Melhores scanners de vulnerabilidade de rede gratuitos (revisão) em 2021

Você não gostaria que sua rede se tornasse alvo de usuários mal-intencionados que tentam roubar seus dados ou causar danos à sua organização. Mas como você pode ter certeza de que há o mínimo de maneiras possíveis para eles entrarem?

Certificando-se de que cada vulnerabilidade em sua rede é conhecida, tratada e corrigida ou que alguma medida está em vigor para mitigá-la. E a primeira etapa para fazer isso é fazer uma varredura em sua rede em busca dessas vulnerabilidades.

Esse é o trabalho de um tipo específico de ferramenta de software e, hoje, temos o prazer de apresentar a você os melhores scanners de vulnerabilidade de rede gratuitos.

Começaremos a discussão de hoje falando sobre vulnerabilidades de rede - ou talvez vulnerabilidades - tentando explicar o que são. A seguir, discutiremos os scanners de vulnerabilidade em geral. Veremos quem precisa deles e por quê.

Uma vez que um scanner de vulnerabilidade funciona apenas como parte de um processo de gerenciamento de vulnerabilidade, isso é o que discutiremos a seguir. Em seguida, estudaremos como os scanners de vulnerabilidade normalmente funcionam. Eles são todos diferentes, mas em sua essência, geralmente há mais semelhanças do que diferenças. E antes de revelarmos quais são os melhores scanners de vulnerabilidade gratuitos , diremos o que você deve procurar neles.

Scanner de vulnerabilidade: eu preciso de um?

Os sistemas e redes de computadores estão mais complexos do que nunca. Não é incomum que um servidor típico execute centenas de processos. Cada um desses processos é um programa, alguns deles são grandes programas contendo milhares de linhas de código. E dentro desse código, pode haver todo tipo de coisas inesperadas.

Um programador pode, em um ponto, ter adicionado algum recurso backdoor para facilitar a depuração e esse recurso pode ter feito isso por engano na versão final. Pode haver alguns erros na validação de entrada que causarão resultados inesperados - e indesejáveis ​​- em algumas circunstâncias específicas.

Cada um deles é um buraco e existem inúmeras pessoas por aí que não têm nada melhor a fazer do que encontrar esses buracos e usá-los para atacar seus sistemas.

Vulnerabilidades são o que chamamos de buracos . E se não forem supervisionados, eles podem ser usados ​​por usuários mal-intencionados para obter acesso aos seus sistemas e dados - ou pior ainda, aos dados do seu cliente - ou para causar algum dano, como tornar seus sistemas inutilizáveis.

As vulnerabilidades podem estar em qualquer lugar em sua rede. Eles são freqüentemente encontrados em softwares executados em seus servidores ou sistemas operacionais, mas também são comuns em equipamentos de rede, como switches, roteadores e até mesmo dispositivos de segurança, como firewalls.

Scanners / explicados de vulnerabilidade de rede

Scanners de vulnerabilidade ou ferramentas de avaliação de vulnerabilidade, como são freqüentemente chamados, são ferramentas de software cujo único propósito é identificar vulnerabilidades em seus sistemas, dispositivos, equipamentos e software. Nós os chamamos de scanners porque eles geralmente fazem a varredura em seu equipamento em busca de vulnerabilidades específicas.

Mas como eles encontram essas vulnerabilidades? Afinal, eles geralmente não estão à vista ou o desenvolvedor os teria abordado. Semelhante ao software de proteção contra vírus, que usa bancos de dados de definições de vírus para reconhecer vírus de computador, a maioria dos scanners de vulnerabilidade depende de bancos de dados de vulnerabilidade e sistemas de varredura em busca de vulnerabilidades específicas.

Esses bancos de dados de vulnerabilidade podem ser obtidos de laboratórios de teste de segurança conhecidos, dedicados a encontrar vulnerabilidades em software e hardware, ou podem ser bancos de dados proprietários.

O nível de detecção que você obtém é tão bom quanto o banco de dados de vulnerabilidade que sua ferramenta usa.

Scanners de rede - como funciona a detecção

A resposta rápida e fácil para essa pergunta é simples: Você faz! Não, realmente, todo mundo precisa deles. Assim como ninguém em sã consciência pensaria em rodar um computador sem alguma proteção contra vírus, nenhum administrador de rede deve ficar sem pelo menos algum esquema de detecção de vulnerabilidade.

