2021 年最佳免費網絡漏洞掃描程序（評論）

您不希望您的網絡成為試圖竊取您的數據或對您的組織造成損害的惡意用戶的目標。但是你怎麼能確定他們進入的方式盡可能少呢？

通過確保您網絡上的每一個漏洞都是已知的、解決的和修復的，或者採取一些措施來緩解它。實現這一目標的第一步是掃描您的網絡以查找這些漏洞。

這是特定類型軟件工具的工作，今天，我們很高興為您帶來最好的免費網絡漏洞掃描程序。

我們將通過討論網絡漏洞——或者可能是漏洞——來開始今天的討論，試圖解釋它們是什麼。我們接下來將大體討論漏洞掃描器。我們將看看誰需要它們以及為什麼需要它們。

由於漏洞掃描器僅作為漏洞管理過程的一部分工作，這就是我們接下來要討論的內容。然後，我們將研究漏洞掃描程序通常如何工作。它們都不同，但在核心上，通常有更多的相似之處而不是不同之處。在我們揭示什麼是最好的免費漏洞掃描器之前，我們會告訴您在它們中尋找什麼。

漏洞掃描器：我需要一個嗎？

計算機系統和網絡比以往任何時候都更加複雜。典型服務器運行數百個進程的情況並不少見。這些進程中的每一個都是一個程序，其中一些是包含數千行代碼的大程序。而在這段代碼中，可能會有各種意想不到的事情。

程序員可能在某一時刻添加了一些後門功能以方便調試，而該功能可能會錯誤地將其添加到最終版本中。輸入驗證中可能存在一些錯誤，在某些特定情況下會導致意外和不希望的結果。

每一個都是一個漏洞，有很多人除了找到這些漏洞並利用它們來攻擊您的系統之外，別無他法。

漏洞就是我們所說的這些漏洞。如果無人看管，惡意用戶可能會利用它們來訪問您的系統和數據——甚至更糟的是，訪問您客戶的數據——或以其他方式造成一些損害，例如使您的系統無法使用。

漏洞在您的網絡中無處不在。它們通常存在於您的服務器或其操作系統上運行的軟件中，但它們在交換機、路由器等網絡設備甚至防火牆等安全設備中也很常見。

網絡漏洞掃描器/解釋

漏洞掃描器或漏洞評估工具通常被稱為是軟件工具，其唯一目的是識別您的系統、設備、設備和軟件中的漏洞。我們稱它們為掃描器，因為它們通常會掃描您的設備以查找特定漏洞。

但是他們如何找到這些漏洞呢？畢竟，它們通常不在顯眼的地方，否則開發人員會解決它們。有點像病毒防護軟件，它使用病毒定義數據庫來識別計算機病毒，大多數漏洞掃描程序依賴於漏洞數據庫並掃描系統以查找特定漏洞。

這些漏洞數據庫可以來自致力於發現軟件和硬件漏洞的知名安全測試實驗室，也可以是專有數據庫。

您獲得的檢測級別與您的工具使用的漏洞數據庫一樣好。

網絡掃描儀——檢測的工作原理

對這個問題的快速簡單的回答很簡單：你做的！不，真的，每個人都需要它們。就像頭腦正常的人不會想到在沒有病毒防護的情況下運行計算機一樣，網絡管理員也不應該沒有至少一些漏洞檢測方案。

當然，這可能是理論上可以手動完成的事情，但實際上，這是一項不可能完成的工作。這將需要大量的時間和人力資源。一些組織致力於尋找漏洞，他們通常僱用數百人甚至數千人。

事實是，如果您正在管理多個計算機系統或設備，您可能需要一個漏洞掃描程序。遵守 SOX 或 PCI-DSS 等監管標准通常會要求您這樣做。即使他們不需要它，如果您能證明您正在掃描網絡中的漏洞，合規性也會更容易證明。

要找什麼

讓我們來看看在評估網絡漏洞掃描程序時需要考慮的一些最重要的事情。

首先是工具可以掃描的設備範圍。這必須盡可能匹配您的環境。例如，如果您的環境有許多 Linux 服務器，您應該選擇一個工具來掃描這些服務器。您的掃描儀也應該在您的環境中盡可能準確，以免淹沒您無用的通知和誤報。

另一個需要考慮的重要因素是工具的漏洞數據庫。

• 是否定期更新？
• 是存儲在本地還是雲端？
• 您是否需要支付額外費用才能更新漏洞數據庫？

在您選擇工具之前，這些都是您想知道的事情。

並非所有掃描儀都是一樣的，有些掃描儀會使用比其他掃描儀更具侵入性的掃描方法，並且可能會影響系統性能。這並不是一件壞事，因為最具侵入性的掃描儀通常是最好的掃描儀，但如果它們影響系統性能，您需要了解是並相應地安排掃描。說到調度，這是網絡漏洞掃描器的另一個重要方面。您正在考慮的工具是否有計劃的掃描？有些工具需要手動啟動。

