnerabilidades. Você quer ter certeza de que as vulnerabilidades detectadas são reais. As ferramentas de verificação de vulnerabilidade tendem a preferir errar por precaução e muitas relatam um certo número de falsos positivos. E se houver vulnerabilidades verdadeiras, elas podem não ser uma preocupação real. Por exemplo, uma porta IP aberta não utilizada em um servidor pode não ser um problema se estiver logo atrás de um firewall que bloqueia essa porta.
Depois que as vulnerabilidades são avaliadas, é hora de decidir como resolvê-las – e corrigi-las. Se eles foram encontrados em um software que sua organização quase não usa – ou não usa – seu melhor curso de ação pode ser remover o software vulnerável e substituí-lo por outro que ofereça funcionalidade semelhante. Em outros casos, corrigir vulnerabilidades é tão fácil quanto aplicar algum patch do editor do software ou atualizar para a versão mais recente. Muitas ferramentas de verificação de vulnerabilidade identificarão as correções disponíveis para as vulnerabilidades encontradas. Outras vulnerabilidades podem ser corrigidas simplesmente modificando alguma configuração. Isso é particularmente verdadeiro para equipamentos de rede, mas também acontece com softwares executados em computadores.
Principais recursos das ferramentas de verificação de vulnerabilidades
Há muitas coisas que devem ser consideradas ao selecionar uma ferramenta de verificação de vulnerabilidades. Um dos aspectos mais importantes dessas ferramentas é a variedade de dispositivos que podem digitalizar. Você quer uma ferramenta que seja capaz de escanear todos os equipamentos que você possui. Se você tem muitos servidores Linus, por exemplo, você vai querer escolher uma ferramenta que possa escaneá-los, não uma que lida apenas com dispositivos Windows. Você também deseja escolher um scanner que seja o mais preciso possível em seu ambiente. Você não gostaria de se afogar em notificações inúteis e falsos positivos.
Outro grande diferencial é o banco de dados de vulnerabilidades da ferramenta. É mantido pelo fornecedor ou é de uma organização independente? Com que regularidade é atualizado? É armazenado localmente ou na nuvem? Você precisa pagar taxas adicionais para usar o banco de dados de vulnerabilidades ou para obter atualizações? Estas são todas as coisas que você vai querer saber antes de escolher sua ferramenta.
Alguns scanners de vulnerabilidade usarão um método de verificação mais intrusivo que pode afetar o desempenho do sistema. Isso não é necessariamente uma coisa ruim, pois os mais intrusivos geralmente são os melhores scanners, mas se eles afetarem o desempenho do sistema, você vai querer saber sobre isso e agendar suas verificações de acordo. A propósito, o agendamento é outro aspecto importante das ferramentas de verificação de vulnerabilidades de rede. Algumas ferramentas nem têm verificações agendadas e precisam ser iniciadas manualmente.
Existem pelo menos dois outros recursos importantes das ferramentas de verificação de vulnerabilidades: alertas e relatórios. O que acontece quando uma vulnerabilidade é encontrada? A notificação é clara e fácil de entender? Como é renderizado? É um pop-up na tela, um e-mail, uma mensagem de texto? E ainda mais importante, a ferramenta fornece algumas dicas sobre como corrigir as vulnerabilidades que identifica? Algumas ferramentas sim e outras não. Alguns até têm correção automatizada de certas vulnerabilidades. Outras ferramentas serão integradas ao software de gerenciamento de patches, pois a aplicação de patches geralmente é a melhor maneira de corrigir vulnerabilidades.
Quanto aos relatórios, isso geralmente é uma questão de preferência pessoal. No entanto, você deve garantir que as informações que você espera e precisa encontrar nos relatórios estarão realmente lá. Algumas ferramentas têm apenas relatórios predefinidos, outras permitem que você modifique relatórios integrados. E os melhores – pelo menos do ponto de vista de relatórios – permitem que você crie relatórios personalizados do zero.
Nossas 6 principais ferramentas de verificação de vulnerabilidades
Agora que aprendemos um pouco mais sobre as ferramentas de varredura de vulnerabilidades, vamos revisar alguns dos melhores ou mais interessantes pacotes que encontramos. Tentamos incluir uma mistura de ferramentas pagas e gratuitas. Existem também ferramentas que estão disponíveis em uma versão gratuita e paga.
