La sicurezza è una delle principali preoccupazioni della maggior parte degli amministratori di rete e di sistema. È abbastanza comprensibile considerando la scena della minaccia odierna. Gli attacchi informatici sono sempre più comuni e hanno effetti negativi così grandi che possono essere difficili da comprendere.
I criminali informatici sono costantemente alla ricerca di vulnerabilità nei sistemi e nel software per accedere alla risorsa più importante di molte organizzazioni, i loro dati . La prevenzione richiede l'uso di strumenti di valutazione delle vulnerabilità come Microsoft Baseline Security Analyzer o MBSA. Tuttavia, questo strumento sta iniziando a mostrare alcuni segni dell'età. Per cominciare, non funzionerà direttamente con le versioni moderne di Windows ed è anche un po' limitato nelle funzionalità.
Ad essere sinceri, se stai ancora utilizzando MBSA, è ora che passi a qualcos'altro. Oggi esaminiamo quattro delle migliori alternative a Microsoft Baseline Security Analyzer.
Inizieremo la nostra discussione dando un'occhiata a MBSA. Dopotutto, aiuta sapere cosa stiamo cercando di sostituire. Discuteremo quindi la vulnerabilità in generale. Successivamente, parleremo degli strumenti di scansione delle vulnerabilità, cosa sono, chi ne ha bisogno e quali sono le loro caratteristiche essenziali. Questo ci porterà alla grande rivelazione: le quattro migliori alternative a Microsoft Baseline Security Analyzer. Esamineremo brevemente ciascuno degli strumenti per darti un'idea delle loro caratteristiche e capacità.
Microsoft Baseline Security Analyzer: spiegazione
Microsoft Baseline Security Analyzer, o MBSA, è uno strumento piuttosto vecchio di Microsoft. Sebbene non sia certamente un'opzione ideale per le grandi organizzazioni, lo strumento potrebbe essere utile per le piccole imprese, quelle con solo una manciata di server. A parte la sua età, uno dei principali svantaggi dello strumento è che proveniente da Microsoft, non puoi aspettarti che esegua la scansione di qualsiasi cosa tranne i prodotti Microsoft. Tuttavia, eseguirà la scansione del sistema operativo Windows e di alcuni servizi come Windows Firewall, server SQL, IIS e applicazioni Microsoft Office.
Contrariamente alla maggior parte degli altri strumenti di scansione delle vulnerabilità, questo non esegue la scansione di vulnerabilità specifiche. Invece, cerca cose come patch mancanti, service pack e aggiornamenti di sicurezza ed esegue la scansione dei sistemi per problemi amministrativi. Il suo motore di reporting può generare un elenco di aggiornamenti mancanti e configurazioni errate.
Un altro importante svantaggio di MBSA è che, a causa della sua età, non è realmente compatibile con Windows 10. La versione 2.3 di MBSA funzionerà con l'ultima versione di Windows, ma probabilmente richiederà alcune modifiche per eliminare i falsi positivi e correggere i controlli che non può essere completato. Ad esempio, MBSA segnalerà erroneamente che Windows Update non è abilitato su Windows 10, anche quando lo è. Di conseguenza, non è possibile utilizzare questo prodotto per verificare se Windows Update è abilitato o meno sui computer Windows 10.
Questo è uno strumento semplice da usare e fa quello che fa bene. Tuttavia, non fa molto e in realtà non lo fa nemmeno così bene sui computer moderni, spingendo molti utenti a cercare un sostituto.
Vulnerabilità 101
Prima di andare oltre, fermiamoci e discutiamo brevemente della vulnerabilità. La complessità dei moderni sistemi informatici e delle reti ha raggiunto un livello di complessità senza precedenti. Un server medio potrebbe spesso eseguire centinaia di processi. Ciascuno di questi processi è un programma per computer. Alcuni di questi sono grandi programmi composti da migliaia di righe di codice sorgente. All'interno di questo codice, potrebbero esserci, e probabilmente ci sono, cose inaspettate. Uno sviluppatore potrebbe, a un certo punto, aver aggiunto alcune funzionalità di backdoor per facilitare i suoi sforzi di debug. In seguito, quando lo sviluppatore ha iniziato a lavorare su qualcos'altro, questa pericolosa funzionalità potrebbe essere arrivata erroneamente alla versione finale. Potrebbero anche esserci alcuni errori nel codice di convalida dell'input che potrebbero causare risultati imprevisti e spesso indesiderati in alcune circostanze specifiche.
