Лучшие альтернативы Microsoft Baseline Security Analyzer

Безопасность - главная забота большинства сетевых и системных администраторов. Это вполне понятно, учитывая сегодняшнюю сцену угроз. Кибератаки становятся все более и более распространенными, и их пагубные последствия настолько огромны, что их трудно понять.

Киберпреступники постоянно ищут уязвимости в системах и программном обеспечении, чтобы получить доступ к самому важному активу многих организаций - их данным . Для предотвращения этого необходимо использовать инструменты оценки уязвимости, такие как Microsoft Baseline Security Analyzer или MBSA. Однако это средство начинает подавать признаки старения. Во-первых, он не будет напрямую работать с современными версиями Windows, а также несколько ограничен в функциональности.

Честно говоря, если вы все еще используете MBSA, самое время переключиться на что-то другое. Сегодня мы рассматриваем четыре лучших альтернативы Microsoft Baseline Security Analyzer.

Мы начнем наше обсуждение с обзора MBSA. В конце концов, полезно знать, что мы пытаемся заменить. Затем мы обсудим уязвимость в целом. Далее мы поговорим об инструментах сканирования уязвимостей, о том, что это такое, кому они нужны и каковы их основные функции. Это приведет нас к большому открытию: четырем лучшим альтернативам Microsoft Baseline Security Analyzer. Мы кратко рассмотрим каждый из инструментов, чтобы дать вам представление об их функциях и возможностях.

Анализатор безопасности Microsoft Baseline: объяснение

Microsoft Baseline Security Analyzer или MBSA - довольно старый инструмент от Microsoft. Хотя это, безусловно, не идеальный вариант для крупных организаций, этот инструмент может быть полезен малым предприятиям, имеющим лишь несколько серверов. Помимо возраста, одним из основных недостатков инструмента является то, что он исходит от Microsoft, и вы не можете ожидать, что он будет сканировать что-либо, кроме продуктов Microsoft. Однако он будет сканировать операционную систему Windows, а также некоторые службы, такие как брандмауэр Windows, сервер SQL, приложения IIS и Microsoft Office.

В отличие от большинства других инструментов сканирования уязвимостей, этот не выполняет поиск конкретных уязвимостей. Вместо этого он ищет такие вещи, как отсутствующие исправления, пакеты обновления и обновления безопасности, и сканирует системы на наличие административных проблем. Его механизм отчетов может генерировать список недостающих обновлений и неправильных конфигураций.

Еще одним серьезным недостатком MBSA является то, что из-за своего возраста он не совсем совместим с Windows 10. Версия 2.3 MBSA будет работать с последней версией Windows, но, вероятно, потребует некоторых настроек, чтобы убрать ложные срабатывания и исправить проверки. это не может быть завершено. Например, MBSA ложно сообщает, что Центр обновления Windows не включен в Windows 10, даже если он включен. Следовательно, вы не можете использовать этот продукт, чтобы проверить, включен ли Центр обновления Windows на компьютерах с Windows 10.

Это простой в использовании инструмент, и он отлично справляется со своей задачей. Тем не менее, это не так много, и на самом деле это даже не так хорошо на современных компьютерах, что побуждает многих пользователей искать замену.

Уязвимость 101

Прежде чем идти дальше, давайте сделаем паузу и кратко обсудим уязвимость. Сложность современных компьютерных систем и сетей достигла беспрецедентного уровня сложности. Средний сервер часто может запускать сотни процессов. Каждый из этих процессов представляет собой компьютерную программу. Некоторые из них представляют собой большие программы, состоящие из тысяч строк исходного кода. В этом коде могут быть - и, вероятно, есть - неожиданные вещи. В какой-то момент разработчик мог добавить некоторую функцию бэкдора, чтобы облегчить свои усилия по отладке. Позже, когда разработчик начал работать над чем-то другим, эта опасная функция могла по ошибке попасть в финальную версию. Также могут быть некоторые ошибки в коде проверки ввода, которые могут привести к неожиданным и часто нежелательным результатам при определенных обстоятельствах.

Это то, что мы называем уязвимостями, и любую из них можно использовать, чтобы попытаться получить доступ к системам и данным. Существует огромное сообщество киберпреступников, которым нет ничего лучше, чем искать эти дыры и использовать их для проникновения в ваши системы и кражи ваших данных. Когда их игнорируют или оставляют без внимания, злоумышленники могут использовать уязвимости для получения доступа к вашим системам и данным или, что еще хуже, к данным вашего клиента или иным образом причинить серьезный ущерб, например, сделать ваши системы непригодными для использования.

