Nikdo nechce, aby se síť, kterou spravují, stala cílem uživatelů se zlými úmysly, kteří se snaží ukrást firemní data nebo způsobit škodu organizaci. Abyste tomu zabránili, musíte najít způsoby, jak zajistit, aby pro ně bylo co nejméně způsobů vstupu. A toho je částečně dosaženo zajištěním, že každá zranitelnost ve vaší síti je známá, adresovaná a opravená. A pro ty zranitelnosti, které nelze opravit, existuje něco, co je zmírní. První krok je zřejmý; je to prohledání vaší sítě pro tato zranitelnosti. To je úkolem specifického typu softwaru nazývaného nástroje pro skenování zranitelnosti. Dnes přezkoumáme 6 nejlepších nástrojů a softwaru pro skenování zranitelnosti.
Začněme tím, že si promluvíme o zranitelnosti sítě – nebo bychom měli říci zranitelnosti – a pokusme se vysvětlit, co to je. Dále probereme nástroje pro skenování zranitelnosti. Popíšeme si, kdo je potřebuje a proč. A protože skener zranitelnosti je pouze jednou složkou procesu správy zranitelnosti – i když důležitou – o tom si povíme příště. Potom uvidíme, jak skenery zranitelnosti obvykle fungují. Všechny jsou poněkud odlišné, ale v jádru je často více podobností než rozdílů. A než zhodnotíme nejlepší nástroje a software pro skenování zranitelnosti, probereme jejich hlavní funkce.
Table of Contents
Úvod do zranitelnosti
Počítačové systémy a sítě dosáhly vyšší úrovně složitosti než kdy jindy. Dnešní průměrný server by mohl obvykle provozovat stovky procesů. Každý z těchto procesů je počítačový program, některé z nich jsou velké programy, které se skládají z tisíců řádků zdrojového kódu. A v tomto kódu by mohly být – pravděpodobně existují – nejrůznější neočekávané věci. Vývojář možná v jednu chvíli přidal nějakou funkci zadních vrátek, aby bylo ladění jednodušší. A později se tato funkce mohla omylem dostat do konečné verze. Mohou se také vyskytnout chyby při ověřování vstupu, které za určitých specifických okolností způsobí neočekávané – a nežádoucí – výsledky.
Kteroukoli z nich lze použít k pokusu o získání přístupu k systémům a datům. Existuje obrovská komunita lidí, kteří nemají nic lepšího na práci, než najít tyto díry a zneužít je k útoku na vaše systémy. Tyto díry nazýváme zranitelnosti. Pokud se nechají bez dozoru, mohou být zranitelnosti zneužity uživateli se zlými úmysly k získání přístupu k vašim systémům a datům – nebo v horším případě k datům vašeho klienta – nebo k jinému poškození, například k tomu, že vaše systémy budou nepoužitelné.
Zranitelnosti mohou být všude. Často se vyskytují v softwaru běžícím na vašich serverech nebo jejich operačních systémech, ale existují také v síťových zařízeních, jako jsou přepínače, směrovače a dokonce i v bezpečnostních zařízeních, jako jsou brány firewall. Člověk je musí hledat opravdu všude.
Nástroje pro skenování — co to je a jak fungují
Nástroje pro skenování – nebo hodnocení – zranitelnosti mají jednu primární funkci: identifikaci zranitelností ve vašich systémech, zařízeních, vybavení a softwaru. Říká se jim skenery, protože obvykle skenují vaše zařízení a hledají známá zranitelnost.
Jak ale nástroje pro skenování zranitelnosti najdou zranitelnosti, které obvykle nejsou na očích? Pokud by byly tak zřejmé, vývojáři by je oslovili před vydáním softwaru. Podobně jako software na ochranu před viry, který používá databáze s definicemi virů k rozpoznání signatur počítačových virů, většina skenerů zranitelnosti spoléhá na databáze zranitelnosti a skenuje systémy na konkrétní zranitelnosti. Tyto databáze zranitelnosti lze získat ze známých nezávislých laboratoří pro testování bezpečnosti, které se zabývají hledáním zranitelností v softwaru a hardwaru, nebo to mohou být proprietární databáze od dodavatele nástroje. Jak byste očekávali, úroveň detekce, kterou získáte, je pouze tak dobrá jako databáze zranitelností, kterou váš nástroj používá.
