Các giải pháp thay thế tốt nhất cho Microsoft Baseline Security Analyzer

Bảo mật là mối quan tâm chính của hầu hết các quản trị viên hệ thống và mạng. Đó là điều khá dễ hiểu khi xem xét cảnh đe dọa ngày nay. Các cuộc tấn công mạng ngày càng phổ biến và chúng có những tác động xấu đến mức khó có thể hiểu được.

Tội phạm mạng không ngừng tìm kiếm các lỗ hổng trong hệ thống và phần mềm để truy cập vào tài sản quan trọng nhất của nhiều tổ chức là dữ liệu của họ . Việc ngăn chặn yêu cầu sử dụng các công cụ đánh giá lỗ hổng như Microsoft Baseline Security Analyzer hoặc MBSA. Tuy nhiên, công cụ này đang bắt đầu xuất hiện một số dấu hiệu của tuổi tác. Đối với người mới bắt đầu, nó sẽ không trực tiếp hoạt động với các phiên bản Windows hiện đại và nó cũng bị hạn chế một chút về chức năng.

Thành thật mà nói, nếu bạn vẫn đang sử dụng MBSA, đã đến lúc bạn chuyển sang một thứ khác. Hôm nay, chúng tôi đang xem xét bốn trong số các lựa chọn thay thế tốt nhất cho Microsoft Baseline Security Analyzer.

Chúng ta sẽ bắt đầu cuộc thảo luận của mình bằng cách xem xét MBSA. Rốt cuộc, nó sẽ giúp biết những gì chúng tôi đang cố gắng thay thế. Sau đó chúng ta sẽ thảo luận về lỗ hổng nói chung. Tiếp theo, chúng ta sẽ nói về các công cụ quét lỗ hổng bảo mật, chúng là gì, ai cần chúng và các tính năng thiết yếu của chúng là gì. Điều này sẽ đưa chúng ta đến với tiết lộ lớn: bốn lựa chọn thay thế tốt nhất cho Microsoft Baseline Security Analyzer. Chúng tôi sẽ xem xét ngắn gọn từng công cụ để cung cấp cho bạn ý tưởng về các tính năng và khả năng của chúng.

Microsoft Baseline Security Analyzer: Giải thích

Microsoft Baseline Security Analyzer, hay MBSA, là một công cụ khá cũ của Microsoft. Mặc dù nó chắc chắn không phải là một lựa chọn lý tưởng cho các tổ chức lớn, nhưng công cụ này có thể được sử dụng cho các doanh nghiệp nhỏ hơn, những doanh nghiệp chỉ có một số ít máy chủ. Khác với tuổi đời của nó, một trong những nhược điểm chính của công cụ này là đến từ Microsoft, bạn không thể mong đợi nó có thể quét bất cứ thứ gì ngoài các sản phẩm của Microsoft. Tuy nhiên, nó sẽ quét hệ điều hành Windows cũng như một số dịch vụ như Windows Firewall, SQL server, IIS và các ứng dụng Microsoft Office.

Trái ngược với hầu hết các công cụ quét lỗ hổng bảo mật khác, công cụ này không quét các lỗ hổng cụ thể. Thay vào đó, nó tìm kiếm những thứ như các bản vá lỗi, gói dịch vụ và bản cập nhật bảo mật còn thiếu và quét hệ thống để tìm các vấn đề quản trị. Công cụ báo cáo của nó có thể tạo ra một danh sách các bản cập nhật bị thiếu và cấu hình sai.

Một nhược điểm lớn khác của MBSA là do tuổi đời của nó, nó không thực sự tương thích với Windows 10. Phiên bản 2.3 của MBSA sẽ hoạt động với phiên bản Windows mới nhất nhưng nó có thể sẽ yêu cầu một số tinh chỉnh để xóa các lỗi dương tính giả và sửa lỗi kiểm tra. điều đó không thể được hoàn thành. Ví dụ: MBSA sẽ báo cáo sai rằng Windows Update không được kích hoạt trên Windows 10, ngay cả khi đúng như vậy. Do đó, bạn không thể sử dụng sản phẩm này để kiểm tra xem Windows Update có được bật trên máy tính Windows 10 hay không.