Queste sono le vulnerabilità a cui ci riferiamo e ognuna di queste può essere utilizzata per tentare di accedere a sistemi e dati. C'è un'enorme comunità di criminali informatici là fuori che non hanno niente di meglio da fare che trovare questi buchi e sfruttarli per penetrare nei tuoi sistemi e rubare i tuoi dati. Se ignorate o lasciate incustodite, le vulnerabilità possono essere utilizzate da utenti malintenzionati per ottenere l'accesso ai tuoi sistemi e dati o, forse peggio, ai dati del tuo cliente o per causare in altro modo danni importanti come rendere inutilizzabili i tuoi sistemi.
Le vulnerabilità possono essere trovate ovunque. Spesso si insinuano nel software in esecuzione sui tuoi server o nei loro sistemi operativi. Esistono anche in apparecchiature di rete come switch, router e persino dispositivi di sicurezza come i firewall. Per essere al sicuro, se esiste qualcosa come essere al sicuro, devi davvero cercarli ovunque.
Strumenti di scansione delle vulnerabilità
Gli strumenti di scansione o valutazione delle vulnerabilità hanno una funzione primaria: identificare le vulnerabilità nei tuoi sistemi, dispositivi, apparecchiature e software. Sono spesso chiamati scanner perché di solito scansionano la tua attrezzatura per cercare vulnerabilità note.
Ma in che modo gli strumenti di scansione delle vulnerabilità trovano le vulnerabilità? Dopotutto, di solito non sono lì in bella vista. Se fossero così ovvi, gli sviluppatori li avrebbero affrontati prima di rilasciare il software. Gli strumenti in realtà non sono molto diversi dai software di protezione antivirus che utilizzano i database delle definizioni dei virus per riconoscere le firme dei virus del computer. Allo stesso modo, la maggior parte degli scanner di vulnerabilità si basa su database di vulnerabilità e sistemi di scansione per vulnerabilità specifiche. Tali database di vulnerabilità sono spesso disponibili da noti laboratori di test di sicurezza indipendenti dedicati alla ricerca di vulnerabilità nel software e nell'hardware oppure possono essere database proprietari del fornitore dello strumento di scansione delle vulnerabilità. Poiché una catena è forte quanto il suo anello più debole,
Chi ha bisogno di loro?
La risposta di una sola parola a questa domanda è abbastanza ovvia: tutti! Proprio come nessuno sano di mente penserebbe di far funzionare un computer senza una protezione antivirus in questi giorni, nessun amministratore di rete dovrebbe essere senza almeno una qualche forma di protezione dalle vulnerabilità. Gli attacchi potrebbero provenire da qualsiasi luogo e colpirti dove e quando meno te lo aspetti. Devi essere consapevole del tuo rischio di esposizione.
Sebbene la scansione delle vulnerabilità sia forse qualcosa che potrebbe essere eseguita manualmente, questo è un lavoro quasi impossibile. La semplice ricerca di informazioni sulle vulnerabilità, per non parlare della scansione dei sistemi per la loro presenza, potrebbe richiedere un'enorme quantità di risorse. Alcune organizzazioni si dedicano alla ricerca di vulnerabilità e spesso impiegano centinaia se non migliaia di persone. Perché non approfittarne?
Chiunque gestisca un certo numero di sistemi informatici o dispositivi trarrebbe grande vantaggio dall'utilizzo di uno strumento di scansione delle vulnerabilità. Rispettare gli standard normativi come SOX o PCI-DSS, solo per citarne alcuni, ti impone spesso di farlo. E anche se non lo richiedono specificamente, la conformità sarà spesso più facile da dimostrare se puoi dimostrare di disporre di strumenti di scansione delle vulnerabilità.
Funzionalità essenziali degli strumenti di scansione delle vulnerabilità
Ci sono molti fattori da considerare quando si seleziona uno strumento di scansione delle vulnerabilità. In cima all'elenco delle cose da considerare c'è la gamma di dispositivi che possono essere scansionati. Hai bisogno di uno strumento che sia in grado di scansionare tutta l'attrezzatura di cui hai bisogno. Se hai molti server Linux, ad esempio, ti consigliamo di scegliere uno strumento in grado di scansionarli, non uno che gestisca solo macchine Windows. Vuoi anche scegliere uno scanner che sia il più preciso possibile nel tuo ambiente. Non vorrai annegare in notifiche inutili e falsi positivi.
Un altro elemento di differenziazione tra i prodotti è il rispettivo database di vulnerabilità. È gestito dal venditore o proviene da un'organizzazione indipendente? Con quale frequenza viene aggiornato? È memorizzato localmente o nel cloud? Devi pagare costi aggiuntivi per utilizzare il database delle vulnerabilità o per ottenere aggiornamenti? Potresti voler ottenere risposte a queste domande prima di scegliere il tuo strumento.