Nástroje pro skenování — kdo je potřebuje?
Jednoslovná odpověď na tuto otázku je celkem zřejmá: Kdokoli! Nikoho se zdravým rozumem by v dnešní době nenapadlo provozovat počítač bez nějaké antivirové ochrany. Stejně tak by žádný správce sítě neměl mít alespoň nějakou formu detekce zranitelnosti. Útoky mohou přicházet odkudkoli a zasáhnout vás tam, kde je nejméně čekáte. Musíte si být vědomi svého rizika expozice.
To je možná něco, co by se teoreticky dalo udělat ručně. Prakticky je to však téměř nemožná práce. Pouhé vyhledání informací o zranitelnosti, natož prohledání jejich přítomnosti ve vašich systémech, může vyžadovat obrovské množství zdrojů. Některé organizace se věnují hledání zranitelnosti a často zaměstnávají stovky, ne-li tisíce lidí.
Každý, kdo spravuje řadu počítačových systémů nebo zařízení, by velmi těžil z použití nástroje pro skenování zranitelnosti. Splnění regulačních norem, jako je SOX nebo PCI-DSS, vás navíc často vyžaduje. A i když to nevyžadují, shoda bude často snazší prokázat, pokud dokážete prokázat, že prohledáváte svou síť na zranitelnosti.
Správa zranitelnosti v kostce
Detekce zranitelnosti pomocí nějakého softwarového nástroje je nezbytná. Je to první krok v ochraně před útoky. Ale je to jaksi k ničemu, pokud to není součástí kompletního procesu řízení zranitelnosti. Systémy detekce narušení nejsou systémy prevence narušení a podobně nástroje pro skenování zranitelnosti sítě – nebo alespoň většina z nich – pouze detekují zranitelnosti a upozorní vás na jejich přítomnost.
Je pak na vás, správci, abyste měli zavedený nějaký proces pro řešení zjištěných zranitelností. První věcí, kterou je třeba po jejich odhalení udělat, je posoudit zranitelnosti. Chcete se ujistit, že zjištěné chyby zabezpečení jsou skutečné. Nástroje pro skenování zranitelnosti mají tendenci upřednostňovat chybu na straně opatrnosti a mnohé nahlásí určitý počet falešně pozitivních výsledků. A pokud se skutečnými zranitelnostmi, nemusí být skutečným problémem. Například nevyužitý otevřený IP port na serveru nemusí být problém, pokud je umístěn přímo za bránou firewall, která tento port blokuje.
Jakmile jsou zranitelnosti posouzeny, je čas rozhodnout se, jak je vyřešit – a opravit –. Pokud byly nalezeny v softwaru, který vaše organizace téměř nepoužívá – nebo nepoužívá vůbec –, nejlepším řešením může být odstranění zranitelného softwaru a jeho nahrazení jiným, který nabízí podobné funkce. V jiných případech je oprava zranitelností stejně snadná jako použití opravy od vydavatele softwaru nebo upgrade na nejnovější verzi. Mnoho nástrojů pro skenování zranitelností identifikuje dostupné opravy nalezených zranitelností. Ostatní zranitelnosti lze opravit jednoduše úpravou některých konfiguračních nastavení. To platí zejména pro síťová zařízení, ale stává se to také se softwarem běžícím na počítačích.