Đây là một công cụ đơn giản để sử dụng và nó hoạt động tốt. Tuy nhiên, nó không làm được gì nhiều và thậm chí nó còn không hoạt động tốt trên các máy tính hiện đại, khiến nhiều người dùng tìm kiếm một thiết bị thay thế.

Lỗ hổng 101

Trước khi đi xa hơn, chúng ta hãy tạm dừng và thảo luận ngắn gọn về tính dễ bị tổn thương. Sự phức tạp của các hệ thống và mạng máy tính hiện đại đã đạt đến mức độ phức tạp chưa từng có. Một máy chủ trung bình thường có thể chạy hàng trăm quy trình. Mỗi quá trình này là một chương trình máy tính. Một số trong số chúng là các chương trình lớn được tạo từ hàng nghìn dòng mã nguồn. Trong đoạn mã này, có thể có - và có thể có - những điều không mong đợi. Một nhà phát triển, tại một thời điểm, có thể đã thêm một số tính năng cửa hậu để giảm bớt nỗ lực gỡ lỗi của mình. Sau đó, khi nhà phát triển bắt đầu làm việc khác, tính năng nguy hiểm này có thể đã nhầm lẫn với bản phát hành cuối cùng. Cũng có thể có một số lỗi trong mã xác thực đầu vào có thể gây ra kết quả không mong muốn – và thường là không mong muốn trong một số trường hợp cụ thể.

Đây là những gì chúng tôi đề cập đến là lỗ hổng bảo mật và bất kỳ lỗ hổng nào trong số này đều có thể được sử dụng để cố gắng truy cập vào hệ thống và dữ liệu. Có một cộng đồng tội phạm mạng khổng lồ ngoài kia, những người không thể làm gì tốt hơn là tìm ra những lỗ hổng này và khai thác chúng để xâm nhập vào hệ thống của bạn và lấy cắp dữ liệu của bạn. Khi bị bỏ qua hoặc không được giám sát, người dùng độc hại có thể sử dụng các lỗ hổng để truy cập vào hệ thống và dữ liệu của bạn hoặc có thể tệ hơn, dữ liệu của khách hàng của bạn hoặc gây ra một số thiệt hại lớn như làm cho hệ thống của bạn không thể sử dụng được.

Các lỗ hổng có thể được tìm thấy ở khắp mọi nơi. Chúng thường len lỏi vào phần mềm chạy trên máy chủ của bạn hoặc trong hệ điều hành của chúng. Chúng cũng tồn tại trong các thiết bị mạng như thiết bị chuyển mạch, bộ định tuyến và thậm chí cả các thiết bị bảo mật như tường lửa. Để ở bên an toàn — nếu có điều gì đó chẳng hạn như ở bên an toàn — bạn thực sự cần phải tìm kiếm họ ở khắp mọi nơi.

Công cụ quét lỗ hổng bảo mật

Các công cụ đánh giá hoặc quét lỗ hổng bảo mật có một chức năng chính: xác định các lỗ hổng trong hệ thống, thiết bị, thiết bị và phần mềm của bạn. Chúng thường được gọi là máy quét vì chúng thường sẽ quét thiết bị của bạn để tìm kiếm các lỗ hổng đã biết.

Nhưng làm thế nào để các công cụ quét lỗ hổng tìm thấy lỗ hổng? Rốt cuộc, họ thường không ở đó trong tầm nhìn rõ ràng. Nếu chúng quá rõ ràng, các nhà phát triển sẽ giải quyết chúng trước khi phát hành phần mềm. Các công cụ thực sự không khác nhiều so với phần mềm bảo vệ chống vi-rút sử dụng cơ sở dữ liệu định nghĩa vi-rút để nhận dạng dấu hiệu vi-rút máy tính. Tương tự, hầu hết các trình quét lỗ hổng dựa trên cơ sở dữ liệu lỗ hổng và hệ thống quét các lỗ hổng cụ thể. Các cơ sở dữ liệu về lỗ hổng này thường có sẵn từ các phòng thí nghiệm kiểm tra bảo mật độc lập nổi tiếng dành riêng cho việc tìm kiếm lỗ hổng trong phần mềm và phần cứng hoặc chúng có thể là cơ sở dữ liệu độc quyền từ nhà cung cấp công cụ quét lỗ hổng. Vì một chuỗi chỉ mạnh bằng mắt xích yếu nhất của nó,

Ai Cần Chúng?