Claro, isso é possivelmente algo que poderia ser feito teoricamente manualmente, mas na prática, é um trabalho impossível. Isso exigiria uma quantidade enorme de tempo e recursos humanos. Algumas organizações se dedicam a encontrar vulnerabilidades e costumam empregar centenas de pessoas, senão milhares.

O fato é que, se você estiver gerenciando vários sistemas ou dispositivos de computador, provavelmente precisará de um scanner de vulnerabilidade. Obedecer aos padrões regulatórios, como SOX ou PCI-DSS, geralmente exige que você o faça. E mesmo que eles não exijam, a conformidade será mais fácil de demonstrar se você puder mostrar que está varrendo sua rede em busca de vulnerabilidades.

O que procurar

Vamos dar uma olhada em algumas das coisas mais importantes a serem consideradas ao avaliar os scanners de vulnerabilidade de rede.

Em primeiro lugar, está a gama de dispositivos que a ferramenta pode verificar. Isso deve ser o mais adequado possível ao seu ambiente. Se, por exemplo, seu ambiente possui muitos servidores Linux, você deve escolher uma ferramenta que fará a varredura deles. Seu scanner também deve ser o mais preciso possível em seu ambiente, para não afogar você em notificações inúteis e falsos positivos.

Outro fator importante a considerar é o banco de dados de vulnerabilidade da ferramenta.

• É atualizado regularmente?
• Ele é armazenado localmente ou na nuvem?
• Você precisa pagar taxas adicionais para atualizar o banco de dados de vulnerabilidade?

Essas são todas as coisas que você deseja saber antes de escolher sua ferramenta.

Nem todos os scanners são criados iguais, alguns usarão um método de varredura mais invasivo do que outros e afetarão potencialmente o desempenho do sistema. Isso não é uma coisa ruim, pois os mais intrusivos geralmente são os melhores scanners, mas se eles afetam o desempenho do sistema, você vai querer saber sobre isso e agendar as varreduras de acordo. E por falar em agendamento, este é outro aspecto importante dos scanners de vulnerabilidade de rede. A ferramenta que você está considerando tem verificações agendadas? Algumas ferramentas precisam ser iniciadas manualmente.

O último aspecto importante dos scanners de vulnerabilidade de rede são seus alertas e relatórios.

• O que acontece quando eles detectam uma vulnerabilidade?
• A notificação é clara e fácil de entender?
• A ferramenta fornece algumas dicas sobre como corrigir as vulnerabilidades encontradas?

Algumas ferramentas até têm correção automatizada de algumas vulnerabilidades. Outros se integram ao software de gerenciamento de patch.

Quanto aos relatórios, geralmente é uma questão de preferência pessoal, mas você deve garantir que as informações que espera encontrar nos relatórios estejam realmente lá. Algumas ferramentas têm apenas relatórios predefinidos, algumas permitem modificá-los e outras permitem criar novos do zero.

Melhores scanners de vulnerabilidade de rede

Agora que sabemos o que procurar nos scanners de vulnerabilidade, vamos dar uma olhada em alguns dos melhores ou mais interessantes pacotes que podemos encontrar. Todos, exceto um deles, são gratuitos e o pago tem uma versão de avaliação gratuita disponível.

1. SolarWinds Network Configuration Manager ( AVALIAÇÃO GRATUITA )

Nossa primeira entrada em um software interessante da SolarWinds chamado Network Configuration Manager . No entanto, esta não é uma ferramenta gratuita nem um scanner de vulnerabilidade de rede. Então você pode estar se perguntando o que está fazendo nesta lista.

Há um motivo principal para sua inclusão : a ferramenta aborda um tipo específico de vulnerabilidade que muitas outras ferramentas não fazem e que é a configuração incorreta de equipamentos de rede.

• AVALIAÇÃO GRATUITA: SolarWinds Network Configuration Manager
• Download oficial: https://www.solarwinds.com/network-configuration-manager

O objetivo principal desta ferramenta como um scanner de vulnerabilidade é validar o equipamento de rede para erros de configuração e omissões. Ele também verificará periodicamente as configurações do dispositivo para alterações.

Isso pode ser útil, pois alguns ataques são iniciados pela modificação de alguma configuração do dispositivo de uma forma que pode facilitar o acesso a outros sistemas. O Network Configuration Manager também pode ajudá-lo com a conformidade da rede com suas ferramentas de configuração de rede automatizadas que podem implantar configurações padronizadas, detectar mudanças fora do processo, auditar configurações e até mesmo corrigir violações.