Alcuni scanner di vulnerabilità utilizzano metodi di scansione intrusivi. Potrebbero potenzialmente influire sulle prestazioni del sistema. In effetti, i più invadenti sono spesso i migliori scanner. Tuttavia, se influiscono sulle prestazioni del sistema, è consigliabile informarsi in anticipo per pianificare le scansioni di conseguenza. Parlando di pianificazione, questo è un altro aspetto importante degli strumenti di scansione delle vulnerabilità di rete. Alcuni strumenti non hanno nemmeno scansioni pianificate e devono essere avviati manualmente.
Anche gli avvisi e i rapporti sono caratteristiche importanti degli strumenti di scansione delle vulnerabilità. Gli avvisi riguardano ciò che accade quando viene rilevata una vulnerabilità. Esiste una notifica chiara e di facile comprensione? Come si trasmette? Tramite un popup sullo schermo, un'e-mail, un messaggio di testo? Ancora più importante, lo strumento fornisce alcune informazioni su come correggere le vulnerabilità rilevate? Alcuni strumenti hanno persino la correzione automatica di determinati tipi di vulnerabilità. Altri strumenti si integrano con il software di gestione delle patch poiché l'applicazione di patch è spesso il modo migliore per correggere le vulnerabilità.
Per quanto riguarda la segnalazione, anche se spesso è una questione di preferenze personali, devi assicurarti che le informazioni che ti aspetti e che devi trovare nei rapporti siano effettivamente presenti. Alcuni strumenti hanno solo rapporti predefiniti, altri ti permetteranno di modificare i rapporti incorporati. Per quanto riguarda i migliori, almeno dal punto di vista dei rapporti, ti permetteranno di creare rapporti personalizzati da zero.
Quattro grandi alternative a MBSA
Ora che sappiamo cosa sono le vulnerabilità, come vengono scansionate e quali sono le caratteristiche principali degli strumenti di scansione delle vulnerabilità, siamo pronti a rivedere alcuni dei pacchetti migliori o più interessanti che siamo riusciti a trovare. Abbiamo incluso alcuni strumenti a pagamento e alcuni gratuiti. Alcuni sono anche disponibili sia in versione gratuita che a pagamento. Tutto andrebbe bene per sostituire MBSA. Vediamo quali sono le loro caratteristiche principali.
1. SolarWinds Network Configuration Manager (PROVA GRATUITA)
SolarWinds è un nome noto tra gli amministratori di rete e di sistema. L'azienda produce alcuni dei migliori strumenti di amministrazione di rete da circa 20 anni. Uno dei suoi migliori strumenti, il SolarWinds Network Performance Monitor riceve costantemente elogi e recensioni entusiastiche come uno dei migliori strumenti di monitoraggio della larghezza di banda della rete SNMP. L'azienda è anche piuttosto famosa per i suoi strumenti gratuiti. Sono strumenti più piccoli progettati per affrontare compiti specifici di gestione della rete. Tra i più noti di questi strumenti gratuiti ci sono l'Advanced Subnet Calculator e il server Kiwi Syslog.
Il nostro primo strumento, SolarWinds Network Configuration Manager non è realmente uno strumento di scansione delle vulnerabilità. Ma per due ragioni specifiche, abbiamo pensato che fosse un'alternativa interessante a MBSA e abbiamo scelto di includerla nella nostra lista. Per cominciare, il prodotto ha una funzione di valutazione della vulnerabilità e inoltre affronta un tipo specifico di vulnerabilità, uno che è importante ma che non molti altri strumenti affrontano, l'errata configurazione delle apparecchiature di rete. Il prodotto è inoltre ricco di funzionalità non legate alla vulnerabilità.
L' utilizzo principale di SolarWinds Network Configuration Manager come strumento di scansione delle vulnerabilità consiste nella convalida delle configurazioni delle apparecchiature di rete per errori e omissioni. Lo strumento può anche controllare periodicamente le configurazioni del dispositivo per le modifiche. Ciò è utile poiché alcuni attacchi vengono avviati modificando la configurazione di un dispositivo di rete, che spesso non è sicuro quanto i server, in modo da facilitare l'accesso ad altri sistemi. Lo strumento può anche aiutare con gli standard o la conformità normativa attraverso l'uso dei suoi strumenti di configurazione di rete automatizzati che possono distribuire configurazioni standardizzate, rilevare modifiche fuori processo, configurazioni di audit e persino correggere violazioni.
Il software si integra con il National Vulnerability Database che gli è valso un posto in questo elenco di alternative MBSA. Ha anche accesso ai CVE più recenti per identificare le vulnerabilità nei dispositivi Cisco. Funzionerà con qualsiasi dispositivo Cisco che esegue ASA, IOS o Nexus OS. In effetti, nel prodotto sono integrati altri due strumenti utili, Network Insights for ASA e Network Insights for Nexus.
Il prezzo per SolarWinds Network Configuration Manager parte da $ 2.895 per un massimo di 50 nodi gestiti e aumenta con il numero di nodi gestiti. Se desideri provare questo strumento, è possibile scaricare una versione di prova gratuita di 30 giorni direttamente da SolarWinds.