Câu trả lời một từ cho câu hỏi đó là khá rõ ràng: Mọi người! Cũng giống như không ai trong suy nghĩ của mình sẽ chạy một máy tính mà không có một số biện pháp bảo vệ chống vi-rút ngày nay, không quản trị viên mạng nào không có ít nhất một số hình thức bảo vệ lỗ hổng bảo mật. Các cuộc tấn công có thể đến từ bất cứ đâu và tấn công bạn ở đâu và khi nào bạn ít mong đợi nhất. Bạn cần lưu ý về nguy cơ phơi nhiễm của mình.

Mặc dù việc quét các lỗ hổng bảo mật có thể được thực hiện theo cách thủ công, nhưng đây là một công việc gần như bất khả thi. Chỉ cần tìm kiếm thông tin về các lỗ hổng bảo mật, chưa nói đến việc quét hệ thống của bạn để tìm sự hiện diện của chúng, có thể tốn một lượng lớn tài nguyên. Một số tổ chức chuyên tìm kiếm lỗ hổng bảo mật và họ thường tuyển dụng hàng trăm, nếu không muốn nói là hàng nghìn người. Tại sao không tận dụng chúng?

Bất kỳ ai quản lý một số hệ thống hoặc thiết bị máy tính sẽ được hưởng lợi rất nhiều từ việc sử dụng công cụ quét lỗ hổng bảo mật. Việc tuân thủ các tiêu chuẩn quy định như SOX hoặc PCI-DSS, chỉ là một vài tiêu chuẩn, thường sẽ bắt buộc bạn phải làm. Và ngay cả khi họ không yêu cầu cụ thể, việc tuân thủ thường sẽ dễ dàng hơn để chứng minh nếu bạn có thể chứng minh rằng bạn có các công cụ quét lỗ hổng bảo mật.

Các tính năng cơ bản của các công cụ quét lỗ hổng bảo mật

Có nhiều yếu tố cần xem xét khi lựa chọn một công cụ quét lỗ hổng bảo mật. Trên đầu danh sách những điều cần xem xét là phạm vi thiết bị có thể được quét. Bạn cần một công cụ có thể quét tất cả các thiết bị bạn cần quét. Ví dụ: nếu bạn có nhiều máy chủ Linux, bạn sẽ muốn chọn một công cụ có thể quét chúng, không phải một công cụ chỉ xử lý các máy Windows. Bạn cũng muốn chọn một máy quét càng chính xác càng tốt trong môi trường của bạn. Bạn sẽ không muốn chìm trong những thông báo vô dụng và những thông báo xác thực sai.

Một yếu tố khác biệt khác giữa các sản phẩm là cơ sở dữ liệu về lỗ hổng bảo mật tương ứng của chúng. Nó được duy trì bởi nhà cung cấp hay nó từ một tổ chức độc lập? Nó được cập nhật thường xuyên như thế nào? Nó được lưu trữ cục bộ hay trên đám mây? Bạn có phải trả thêm phí để sử dụng cơ sở dữ liệu lỗ hổng bảo mật hoặc để nhận các bản cập nhật không? Bạn có thể muốn nhận được câu trả lời cho những câu hỏi này trước khi chọn công cụ của mình.