O software se integra com o National Vulnerability Database e tem acesso aos CVEs mais atuais para identificar vulnerabilidades em seus dispositivos Cisco. Funcionará com qualquer dispositivo Cisco executando ASA, IOS ou Nexus OS. Na verdade, duas ferramentas úteis, Network Insights para ASA e Network Insights para Nexus, estão integradas ao produto.

O preço do SolarWinds Network Configuration Manager começa em US $ 2 895 e varia de acordo com o número de nós. Se você quiser experimentar essa ferramenta, uma versão de avaliação gratuita de 30 dias pode ser baixada do SolarWinds.

2. Microsoft Baseline Security Analyzer (MBSA)

Nossa segunda entrada é uma ferramenta mais antiga da Microsoft chamada Baseline Security Analyzer ou MBSA. Essa ferramenta é uma opção menos do que ideal para organizações maiores, mas pode ser adequada para pequenas empresas com apenas alguns servidores.

Dada sua origem na Microsoft, não espere que esta ferramenta olhe para nada além de produtos da Microsoft. Ele fará a varredura do sistema operacional Windows básico, bem como de alguns serviços, como o Firewall do Windows, servidor SQL, IIS e aplicativos do Microsoft Office.

A ferramenta não verifica vulnerabilidades específicas como os verdadeiros scanners de vulnerabilidade fazem, mas irá procurar por patches ausentes, service packs e atualizações de segurança, bem como verificar sistemas para problemas administrativos. O mecanismo de relatório do MBSA permitirá que você obtenha uma lista de atualizações ausentes e configurações incorretas

MBSA é uma ferramenta antiga da Microsoft. Tão antigo que não é totalmente compatível com o Windows 10. A versão 2.3 funcionará com a versão mais recente do Windows, mas exigirá alguns ajustes para limpar falsos positivos e corrigir verificações que não podem ser concluídas. Por exemplo, o MBSA relatará falsamente que o Windows Update não está habilitado na versão mais recente do Windows. Outra desvantagem é que o MBSA não detecta vulnerabilidades que não sejam da Microsoft ou vulnerabilidades complexas. Ainda assim, essa ferramenta é simples de usar e faz seu trabalho bem e pode ser a ferramenta perfeita para uma organização menor com apenas computadores Windows.

3. Sistema aberto de avaliação de vulnerabilidade (OpenVAS)

O Open Vulnerability Assessment System, ou OpenVAS, é uma estrutura de muitos serviços e ferramentas que se combinam para oferecer um sistema de gerenciamento e varredura de vulnerabilidade abrangente e poderoso.

A estrutura por trás do OpenVAS é parte da solução de gerenciamento de vulnerabilidade da Greenbone Networks, da qual desenvolvimentos têm contribuído para a comunidade por cerca de dez anos. O sistema é totalmente gratuito e muitos de seus componentes são de código aberto, embora alguns sejam proprietários. O scanner OpenVAS vem com mais de cinquenta mil testes de vulnerabilidade de rede que são atualizados regularmente.

O OpenVAS tem dois componentes principais, o scanner OpenVAS, que é responsável pela varredura real dos computadores de destino e o gerenciador OpenVAS, que controla o scanner, consolida os resultados e os armazena em um banco de dados SQL central junto com a configuração do sistema. Outros componentes incluem interfaces de usuário baseadas em navegador e de linha de comando.

Um componente adicional do sistema é o banco de dados de Testes de vulnerabilidade de rede. Este banco de dados é atualizado a partir da taxa Greenborne Community Feed ou do Greenborne Security Feed. Este último é um servidor de assinatura paga, enquanto o feed da comunidade é gratuito.

4. Comunidade Retina Network

Thre Retina Network Community é a versão gratuita do Retina Network Security Scanner da AboveTrust, um dos mais conhecidos scanners de vulnerabilidade.

É um scanner de vulnerabilidade abrangente com muitos recursos. A ferramenta pode realizar uma avaliação de vulnerabilidade gratuita de patches ausentes, vulnerabilidades de dia zero e configurações não seguras. Perfis de usuário alinhados com funções de trabalho simplificam a operação do sistema. Sua interface de usuário intuitiva no estilo metro permite uma operação simplificada do sistema.

Retina Network Community usa o banco de dados do scanner Retina, um amplo banco de dados de vulnerabilidades de rede, problemas de configuração e patches ausentes. Ele é atualizado automaticamente e cobre uma ampla gama de sistemas operacionais, dispositivos, aplicativos e ambientes virtuais. Por falar em ambientes virtuais, o produto é totalmente compatível com ambientes VMware e inclui digitalização de imagens virtuais online e offline, digitalização de aplicativos virtuais e integração com vCenter.