Уязвимости можно найти везде. Они часто проникают в программное обеспечение, работающее на ваших серверах или в их операционных системах. Они также присутствуют в сетевом оборудовании, таком как коммутаторы, маршрутизаторы и даже в устройствах безопасности, таких как межсетевые экраны. На всякий случай - если есть такая вещь, как безопасность - вам действительно нужно искать их повсюду.

Инструменты сканирования уязвимостей

Инструменты сканирования или оценки уязвимостей выполняют одну основную функцию: выявление уязвимостей в ваших системах, устройствах, оборудовании и программном обеспечении. Их часто называют сканерами, потому что они обычно сканируют ваше оборудование на предмет известных уязвимостей.

Но как инструменты сканирования уязвимостей находят уязвимости? В конце концов, их обычно нет на виду. Если бы они были такими очевидными, разработчики обратились бы к ним перед выпуском программного обеспечения. На самом деле эти инструменты мало чем отличаются от антивирусного программного обеспечения, которое использует базы данных описаний вирусов для распознавания сигнатур компьютерных вирусов. Точно так же большинство сканеров уязвимостей полагаются на базы данных уязвимостей и системы сканирования на предмет конкретных уязвимостей. Такие базы данных уязвимостей часто доступны в известных независимых лабораториях тестирования безопасности, занимающихся поиском уязвимостей в программном и аппаратном обеспечении, или они могут быть собственными базами данных от поставщика средства сканирования уязвимостей. Поскольку сила цепи определяется ее самым слабым звеном,

Кому они нужны?

Однозначный ответ на этот вопрос довольно очевиден: все! Точно так же, как в наши дни никто в здравом уме не подумает о запуске компьютера без какой-либо защиты от вирусов, ни один сетевой администратор не должен иметь хоть какую-то защиту от уязвимостей. Атаки могут исходить откуда угодно и ударить вас там, где и когда вы меньше всего их ожидаете. Вы должны знать о своем риске заражения.

Хотя сканирование уязвимостей, возможно, можно выполнить вручную, это практически невыполнимая задача. Простой поиск информации об уязвимостях, не говоря уже о сканировании ваших систем на их наличие, может потребовать огромных ресурсов. Некоторые организации занимаются поиском уязвимостей, и в них часто работают сотни, если не тысячи людей. Почему бы не воспользоваться ими?

Любой, кто управляет несколькими компьютерными системами или устройствами, получит большую выгоду от использования инструмента сканирования уязвимостей. Соблюдение нормативных стандартов, таких как SOX или PCI-DSS, и это лишь некоторые из них, часто требует от вас этого. И даже если они не требуют этого специально, соответствие часто будет легче продемонстрировать, если вы сможете показать, что у вас есть инструменты для сканирования уязвимостей.

Основные функции инструментов сканирования уязвимостей

При выборе инструмента для поиска уязвимостей следует учитывать множество факторов. В первую очередь следует учитывать диапазон устройств, которые можно сканировать. Вам нужен инструмент, который сможет сканировать все оборудование, которое вам нужно сканировать. Например, если у вас много серверов Linux, вы захотите выбрать инструмент, который может их сканировать, а не тот, который работает только с машинами Windows. Вы также хотите выбрать сканер, который будет максимально точным в вашей среде. Вы бы не захотели тонуть в бесполезных уведомлениях и ложных срабатываниях.

Еще одним отличительным элементом между продуктами является их база данных об уязвимостях. Поддерживается ли он поставщиком или независимой организацией? Насколько регулярно он обновляется? Он хранится локально или в облаке? Придется ли вам платить дополнительную плату за использование базы данных уязвимостей или за получение обновлений? Возможно, вы захотите получить ответы на эти вопросы, прежде чем выбирать инструмент.

Некоторые сканеры уязвимостей используют назойливые методы сканирования. Они потенциально могут повлиять на производительность системы. На самом деле, самые навязчивые - зачастую лучшие сканеры. Однако, если они влияют на производительность системы, вы захотите узнать об этом заранее, чтобы соответствующим образом запланировать сканирование. Если говорить о планировании, это еще один важный аспект инструментов сканирования уязвимостей сети. У некоторых инструментов даже нет запланированного сканирования, и их нужно запускать вручную.