Một số máy quét lỗ hổng bảo mật sử dụng phương pháp quét xâm nhập. Chúng có thể ảnh hưởng đến hiệu suất hệ thống. Trên thực tế, những kẻ xâm nhập nhiều nhất thường là những máy quét tốt nhất. Tuy nhiên, nếu chúng ảnh hưởng đến hiệu suất hệ thống, bạn sẽ muốn biết trước về nó để lên lịch quét phù hợp. Nói về lập lịch, đây là một khía cạnh quan trọng khác của các công cụ quét lỗ hổng mạng. Một số công cụ thậm chí không có tính năng quét theo lịch trình và cần được khởi chạy theo cách thủ công.

Cảnh báo và báo cáo cũng là những tính năng quan trọng của các công cụ quét lỗ hổng bảo mật. Cảnh báo liên quan đến những gì sẽ xảy ra khi tìm thấy lỗ hổng bảo mật. Có thông báo rõ ràng và dễ hiểu không? Nó được truyền như thế nào? Qua cửa sổ bật lên trên màn hình, email, tin nhắn văn bản? Quan trọng hơn, công cụ có cung cấp một số thông tin chi tiết về cách sửa các lỗ hổng mà nó tìm thấy không? Một số công cụ thậm chí còn tự động khắc phục một số loại lỗ hổng bảo mật. Các công cụ khác tích hợp với phần mềm quản lý bản vá vì bản vá thường là cách tốt nhất để sửa các lỗ hổng.

Đối với báo cáo, mặc dù đây thường là vấn đề sở thích cá nhân, nhưng bạn phải đảm bảo rằng thông tin bạn mong đợi và cần tìm trong các báo cáo sẽ thực sự có ở đó. Một số công cụ chỉ có các báo cáo được xác định trước, những công cụ khác sẽ cho phép bạn sửa đổi các báo cáo tích hợp sẵn. Đối với những cái tốt nhất — ít nhất là từ quan điểm báo cáo — chúng sẽ cho phép bạn tạo báo cáo tùy chỉnh từ đầu.

Bốn giải pháp thay thế tuyệt vời cho MBSA

Bây giờ chúng ta đã biết các lỗ hổng bảo mật là gì, cách chúng được quét và các tính năng chính của các công cụ quét lỗ hổng bảo mật là gì, chúng tôi đã sẵn sàng để xem xét một số gói tốt nhất hoặc thú vị nhất mà chúng tôi có thể tìm thấy. Chúng tôi đã bao gồm một số công cụ trả phí và một số công cụ miễn phí. Một số thậm chí có sẵn ở cả phiên bản miễn phí và trả phí. Tất cả đều phù hợp để thay thế MBSA. Hãy xem những tính năng chính của chúng là gì.

1. Trình quản lý cấu hình mạng SolarWinds (DÙNG THỬ MIỄN PHÍ)

SolarWinds là một cái tên nổi tiếng trong giới quản trị mạng và hệ thống. Công ty đã tạo ra một số công cụ quản trị mạng tốt nhất trong khoảng 20 năm. Một trong những công cụ hàng đầu của nó, SolarWinds Network Performance Monitor liên tục nhận được nhiều lời khen ngợi và đánh giá cao như một trong những công cụ giám sát băng thông mạng SNMP tốt nhất. Công ty cũng khá nổi tiếng với các công cụ miễn phí. Chúng là các công cụ nhỏ hơn được thiết kế để giải quyết các nhiệm vụ cụ thể của quản lý mạng. Trong số những công cụ miễn phí nổi tiếng nhất này là Máy tính mạng con nâng cao và máy chủ Kiwi Syslog.

Công cụ đầu tiên của chúng tôi, SolarWinds Network Configuration Manager không thực sự là một công cụ quét lỗ hổng bảo mật. Nhưng vì hai lý do cụ thể, chúng tôi nghĩ rằng đó là một sự thay thế thú vị cho MBSA và đã chọn đưa nó vào danh sách của mình. Đối với những người mới bắt đầu, sản phẩm có tính năng đánh giá lỗ hổng bảo mật và nó cũng giải quyết một loại lỗ hổng cụ thể, một điều quan trọng nhưng không nhiều công cụ khác giải quyết, cấu hình sai thiết bị mạng. Sản phẩm cũng được đóng gói với các tính năng liên quan đến lỗ hổng bảo mật.