A principal limitação da Retina Network Community é que ela se limita a escanear 256 endereços IP. Embora não seja muito, será mais do que suficiente para várias organizações menores. Se o seu ambiente for maior que isso, você pode optar pelo Retina Network Security Scanner, disponível nas edições Standard e Unlimited. Ambas as edições têm um conjunto de recursos estendido em comparação com o scanner Retina Network Community.

5. Nexpose Community Edition

Nexpose do Rapid7 é outro scanner de vulnerabilidade bem conhecido, embora talvez menos do que o Retina. O Nexpose Community Edition é uma versão limitada do abrangente scanner de vulnerabilidade do Rapid7.

As limitações são importantes. Em primeiro lugar, você só pode usar o produto para digitalizar no máximo 32 endereços IP. Isso o torna uma boa opção apenas para as menores redes. Além disso, o produto só pode ser usado por um ano. Apesar dessas limitações, este é um excelente produto.

Nexpose pode ser executado em máquinas físicas com Windows ou Linux. Ele também está disponível como um dispositivo VM. Os extensos recursos de digitalização do produto irão lidar com redes, sistemas operacionais, aplicativos da web, bancos de dados e ambientes virtuais. Nexpose usa o que chama de Adaptive Security, que pode detectar e avaliar automaticamente novos dispositivos e novas vulnerabilidades no momento em que acessam sua rede. Isso se combina com conexões dinâmicas para VMware e AWS e integração com o projeto de pesquisa Sonar para fornecer monitoramento real ao vivo. Nexpose fornece análise de política integrada para auxiliar no cumprimento de padrões populares como CIS e NIST. Os relatórios de correção intuitivos da ferramenta fornecem instruções passo a passo sobre as ações de correção para melhorar rapidamente a conformidade.

6. SecureCheq

Nossa última entrada é um produto da Tripwire, outro nome conhecido em segurança de TI. Seu software SecureCheq é anunciado como um verificador de segurança de configuração gratuito do Microsoft Windows para desktops e servidores.

A ferramenta realiza varreduras locais em computadores Windows e identifica configurações avançadas inseguras do Windows, conforme definido pelos padrões CIS, ISO ou COBIT. Ele buscará cerca de duas dúzias de erros de configuração comuns relacionados à segurança.

Esta é uma ferramenta simples e fácil de usar. Basta executá-lo na máquina local e ele listará todas as configurações marcadas com status de aprovado ou reprovado. Clicar em qualquer uma das configurações listadas revela um resumo da vulnerabilidade com referências sobre como corrigi-la. O relatório pode ser impresso ou salvo como um arquivo OVAL XML.

Embora o SecureCheq verifique algumas configurações avançadas, ele não detecta muitas das vulnerabilidades e ameaças mais gerais. Sua melhor aposta é usá-lo em combinação com uma ferramenta mais básica, como o Microsoft Baseline Security Analyzer analisado acima.

Gestão de Vulnerabilidade

Uma coisa é detectar vulnerabilidades usando algum tipo de ferramenta de software, mas é inútil, a menos que seja parte de um processo holístico de gerenciamento de vulnerabilidades. Assim como os sistemas de detecção de intrusão não são scanners de vulnerabilidade de rede de sistemas de prevenção de intrusão - ou pelo menos a grande maioria deles - apenas detectará vulnerabilidades e as apontará para você.

Depende de você ter algum processo em vigor para reagir a essas vulnerabilidades detectadas. A primeira coisa que se deve fazer é avaliá-los.

A ideia aqui é garantir que as vulnerabilidades detectadas sejam reais. Os criadores de scanners de vulnerabilidade geralmente preferem errar por excesso de cautela e muitas de suas ferramentas relatam um certo número de falsos positivos.

A próxima etapa no processo de gerenciamento de vulnerabilidade é decidir como você deseja abordar - e corrigir - vulnerabilidades reais. Se eles forem encontrados em um software que sua organização quase não usa - ou não usa de todo -, sua melhor ação pode ser removê-lo e substituí-lo por outro software que ofereça funcionalidade semelhante.

Em muitos casos, consertar vulnerabilidades é tão fácil quanto aplicar algum patch do editor do software ou atualizar para a versão mais recente. Às vezes, eles também podem ser corrigidos modificando algumas configurações.