2. ApriVAS
L' Open Vulnerability Assessment System , o OpenVAS , è un framework di diversi servizi e strumenti. Si combinano per creare uno strumento di scansione delle vulnerabilità completo ma potente. Il framework alla base di OpenVAS fa parte della soluzione di gestione delle vulnerabilità di Greenbone Networks da cui elementi sono stati forniti alla comunità per circa dieci anni. Il sistema è completamente gratuito e molti dei suoi componenti chiave sono open-source, anche se alcuni non lo sono. Lo scanner OpenVAS viene fornito con oltre cinquantamila Network Vulnerability Test che vengono aggiornati regolarmente.
OpenVAS è composto da due componenti principali. Il primo è lo scanner OpenVAS . Questo è il componente responsabile della scansione effettiva dei computer di destinazione. Il secondo componente è il gestore OpenVAS che gestisce tutto il resto come il controllo dello scanner, il consolidamento dei risultati e l'archiviazione in un database SQL centrale. Il software dispone di interfacce utente basate su browser ea riga di comando. Un altro componente del sistema è il database Network Vulnerability Tests. Questo database può ottenere i suoi aggiornamenti dal Greenborne Community Feed gratuito o dal Greenborne Security Feed a pagamento per una protezione più completa.
3. Retina Network Community
Retina Network Community è la versione gratuita di Retina Network Security Scanner di AboveTrust , che è uno degli scanner di vulnerabilità più noti. Nonostante sia gratuito, è uno scanner di vulnerabilità completo ricco di funzionalità. Può eseguire una valutazione approfondita della vulnerabilità di patch mancanti, vulnerabilità zero-day e configurazioni non sicure. Vanta inoltre profili utente allineati con le funzioni lavorative, semplificando così il funzionamento del sistema. Questo prodotto è dotato di un'interfaccia grafica intuitiva in stile metro che consente un funzionamento semplificato del sistema.
Una cosa grandiosa di Retina Network Community è che utilizza lo stesso database di vulnerabilità del fratello a pagamento. È un ampio database di vulnerabilità di rete, problemi di configurazione e patch mancanti che viene aggiornato automaticamente e copre un'ampia gamma di sistemi operativi, dispositivi, applicazioni e ambienti virtuali. Parlando di ambienti virtuali, il prodotto supporta completamente VMware e include la scansione di immagini virtuali online e offline, la scansione di applicazioni virtuali e l'integrazione con vCenter.
Il principale svantaggio di Retina Network Community è che è limitato alla scansione di 256 indirizzi IP. Anche se questo potrebbe non essere molto se gestisci una rete di grandi dimensioni, potrebbe essere più che sufficiente per molte organizzazioni più piccole. Se il tuo ambiente ha più di 256 dispositivi, tutto ciò che abbiamo appena detto su questo prodotto è vero anche nel suo fratello maggiore, il Retina Network Security Scanner, disponibile nelle edizioni Standard e Unlimited. Entrambe le edizioni hanno un set di funzionalità estese rispetto allo scanner Retina Network Community .
4. Nexpose Community Edition
Forse non così popolare come Retina, Nexpose di Rapid7 è un altro noto scanner di vulnerabilità. Per quanto riguarda la Nexpose Community Edition , è una versione leggermente ridotta dello scanner di vulnerabilità completo di Rapid7 . Il prodotto ha però alcune importanti limitazioni. Ad esempio, è limitato alla scansione di un massimo di 32 indirizzi IP. Ciò limita fortemente l'utilità dello strumento solo alle reti più piccole. Un'altra limitazione è che il prodotto può essere utilizzato solo per un anno. Se riesci a convivere con queste limitazioni, è un prodotto eccellente. In caso contrario, puoi sempre dare un'occhiata all'offerta a pagamento di Rapid7 .
Nexpose Community Edition verrà eseguito su macchine fisiche con Windows o Linux. È disponibile anche come appliance virtuale. Ha ampie capacità di scansione che gestiranno reti, sistemi operativi, applicazioni web, database e ambienti virtuali. Questo strumento utilizza la sicurezza adattiva in grado di rilevare e valutare automaticamente nuovi dispositivi e nuove vulnerabilità nel momento in cui accedono alla tua rete. Questa funzionalità funziona insieme alle connessioni dinamiche a VMware e AWS. Il software si integra anche con il progetto di ricerca Sonar per fornire un vero monitoraggio dal vivo. Nexpose Community Editionfornisce una scansione delle policy integrata per aiutare a rispettare gli standard più diffusi come CIS e NIST. E, ultimo ma non meno importante, i rapporti di riparazione intuitivi dello strumento forniscono istruzioni dettagliate sulle azioni di riparazione.