• DÙNG THỬ MIỄN PHÍ: Trình quản lý cấu hình mạng SolarWinds
• Liên kết tải xuống chính thức: https://www.solarwinds.com/network-configuration-manager/registration

Việc sử dụng chính của SolarWinds Network Configuration Manager như một công cụ quét lỗ hổng bảo mật là xác thực các cấu hình thiết bị mạng để tìm lỗi và thiếu sót. Công cụ này cũng có thể kiểm tra định kỳ các cấu hình thiết bị để biết các thay đổi. Điều này rất hữu ích vì một số cuộc tấn công được bắt đầu bằng cách sửa đổi cấu hình của thiết bị mạng — thường không an toàn như máy chủ — theo cách có thể tạo điều kiện cho việc truy cập vào các hệ thống khác. Công cụ này cũng có thể trợ giúp việc tuân thủ các tiêu chuẩn hoặc quy định thông qua việc sử dụng các công cụ cấu hình mạng tự động có thể triển khai các cấu hình tiêu chuẩn hóa, phát hiện các thay đổi ngoài quy trình, cấu hình kiểm tra và thậm chí sửa lỗi vi phạm.

Phần mềm này tích hợp với Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia, giúp nó có được vị trí trong danh sách các lựa chọn thay thế MBSA này. Nó cũng có quyền truy cập vào CVE mới nhất để xác định các lỗ hổng trong các thiết bị Cisco của bạn. Nó sẽ hoạt động với bất kỳ thiết bị Cisco nào chạy ASA, IOS hoặc Nexus OS. Trên thực tế, hai công cụ hữu ích khác, Network Insights cho ASA và Network Insights cho Nexus được tích hợp ngay trong sản phẩm.

Giá cho Trình quản lý cấu hình mạng SolarWinds bắt đầu từ $ 2,895 cho tối đa 50 nút được quản lý và tăng lên theo số lượng nút được quản lý. Nếu bạn muốn dùng thử công cụ này, bạn có thể tải xuống phiên bản dùng thử miễn phí 30 ngày trực tiếp từ SolarWinds.

2. OpenVAS

Các mở Vulnerability Assessment System , hoặc OpenVAS , là một khuôn khổ của một số dịch vụ và các công cụ. Chúng kết hợp để tạo ra một công cụ quét lỗ hổng toàn diện nhưng mạnh mẽ. Khuôn khổ đằng sau OpenVAS là một phần của giải pháp quản lý lỗ hổng bảo mật của Greenbone Networks mà từ đó các yếu tố đã được đóng góp cho cộng đồng trong khoảng mười năm. Hệ thống này hoàn toàn miễn phí và nhiều thành phần chính của nó là mã nguồn mở mặc dù một số thì không. Máy quét OpenVAS được cung cấp với hơn 50 nghìn Kiểm tra Lỗ hổng Mạng được cập nhật thường xuyên.

OpenVAS bao gồm hai thành phần chính. Cái đầu tiên là máy quét OpenVAS . Đây là thành phần chịu trách nhiệm quét thực tế các máy tính mục tiêu. Thành phần thứ hai là trình quản lý OpenVAS xử lý mọi thứ khác như điều khiển máy quét, tổng hợp kết quả và lưu trữ chúng trong cơ sở dữ liệu SQL trung tâm. Phần mềm có cả giao diện người dùng dựa trên trình duyệt và dòng lệnh. Một thành phần khác của hệ thống là cơ sở dữ liệu Kiểm tra lỗ hổng mạng. Cơ sở dữ liệu này có thể nhận được các bản cập nhật từ Nguồn cấp dữ liệu cộng đồng Greenborne miễn phí hoặc Nguồn cấp dữ liệu bảo mật Greenborne trả phí để được bảo vệ toàn diện hơn.