Предупреждения и отчеты также являются важными функциями инструментов сканирования уязвимостей. Предупреждение относится к тому, что происходит при обнаружении уязвимости. Есть ли четкое и понятное уведомление? Как передается? Через всплывающее окно на экране, электронное письмо, текстовое сообщение? Что еще более важно, дает ли инструмент некоторое представление о том, как исправить обнаруженные уязвимости? Некоторые инструменты даже имеют автоматическое устранение определенных типов уязвимостей. Другие инструменты интегрируются с ПО для управления исправлениями, поскольку исправление часто является лучшим способом исправить уязвимости.

Что касается отчетности, хотя это часто вопрос личных предпочтений, вы должны убедиться, что информация, которую вы ожидаете и которую нужно найти в отчетах, действительно присутствует. Некоторые инструменты имеют только предопределенные отчеты, другие позволяют изменять встроенные отчеты. Что касается лучших из них, по крайней мере, с точки зрения отчетности, они позволят вам создавать собственные отчеты с нуля.

Четыре отличные альтернативы MBSA

Теперь, когда мы знаем, что такое уязвимости, как они сканируются и каковы основные особенности инструментов сканирования уязвимостей, мы готовы рассмотреть некоторые из лучших или наиболее интересных пакетов, которые мы смогли найти. Мы включили некоторые платные и бесплатные инструменты. Некоторые даже доступны как в бесплатной, так и в платной версии. Все бы подошло для замены MBSA. Посмотрим, в чем их основные особенности.

1. SolarWinds Network Configuration Manager (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

SolarWinds - широко известное имя среди сетевых и системных администраторов. Компания создает одни из лучших инструментов сетевого администрирования около 20 лет. Один из лучших инструментов, SolarWinds Network Performance Monitor, постоянно получает высокие оценки и восторженные отзывы как один из лучших инструментов для мониторинга пропускной способности сети SNMP. Компания также довольно известна своими бесплатными инструментами. Это небольшие инструменты, предназначенные для решения конкретных задач управления сетью. Среди наиболее известных бесплатных инструментов - Advanced Subnet Calculator и Kiwi Syslog server.

Наш первый инструмент, SolarWinds Network Configuration Manager, на самом деле не является средством поиска уязвимостей. Но по двум причинам мы подумали, что это интересная альтернатива MBSA, и решили включить ее в наш список. Во-первых, в продукте есть функция оценки уязвимости, а также он устраняет определенный тип уязвимости, который важен, но не так много других инструментов, а именно неправильную настройку сетевого оборудования. В продукте также есть функции, не связанные с уязвимостями.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Network Configuration Manager
• Официальная ссылка для скачивания: https://www.solarwinds.com/network-configuration-manager/registration

Основное использование SolarWinds Network Configuration Manager в качестве инструмента сканирования уязвимостей - проверка конфигурации сетевого оборудования на наличие ошибок и пропусков. Инструмент также может периодически проверять конфигурацию устройства на предмет изменений. Это полезно, поскольку некоторые атаки начинаются с изменения конфигурации сетевого устройства, которая зачастую не так безопасна, как серверы, таким образом, чтобы облегчить доступ к другим системам. Инструмент также может помочь в соблюдении стандартов или нормативных требований за счет использования своих инструментов автоматической настройки сети, которые могут развертывать стандартизованные конфигурации, обнаруживать внепроцессные изменения, проводить аудит конфигураций и даже исправлять нарушения.

Программное обеспечение действительно интегрируется с Национальной базой данных уязвимостей, благодаря чему оно занимает свое место в этом списке альтернатив MBSA. Он также имеет доступ к самым последним CVE для выявления уязвимостей в ваших устройствах Cisco. Он будет работать с любым устройством Cisco, работающим под управлением ОС ASA, IOS или Nexus. Фактически, два других полезных инструмента, Network Insights для ASA и Network Insights для Nexus, встроены прямо в продукт.

Цена на SolarWinds Network Configuration Manager начинается с 2895 долларов за до 50 управляемых узлов и увеличивается с увеличением количества управляемых узлов. Если вы хотите попробовать этот инструмент, бесплатную 30-дневную пробную версию можно загрузить прямо с SolarWinds.