1. Gerenciador de configuração de rede SolarWinds (TESTE GRATUITO)
Caso você ainda não conheça a SolarWinds, a empresa fabrica algumas das melhores ferramentas de administração de rede há cerca de 20 anos. Entre suas melhores ferramentas, o SolarWinds Network Performance Monitor tem recebido consistentemente elogios e elogios como uma das melhores ferramentas de monitoramento de largura de banda de rede SNMP. A empresa também é um pouco famosa por suas ferramentas gratuitas. Essas são ferramentas menores projetadas para lidar com uma tarefa específica de gerenciamento de rede. Entre as ferramentas gratuitas mais conhecidas estão uma calculadora de sub-rede e um servidor TFTP.
A ferramenta que gostaríamos de apresentar aqui é uma ferramenta chamada SolarWinds Network Configuration Manager. No entanto, esta não é realmente uma ferramenta de verificação de vulnerabilidades. Mas há duas razões específicas pelas quais decidimos incluir essa ferramenta em nossa lista. O produto possui um recurso de avaliação de vulnerabilidades e aborda um tipo específico de vulnerabilidade, que é importante, mas que muitas outras ferramentas não abordam, a configuração incorreta de equipamentos de rede.
O principal utilitário do SolarWinds Network Configuration Manager como ferramenta de verificação de vulnerabilidades está na validação de configurações de equipamentos de rede quanto a erros e omissões. A ferramenta também pode verificar periodicamente as configurações do dispositivo para alterações. Isso também é útil, pois alguns ataques são iniciados pela modificação de algumas configurações de rede de dispositivos – que geralmente não são tão seguras quanto os servidores – de uma maneira que pode facilitar o acesso a outros sistemas. A ferramenta também pode ajudá-lo com padrões ou conformidade regulatória com suas ferramentas automatizadas de configuração de rede que podem implantar configurações padronizadas, detectar alterações fora do processo, configurações de auditoria e até mesmo corrigir violações.
O software se integra ao National Vulnerability Database, o que o faz merecer ainda mais estar em nossa lista. Ele tem acesso aos CVEs mais atuais para identificar vulnerabilidades em seus dispositivos Cisco. Ele funcionará com qualquer dispositivo Cisco executando ASA, IOS ou Nexus OS. Na verdade, duas outras ferramentas úteis, Network Insights for ASA e Network Insights for Nexus, são incorporadas diretamente ao produto.
Os preços do SolarWinds Network Configuration Manager começam em US$ 2.895 para até 50 nós gerenciados e variam de acordo com o número de nós. Se você quiser experimentar esta ferramenta, uma versão de avaliação gratuita de 30 dias pode ser baixada da SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
O Microsoft Baseline Security Analyzer, ou MBSA, é uma ferramenta um pouco mais antiga da Microsoft. Apesar de ser uma opção menos do que ideal para grandes organizações, a ferramenta pode ser uma boa opção para empresas menores, aquelas com apenas alguns servidores. Esta é uma ferramenta da Microsoft, então é melhor você não esperar t olhar para os produtos da Microsoft ou você ficará desapontado. No entanto, ele verificará o sistema operacional Windows, bem como alguns serviços, como o Firewall do Windows, o servidor SQL, o IIS e os aplicativos do Microsoft Office.
Mas essa ferramenta não verifica vulnerabilidades específicas como outros scanners de vulnerabilidade fazem. O que ele faz é procurar patches, service packs e atualizações de segurança ausentes, além de verificar os sistemas em busca de problemas administrativos. O mecanismo de relatórios do MBSA permitirá que você obtenha uma lista de atualizações ausentes e configurações incorretas.
Sendo uma ferramenta antiga da Microsoft, o MBSA não é totalmente compatível com o Windows 10. A versão 2.3 funcionará com a versão mais recente do Windows, mas pode exigir alguns ajustes para limpar falsos positivos e corrigir verificações que não podem ser concluídas. Por exemplo, essa ferramenta informará falsamente que o Windows Update não está habilitado no Windows 10. Outra desvantagem deste produto é que ele não detecta vulnerabilidades que não são da Microsoft ou vulnerabilidades complexas. Esta ferramenta é simples de usar e faz bem o seu trabalho. Pode muito bem ser a ferramenta perfeita para uma organização menor com apenas alguns computadores Windows.