網絡漏洞掃描器的最後一個重要方面是它們的警報和報告。

• 當他們檢測到漏洞時會發生什麼？
• 通知是否清晰易懂？
• 該工具是否提供了有關如何修復已發現漏洞的一些見解？

有些工具甚至可以自動修復某些漏洞。其他與補丁管理軟件集成。

至於報告，這通常取決於個人喜好，但您必須確保您希望在報告中找到的信息確實存在。有些工具只有預定義的報告，有些可以讓您修改它們，有些可以讓您從頭開始創建新報告。

最好的網絡漏洞掃描器

現在我們知道要在漏洞掃描器中尋找什麼，讓我們來看看我們能找到的一些最好或最有趣的軟件包。除了其中之一之外，其他所有產品都是免費的，付費的可以免費試用。

1. SolarWinds 網絡配置管理器（免費試用）

我們在來自 SolarWinds 的一個有趣的軟件中的第一個條目稱為網絡配置管理器。但是，這既不是免費工具，也不是網絡漏洞掃描程序。所以你可能想知道它在這個列表中做了什麼。

��含它的主要原因有一個：該工具解決了許多其他工具沒有的特定類型的漏洞，並且它是網絡設備的錯誤配置。

• 免費試用： SolarWinds 網絡配置管理器
• 官方下載： https : //www.solarwinds.com/network-configuration-manager

該工具作為漏洞掃描器的主要目的是驗證網絡設備的配置錯誤和遺漏。它還會定期檢查設備配置的變化。

這可能很有用，因為某些攻擊是通過以有助於訪問其他系統的方式修改某些設備配置而啟動的。網絡配置管理器還可以通過其自動化網絡配置工具幫助您實現網絡合規性，這些工具可以部署標準化配置、檢測進程外更改、審計配置，甚至糾正違規。

該軟件與國家漏洞數據庫集成，可以訪問最新的 CVE 以識別 Cisco 設備中的漏洞。它適用於任何運行 ASA、IOS 或 Nexus OS 的 Cisco 設備。事實上，產品中內置了兩個有用的工具，即適用於 ASA 的 Network Insights 和適用於 Nexus 的 Network Insights。

SolarWinds Network Configuration Manager 的起價為 2,895 美元，並根據節點數量而有所不同。如果您想試用此工具，可以從 SolarWinds 下載30 天免費試用版。

2. 微軟基線安全分析器 (MBSA)

我們的第二個條目是來自 Microsoft 的一個舊工具，稱為Baseline Security Analyzer或 MBSA。對於大型組織來說，此工具不是一個理想的選擇，但對於只有幾台服務器的小型企業來說可能沒問題。

不過，鑑於其 Microsoft 起源，不要指望此工具會查看 Microsoft 產品以外的任何內容。它將掃描基本的 Windows 操作系統以及一些服務，例如 Windows 防火牆、SQL 服務器、IIS 和 Microsoft Office 應用程序。

該工具不像真正的漏洞掃描器那樣掃描特定漏洞，但它會尋找丟失的補丁、服務包和安全更新，以及掃描系統的管理問題。MBSA 的報告引擎將讓您獲得缺少更新和錯誤配置的列表

MBSA 是 Microsoft 的舊工具。太舊了，它與 Windows 10 不完全兼容。 2.3 版將適用於最新版本的 Windows，但需要進行一些調整以清除誤報並修復無法完成的檢查。例如，MBSA 會錯誤地報告在最新的 Windows 版本上未啟用 Windows 更新。另一個缺點是 MBSA 不會檢測非 Microsoft 漏洞或複雜漏洞。儘管如此，該工具使用簡單且性能良好，對於只有 Windows 計算機的小型組織來說，它可能是完美的工具。

3.開放漏洞評估系統（OpenVAS）

開放漏洞評估系統或 OpenVAS 是一個由許多服務和工具組成的框架，它們結合起來提供了一個全面而強大的漏洞掃描和管理系統。

OpenVAS 背後的框架是 Greenbone Networks 漏洞管理解決方案的一部分，該解決方案的發展已經為社區做出了大約十年的貢獻。該系統是完全免費的，其大部分組件都是開源的，儘管有些是專有的。OpenVAS 掃描儀附帶超過五萬個網絡漏洞測試，這些測試會定期更新。