Hlavní vlastnosti nástrojů pro skenování zranitelnosti
Při výběru nástroje pro skenování zranitelnosti je třeba zvážit mnoho věcí. Jedním z nejdůležitějších aspektů těchto nástrojů je rozsah zařízení, která mohou skenovat. Chcete nástroj, který bude schopen skenovat veškeré vybavení, které vlastníte. Máte-li například mnoho serverů Linus, budete chtít vybrat nástroj, který je dokáže skenovat, nikoli nástroj, který zpracovává pouze zařízení Windows. Chcete si také vybrat skener, který je ve vašem prostředí co nejpřesnější. Nechtěli byste se utopit v zbytečných upozorněních a falešných poplachech.
Dalším významným rozlišovacím faktorem je databáze zranitelností nástroje. Je spravován prodejcem nebo je od nezávislé organizace? Jak pravidelně je aktualizován? Je uložen lokálně nebo v cloudu? Musíte platit další poplatky za používání databáze zranitelností nebo za získání aktualizací? To vše jsou věci, které byste měli vědět, než si vyberete svůj nástroj.
Některé skenery zranitelnosti budou používat rušivější metodu skenování, která by mohla potenciálně ovlivnit výkon systému. To není nutně špatná věc, protože ty nejrušivější jsou často nejlepší skenery, ale pokud ovlivňují výkon systému, budete o tom chtít vědět a podle toho naplánovat skenování. Mimochodem, plánování je dalším důležitým aspektem nástrojů pro skenování zranitelnosti sítě. Některé nástroje dokonce nemají naplánované kontroly a je třeba je spustit ručně.
Nástroje pro skenování zranitelnosti mají alespoň dvě další důležité funkce: upozornění a hlášení. Co se stane, když je nalezena zranitelnost? Je oznámení jasné a snadno srozumitelné? Jak se to vykresluje? Je to vyskakovací okno na obrazovce, e-mail nebo textová zpráva? A co je ještě důležitější, poskytuje nástroj nějaký přehled o tom, jak opravit zranitelnosti, které identifikuje? Některé nástroje ano a některé ne. Některé mají dokonce automatickou nápravu určitých zranitelností. Ostatní nástroje se integrují se softwarem pro správu oprav, protože oprava je často nejlepším způsobem, jak opravit zranitelná místa.
Pokud jde o podávání zpráv, je to často otázka osobních preferencí. Musíte se však ujistit, že informace, které očekáváte a potřebujete najít v přehledech, tam skutečně budou. Některé nástroje mají pouze předdefinované sestavy, jiné vám umožní upravovat vestavěné sestavy. A ty nejlepší – alespoň z hlediska přehledů – vám umožní vytvářet vlastní přehledy od začátku.
Našich 6 nejlepších nástrojů pro skenování zranitelnosti
Nyní, když jsme se dozvěděli něco více o nástrojích pro skenování zranitelnosti, pojďme se podívat na některé z nejlepších nebo nejzajímavějších balíčků, které jsme mohli najít. Pokusili jsme se zahrnout kombinaci placených a bezplatných nástrojů. Existují také nástroje, které jsou k dispozici v bezplatné a placené verzi.
1. Správce konfigurace sítě SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
V případě, že SolarWinds ještě neznáte, společnost vyrábí některé z nejlepších nástrojů pro správu sítě již asi 20 let. Mezi svými nejlepšími nástroji SolarWinds Network Performance Monitor neustále získává vysokou chválu a nadšené recenze jako jeden z nejlepších nástrojů pro monitorování šířky pásma sítě SNMP. Společnost je také poněkud známá svými bezplatnými nástroji. Jedná se o menší nástroje určené k řešení konkrétního úkolu správy sítě. Mezi nejznámější z těchto bezplatných nástrojů patří podsíťová kalkulačka a TFTP server.
Nástroj, který bychom zde rádi představili, je nástroj nazvaný SolarWinds Network Configuration Manager. Toto však ve skutečnosti není nástroj pro skenování zranitelnosti. Existují však dva konkrétní důvody, proč jsme se rozhodli tento nástroj zařadit na náš seznam. Produkt má funkci hodnocení zranitelnosti a řeší konkrétní typ zranitelnosti, který je důležitý, ale který neřeší mnoho jiných nástrojů, nesprávnou konfiguraci síťového zařízení.