2. OpenVAS

Open Vulnerability система оценки , или OpenVAS , является основой нескольких услуг и инструментов. Они объединяются, чтобы создать всеобъемлющий, но мощный инструмент сканирования уязвимостей. Фреймворк OpenVAS является частью решения Greenbone Networks по управлению уязвимостями, элементы которого вносились в сообщество уже около десяти лет. Система полностью бесплатна, и многие из ее ключевых компонентов имеют открытый исходный код, хотя некоторые - нет. Сканер OpenVAS поставляется с более чем 50 тысячами тестов на уязвимость сети, которые регулярно обновляются.

OpenVAS состоит из двух основных компонентов. Первый - это сканер OpenVAS . Это компонент, отвечающий за фактическое сканирование целевых компьютеров. Второй компонент - это менеджер OpenVAS, который обрабатывает все остальное, например, управление сканером, объединение результатов и их сохранение в центральной базе данных SQL. Программное обеспечение имеет пользовательский интерфейс на основе браузера и командной строки. Еще одним компонентом системы является база данных тестов на уязвимость сети. Эта база данных может получать обновления либо из бесплатного канала сообщества Greenborne, либо из платного канала безопасности Greenborne для более полной защиты.

3. Сетевое сообщество Retina

Retina Network Community - это бесплатная версия сканера сетевой безопасности Retina от AboveTrust , который является одним из самых известных сканеров уязвимостей. Несмотря на то, что это бесплатный, это комплексный сканер уязвимостей с множеством функций. Он может выполнять тщательную оценку уязвимости отсутствующих исправлений, уязвимостей нулевого дня и незащищенных конфигураций. Он также может похвастаться профилями пользователей, согласованными с должностными функциями, что упрощает работу с системой. Этот продукт имеет интуитивно понятный графический интерфейс в стиле метро, ​​который позволяет оптимизировать работу системы.

В Retina Network Community замечательно то, что оно использует ту же базу данных уязвимостей, что и его платный брат. Это обширная база данных уязвимостей сети, проблем с конфигурацией и отсутствующих исправлений, которая автоматически обновляется и охватывает широкий спектр операционных систем, устройств, приложений и виртуальных сред. Что касается виртуальных сред, продукт полностью поддерживает VMware и включает в себя онлайн- и офлайн-сканирование виртуальных образов, сканирование виртуальных приложений и интеграцию с vCenter.

Главный недостаток Retina Network Community в том, что он ограничен сканированием 256 IP-адресов. Хотя этого может быть немного, если вы управляете большой сетью, этого может быть более чем достаточно для многих небольших организаций. Если в вашей среде более 256 устройств, все, что мы только что сказали об этом продукте, справедливо и для его старшего брата, сканера сетевой безопасности Retina, который доступен в стандартной и неограниченной версиях. Любая версия имеет расширенный набор функций по сравнению со сканером Retina Network Community .

4. Nexpose Community Edition

Возможно , не совсем так популярны , как Retina, NeXpose из Rapid7 является другой известный сканер уязвимостей. Что касается NeXpose Community Edition , это слегка уменьшенная версия Rapid7 комплексного сканера «s уязвимости. Однако у продукта есть некоторые важные ограничения. Например, сканирование ограничено максимум 32 IP-адресами. Это сильно ограничивает полезность инструмента только для самых маленьких сетей. Еще одно ограничение заключается в том, что продукт можно использовать только в течение одного года. Если вы можете жить с этими ограничениями, это отличный продукт. Если нет, вы всегда можете взглянуть на платное предложение от Rapid7 .

Nexpose Community Edition будет работать на физических машинах под Windows или Linux. Он также доступен как виртуальное устройство. У него есть обширные возможности сканирования, которые будут обрабатывать сети, операционные системы, веб-приложения, базы данных и виртуальные среды. Этот инструмент использует адаптивную безопасность, которая может автоматически обнаруживать и оценивать новые устройства и новые уязвимости в тот момент, когда они обращаются к вашей сети. Эта функция работает вместе с динамическими подключениями к VMware и AWS. Программное обеспечение также интегрируется с исследовательским проектом Sonar для обеспечения реального мониторинга в реальном времени. Nexpose Community Editionобеспечивает интегрированное сканирование политик для соответствия популярным стандартам, таким как CIS и NIST. И наконец, что не менее важно, интуитивно понятные отчеты об исправлениях содержат пошаговые инструкции по действиям по исправлению.