3. Sistema Aberto de Avaliação de Vulnerabilidade (OpenVAS)
Nossa próxima ferramenta é chamada de Open Vulnerability Assessment System, ou OpenVAS. É um framework de vários serviços e ferramentas. Todos eles se combinam para torná-lo uma ferramenta de varredura de vulnerabilidade abrangente e poderosa. A estrutura por trás do OpenVAS faz parte da solução de gerenciamento de vulnerabilidades da Greenbone Networks, da qual os elementos têm contribuído para a comunidade há cerca de dez anos. O sistema é totalmente gratuito e a maioria de seus componentes são de código aberto, embora alguns não sejam. O scanner OpenVAS vem com mais de cinquenta mil Testes de Vulnerabilidade de Rede que são atualizados regularmente.
Existem dois componentes principais no OpenVAS. O primeiro componente é o scanner OpenVAS. Como o próprio nome indica, é responsável pela verificação real dos computadores de destino. O segundo componente é o gerenciador OpenVAS que lida com todo o resto, como controlar o scanner, consolidar resultados e armazená-los em um banco de dados SQL central. O sistema inclui interfaces de usuário baseadas em navegador e de linha de comando. Outro componente do sistema é o banco de dados de Testes de Vulnerabilidade de Rede. Esse banco de dados pode obter suas atualizações do Greenborne Community Feed gratuito ou do Greenborne Security Feed pago.
4. Comunidade da Rede Retina
A Retina Network Community é a versão gratuita do Retina Network Security Scanner da AboveTrust, que é um dos scanners de vulnerabilidade mais conhecidos. Este abrangente scanner de vulnerabilidades está repleto de recursos. A ferramenta pode realizar uma avaliação completa de vulnerabilidades de patches ausentes, vulnerabilidades de dia zero e configurações não seguras. Também possui perfis de usuário alinhados às funções de trabalho, simplificando assim a operação do sistema. Este produto apresenta uma GUI intuitiva estilo metro que permite uma operação simplificada do sistema.
A Retina Network Community usa o mesmo banco de dados de vulnerabilidade que seu irmão pago. É um extenso banco de dados de vulnerabilidades de rede, problemas de configuração e patches ausentes que é atualizado automaticamente e abrange uma ampla variedade de sistemas operacionais, dispositivos, aplicativos e ambientes virtuais. Ainda nesse assunto, este produto oferece suporte total a ambientes VMware e inclui varredura de imagens virtuais online e offline, varredura de aplicativos virtuais e integração com o vCenter.
Há, no entanto, uma grande desvantagem para a Comunidade da Rede Retina. A ferramenta está limitada a escanear 256 endereços IP. Isso pode não parecer muito se você estiver gerenciando uma grande rede, mas pode ser mais do que suficiente para muitas organizações menores. Se o seu ambiente for maior que isso, tudo o que acabamos de dizer sobre este produto também vale para seu irmão mais velho, o Retina Network Security Scanner que está disponível nas edições Standard e Unlimited. Ambas as edições têm o mesmo conjunto de recursos estendidos em comparação com o scanner Retina Network Community.
5. Nexpose Community Edition
Pode não ser tão popular quanto o Retina, mas o Nexpose do Rapid7 é outro conhecido scanner de vulnerabilidade. E o Nexpose Community Edition é uma versão ligeiramente reduzida do abrangente scanner de vulnerabilidades do Rapid7. As limitações do produto são importantes, no entanto. Por exemplo, você só pode usar o produto para verificar no máximo 32 endereços IP. Isso o torna uma boa opção apenas para as menores redes. Além disso, o produto só pode ser usado por um ano. Se você pode conviver com o produto, é excelente.
O Nexpose Community Edition será executado em máquinas físicas executando Windows ou Linux. Também está disponível como um dispositivo virtual. Seus amplos recursos de varredura lidarão com redes, sistemas operacionais, aplicativos da Web, bancos de dados e ambientes virtuais. O Nexpose Community Edition usa segurança adaptável que pode detectar e avaliar automaticamente novos dispositivos e novas vulnerabilidades no momento em que eles acessam sua rede. Esse recurso funciona em conjunto com conexões dinâmicas com VMware e AWS. Essa ferramenta também se integra ao projeto de pesquisa Sonar para fornecer monitoramento ao vivo real. O Nexpose Community Edition fornece varredura de política integrada para auxiliar na conformidade com padrões populares como CIS e NIST. E por último, mas não menos importante, os relatórios intuitivos de correção da ferramenta fornecem instruções passo a passo sobre as ações de correção.