Primární nástroj SolarWinds Network Configuration Manager jako nástroj pro skenování zranitelnosti je při ověřování konfigurací síťových zařízení na chyby a opomenutí. Nástroj může také pravidelně kontrolovat změny konfigurace zařízení. To je také užitečné, protože některé útoky jsou zahájeny úpravou některých síťových konfigurací zařízení – které často nejsou tak bezpečné jako servery – způsobem, který může usnadnit přístup k jiným systémům. Tento nástroj vám také může pomoci se standardy nebo dodržováním předpisů s jeho automatizovanými nástroji pro konfiguraci sítě, které mohou nasadit standardizované konfigurace, detekovat změny mimo proces, auditovat konfigurace a dokonce napravit porušení.
Software se integruje s národní databází zranitelností, díky čemuž si zaslouží být na našem seznamu ještě více. Má přístup k nejaktuálnějším CVE pro identifikaci zranitelností ve vašich zařízeních Cisco. Bude fungovat s jakýmkoli zařízením Cisco se systémem ASA, IOS nebo Nexus OS. Ve skutečnosti jsou přímo v produktu zabudovány další dva užitečné nástroje, Network Insights pro ASA a Network Insights pro Nexus.
Ceny za SolarWinds Network Configuration Manager začínají na 2 895 USD za až 50 spravovaných uzlů a liší se podle počtu uzlů. Pokud byste chtěli tento nástroj vyzkoušet, můžete si zdarma stáhnout 30denní zkušební verzi ze SolarWinds.
2. Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer neboli MBSA je poněkud starší nástroj od společnosti Microsoft. Přestože se jedná o méně než ideální volbu pro velké organizace, mohl by být tento nástroj vhodný pro menší podniky, které mají pouze několik serverů. Toto je nástroj společnosti Microsoft, takže raději neočekávejte, že budete vypadat jako skenování, ale produkty společnosti Microsoft, jinak budete zklamáni. Prohledá však operační systém Windows a také některé služby, jako je brána Windows Firewall, SQL server, IIS a aplikace Microsoft Office.
Tento nástroj však nehledá konkrétní zranitelnosti jako jiné skenery zranitelnosti. To, co dělá, je hledat chybějící záplaty, servisní balíčky a aktualizace zabezpečení a také skenovat systémy kvůli problémům se správou. Nástroj pro vytváření sestav MBSA vám umožní získat seznam chybějících aktualizací a nesprávných konfigurací.
MBSA je starým nástrojem od společnosti Microsoft a není zcela kompatibilní se systémem Windows 10. Verze 2.3 bude fungovat s nejnovější verzí systému Windows, ale může vyžadovat určité úpravy, aby se odstranily falešné poplachy a opravily se kontroly, které nelze dokončit. Tento nástroj bude například falešně hlásit, že služba Windows Update není povolena v systému Windows 10. Další nevýhodou tohoto produktu je, že nezjistí zranitelnosti jiných společností než Microsoft nebo komplexní zranitelnosti. Tento nástroj se snadno používá a svou práci plní dobře. Velmi dobře by to mohl být perfektní nástroj pro menší organizace s pouze několika počítači se systémem Windows.
3. Otevřený systém hodnocení zranitelnosti (OpenVAS)
Náš další nástroj se nazývá Open Vulnerability Assessment System neboli OpenVAS. Je to rámec několika služeb a nástrojů. Všechny dohromady tvoří komplexní a výkonný nástroj pro skenování zranitelností. Rámec stojící za OpenVAS je součástí řešení pro správu zranitelnosti společnosti Greenbone Networks, z něhož se prvky přispívaly do komunity přibližně deset let. Systém je zcela zdarma a většina jeho součástí je open-source, i když některé ne. Skener OpenVAS je dodáván s více než padesáti tisíci testy síťové zranitelnosti, které jsou pravidelně aktualizovány.