OpenVAS 有兩個主要組件，OpenVAS 掃描器，它負責目標計算機的實際掃描和 OpenVAS 管理器，它控制掃描器，合併結果，並將它們與系統配置一起存儲在中央 SQL 數據庫中。其他組件包括基於瀏覽器和命令行的用戶界面。

該系統的另一個組件是網絡漏洞測試數據庫。該數據庫根據費用 Greenborne Community Feed 或 Greenborne Security Feed 進行更新。後者是付費訂閱服務器，而社區提要是免費的。

4. Retina 網絡社區

Thre Retina Network Community是來自 AboveTrust 的 Retina Network Security Scanner 的免費版本，它是最著名的漏洞掃描程序之一。

它是一個具有許多功能的綜合漏洞掃描程序。該工具可以對缺失的補丁、零日漏洞和非安全配置執行免費的漏洞評估。與工作職能相一致的用戶配置文件簡化了系統的操作。其地鐵風格的直觀用戶界面可簡化系統操作。

Retina Network Community 使用 Retina 掃描儀的數據庫，這是一個包含網絡漏洞、配置問題和缺失補丁的廣泛數據庫。它會自動更新並涵蓋廣泛的操作系統、設備、應用程序和虛擬環境。說到虛擬環境，該產品完全支持VMware環境，包括在線和離線虛擬映像掃描、虛擬應用掃描以及與vCenter的集成。

Retina Network Community 的主要限制是它只能掃描 256 個 IP 地址。雖然這並不多，但對於幾個較小的組織來說已經足夠了。如果您的環境更大，您可以選擇 Retina Network Security Scanner，提供標準版和無限版。與 Retina Network Community 掃描儀相比，這兩個版本都具有擴展的功能集。

5. Nexpose 社區版

Rapid7 的 Nexpose 是另一個著名的漏洞掃描器，雖然可能不如 Retina。該Nexpose社區版是Rapid7的綜合性漏洞掃描器的有限版本。

限制很重要。首先，您最多只能使用該產品掃描 32 個 IP 地址。這使得它僅適用於最小的網絡是一個不錯的選擇。此外，該產品只能使用一年。除了這些限制之外，這是一款出色的產品。

Nexpose 可以在運行 Windows 或 Linux 的物理機器上運行。它也可用作 VM 設備。該產品的廣泛掃描功能將處理網絡、操作系統、Web 應用程序、數據庫和虛擬環境。Nexpose 使用所謂的自適應安全性，它可以在新設備和新漏洞訪問您的網絡時自動檢測和評估它們。這與與 VMware 和 AWS 的動態連接以及與聲納研究項目的集成相結合，以提供真正的實時監控。Nexpose 提供集成的策略掃描，以幫助遵守 CIS 和 NIST 等流行標準。該工具的直觀補救報告提供有關補救措施的分步說明，以快速提高合規性。

6. 安全支票

我們的最後一個條目是來自 IT 安全領域另一個家喻戶曉的名字 Tripwire 的產品。它的SecureCheq軟件被宣傳為免費的 Microsoft Windows 桌面和服務器配置安全檢查器。

該工具在 Windows 計算機上執行本地掃描並識別 CIS、ISO 或 COBIT 標准定義的不安全的 Windows 高級設置。它將尋找大約兩打與安全相關的常見配置錯誤。

這是一個簡單易用的工具。您只需在本地機器上運行它，它就會列出所有已檢查的設置，並帶有通過或失敗狀態。單擊任何列出的設置會顯示漏洞摘要以及有關如何修復它的參考。報告可以打印或保存為 OVAL XML 文件。

儘管 SecureCheq 會掃描一些高級配置設置，但它遺漏了許多更常見的漏洞和威脅。最好的辦法是將它與更基本的工具結合使用，例如上面介紹的 Microsoft Baseline Security Analyzer。

漏洞管理

使用某種軟件工具檢測漏洞是一回事，但除非它是整體漏洞管理流程的一部分，否則它是無用的。就像入侵檢測系統不是入侵防禦系統一樣，網絡漏洞掃描器——或者至少是絕大多數——只會檢測漏洞並將它們指向你。

您需要製定一些流程來對這些檢測到的漏洞做出反應。應該做的第一件事是評估它們。

這裡的想法是確保檢測到的漏洞是真實的。漏洞掃描器的製造商通常傾向於謹慎行事，他們的許多工具會報告一定數量的誤報。

漏洞管理流程的下一步是決定如何解決和修復真正的漏洞。如果在您的組織幾乎不使用或根本不使用的軟件中發現它們，您最好的行動方案可能是將其刪除並替換為另一個提供類似功能的軟件。

在許多情況下，修復漏洞就像應用軟件發行商提供的補丁或升級到最新版本一樣簡單。有時，它們也可以通過修改一些配置設置來修復。