3. Cộng đồng mạng Retina

Cộng đồng mạng Retina là phiên bản miễn phí của Trình quét bảo mật mạng Retina từ AboveTrust , là một trong những trình quét lỗ hổng bảo mật nổi tiếng nhất. Mặc dù miễn phí, nó là một trình quét lỗ hổng toàn diện được tích hợp nhiều tính năng. Nó có thể thực hiện đánh giá lỗ hổng kỹ lưỡng về các bản vá bị thiếu, lỗ hổng zero-day và cấu hình không an toàn. Nó cũng tự hào có hồ sơ người dùng phù hợp với các chức năng công việc, do đó đơn giản hóa hoạt động của hệ thống. Sản phẩm này có GUI trực quan theo phong cách tàu điện ngầm cho phép hệ thống hoạt động hợp lý.

Một điều tuyệt vời về Retina Network Community là nó sử dụng cơ sở dữ liệu lỗ hổng tương tự như người anh em trả phí của nó. Đây là một cơ sở dữ liệu phong phú về các lỗ hổng mạng, các vấn đề về cấu hình và các bản vá còn thiếu được cập nhật tự động và bao gồm một loạt các hệ điều hành, thiết bị, ứng dụng và môi trường ảo. Nói về môi trường ảo, sản phẩm hỗ trợ đầy đủ VMware và nó bao gồm quét ảnh ảo trực tuyến và ngoại tuyến, quét ứng dụng ảo và tích hợp với vCenter.

Hạn chế chính của Retina Network Community là nó bị giới hạn trong việc quét 256 địa chỉ IP. Mặc dù điều này có thể không nhiều nếu bạn đang quản lý một mạng lớn, nhưng nó có thể là quá đủ đối với nhiều tổ chức nhỏ hơn. Nếu môi trường của bạn có nhiều hơn 256 thiết bị, mọi thứ chúng tôi vừa nói về sản phẩm này cũng đúng với người anh cả của nó, Máy quét an ninh mạng Retina , có sẵn trong các phiên bản Tiêu chuẩn và Không giới hạn. Cả hai phiên bản đều có bộ tính năng mở rộng so với máy quét Cộng đồng Mạng Retina .

4. Nexpose Community Edition

Có lẽ không phổ biến như Retina, Nexpose từ Rapid7 là một máy quét lỗ hổng nổi tiếng khác. Đối với Nexpose Community Edition , nó là một phiên bản thu nhỏ của trình quét lỗ hổng toàn diện của Rapid7 . Tuy nhiên, sản phẩm có một số hạn chế quan trọng. Ví dụ: nó bị giới hạn trong việc quét tối đa 32 địa chỉ IP. Điều này làm hạn chế nghiêm trọng tính hữu dụng của công cụ đối với các mạng nhỏ nhất. Một hạn chế nữa là sản phẩm chỉ sử dụng được trong một năm. Nếu bạn có thể sống với những hạn chế này, nó là một sản phẩm tuyệt vời. Nếu không, bạn luôn có thể xem ưu đãi trả phí từ Rapid7 .

Nexpose Community Edition sẽ chạy trên các máy vật lý chạy Windows hoặc Linux. Nó cũng có sẵn như một thiết bị ảo. Nó có khả năng quét mở rộng sẽ xử lý mạng, hệ điều hành, ứng dụng web, cơ sở dữ liệu và môi trường ảo. Công cụ này sử dụng bảo mật thích ứng có thể tự động phát hiện và đánh giá các thiết bị mới và lỗ hổng bảo mật mới tại thời điểm chúng truy cập vào mạng của bạn. Tính năng này hoạt động cùng với các k��t nối động tới VMware và AWS. Phần mềm này cũng tích hợp với dự án nghiên cứu Sonar để cung cấp khả năng giám sát trực tiếp thực sự. Nexpose Community Editioncung cấp tính năng quét chính sách tích hợp để hỗ trợ tuân thủ các tiêu chuẩn phổ biến như CIS và NIST. Và cuối cùng nhưng không kém phần quan trọng, các báo cáo khắc phục trực quan của công cụ cung cấp cho bạn hướng dẫn từng bước về các hành động khắc phục.