OpenVAS má dvě primární komponenty. První komponentou je skener OpenVAS. Jak jeho název napovídá, je zodpovědný za samotné skenování cílových počítačů. Druhou součástí je OpenVAS manager, který se stará o vše ostatní, jako je ovládání skeneru, konsolidace výsledků a jejich ukládání do centrální SQL databáze. Systém obsahuje uživatelské rozhraní založené na prohlížeči i na příkazovém řádku. Další součástí systému je databáze Network Vulnerability Tests. Tato databáze může získávat aktualizace buď z bezplatného Greenborne Community Feed, nebo z placeného Greenborne Security Feed.
4. Komunita sítě Retina
Retina Network Community je bezplatná verze nástroje Retina Network Security Scanner od společnosti AboveTrust, což je jeden z nejznámějších skenerů zranitelnosti. Tento komplexní skener zranitelnosti je nabitý funkcemi. Nástroj dokáže provést důkladné posouzení zranitelnosti chybějících oprav, zranitelností zero-day a nezabezpečených konfigurací. Může se také pochlubit uživatelskými profily v souladu s pracovními funkcemi, čímž zjednodušuje ovládání systému. Tento produkt se vyznačuje intuitivním GUI ve stylu metra, které umožňuje efektivní provoz systému.
Retina Network Community používá stejnou databázi zranitelnosti jako její placený sourozenec. Jedná se o rozsáhlou databázi síťových zranitelností, problémů s konfigurací a chybějících záplat, která se automaticky aktualizuje a pokrývá širokou škálu operačních systémů, zařízení, aplikací a virtuálních prostředí. Na toto téma tento produkt plně podporuje prostředí VMware a zahrnuje online a offline skenování virtuálních obrazů, skenování virtuálních aplikací a integraci s vCenter.
Komunita sítě Retina má však velkou nevýhodu. Nástroj je omezen na skenování 256 IP adres. Pokud spravujete velkou síť, nemusí to vypadat moc, ale pro mnoho menších organizací to může být více než dost. Pokud je vaše prostředí větší než toto, vše, co jsme právě řekli o tomto produktu, platí také o jeho velkém bratrovi, Retina Network Security Scanner, který je k dispozici ve standardních a neomezených edicích. Obě edice mají stejnou rozšířenou sadu funkcí jako skener Retina Network Community.
5. Neexpose Community Edition
Možná to není tak populární jako Retina, ale Neexpose od Rapid7 je další známý skener zranitelnosti. A Neexpose Community Edition je mírně zmenšená verze komplexního skeneru zranitelností Rapid7. Důležitá jsou však omezení produktu. Produkt můžete například použít pouze ke skenování maximálně 32 IP adres. Díky tomu je dobrou volbou pouze pro nejmenší sítě. Kromě toho lze produkt používat pouze jeden rok. Pokud můžete žít s produktem, je to skvělé.
Neexpose Community Edition poběží na fyzických počítačích se systémem Windows nebo Linux. Je k dispozici také jako virtuální zařízení. Jeho rozsáhlé možnosti skenování si poradí se sítěmi, operačními systémy, webovými aplikacemi, databázemi a virtuálními prostředími. Neexpose Community Edition využívá adaptivní zabezpečení, které dokáže automaticky detekovat a vyhodnocovat nová zařízení a nová zranitelnost v okamžiku, kdy přistupují k vaší síti. Tato funkce funguje ve spojení s dynamickými připojeními k VMware a AWS. Tento nástroj se také integruje s výzkumným projektem Sonar a poskytuje skutečné živé monitorování. Neexpose Community Edition poskytuje integrované skenování zásad, které pomáhá při dodržování populárních standardů jako CIS a NIST. A v neposlední řadě intuitivní zprávy o nápravě tohoto nástroje vám krok za krokem poskytnou pokyny k nápravným akcím.