Le migliori alternative a Microsoft Baseline Security Analyzer

La sicurezza è una delle principali preoccupazioni della maggior parte degli amministratori di rete e di sistema. È abbastanza comprensibile considerando la scena delle minacce di oggi. Gli attacchi informatici sono sempre più comuni e hanno effetti negativi così enormi che possono essere difficili da capire.

I criminali informatici sono costantemente alla ricerca di vulnerabilità nei sistemi e nei software per ottenere l'accesso la risorsa più importante di molte organizzazioni, i loro dati. Prevenire ciò richiede l'uso di strumenti di valutazione delle vulnerabilità come Microsoft Baseline Security Analyzer o MBSA. Tuttavia, questo strumento sta iniziando a mostrare alcuni segni dell'età. Per cominciare, non funzionerà direttamente con le versioni moderne di Windows ed è anche piuttosto limitato nella funzionalità.

Ad essere sinceri, se stai ancora utilizzando MBSA, è tempo di passare a qualcos'altro. Oggi esaminiamo quattro delle migliori alternative a Microsoft Baseline Security Analyzer.

Inizieremo la nostra discussione dando un'occhiata a MBSA. Dopotutto, aiuta a sapere cosa stiamo cercando di sostituire. Discuteremo quindi della vulnerabilità in generale. Successivamente, parleremo degli strumenti di scansione delle vulnerabilità, quali sono, chi ne ha bisogno e quali sono le loro caratteristiche essenziali. Questo ci porterà alla grande rivelazione: le quattro migliori alternative al Microsoft Baseline Security Analyzer. Esamineremo brevemente ciascuno degli strumenti per darti un'idea delle loro caratteristiche e capacità.

Microsoft Baseline Security Analyzer: spiegato

Microsoft Baseline Security Analyzer o MBSA è uno strumento piuttosto vecchio di Microsoft. Sebbene non sia certamente un'opzione ideale per le grandi organizzazioni, lo strumento potrebbe essere utile per le piccole imprese, quelle con solo una manciata di server. A parte la sua età, uno dei principali svantaggi dello strumento è che proveniente da Microsoft, non puoi aspettarti che scansionerà qualsiasi cosa tranne i prodotti Microsoft. Eseguirà comunque la scansione del sistema operativo Windows e di alcuni servizi come Windows Firewall, SQL Server, IIS e Microsoft Office.

Contrariamente alla maggior parte degli altri strumenti di scansione delle vulnerabilità, questa non esegue la scansione per individuare vulnerabilità specifiche. Invece, cerca cose come patch mancanti, service pack e aggiornamenti di sicurezza e analizza i sistemi per problemi amministrativi. Il suo motore di reportistica può generare un elenco di aggiornamenti mancanti e configurazioni errate.

Un altro grande svantaggio di MBSA è che, a causa della sua età, non è realmente compatibile con Windows 10. La versione 2.3 di MBSA funzionerà con l'ultima versione di Windows, ma probabilmente richiederà alcune modifiche per eliminare i falsi positivi e correggere i controlli che non possono essere completati. Ad esempio, MBSA segnalerà erroneamente che Windows Update non è abilitato su Windows 10, anche quando lo è. Di conseguenza, non è possibile utilizzare questo prodotto per verificare se Windows Update è abilitato o meno su computer Windows 10.

Questo è uno strumento semplice da usare e fa quello che fa bene. Tuttavia, non fa molto e in realtà non lo fa nemmeno così bene sui computer moderni, spingendo molti utenti a cercare un sostituto.

Vulnerabilità 101

Prima di proseguire, facciamo una pausa e discutiamo brevemente della vulnerabilità. La complessità dei sistemi e delle reti di computer moderni ha raggiunto un livello di complessità senza precedenti. Un server medio potrebbe spesso eseguire centinaia di processi. Ognuno di questi processi è un programma per computer. Alcuni di questi sono grandi programmi composti da migliaia di righe di codice sorgente. All'interno di questo codice, potrebbero esserci - e probabilmente ci sono - cose inaspettate. Uno sviluppatore potrebbe, ad un certo punto, aver aggiunto alcune funzionalità backdoor per facilitare i suoi sforzi di debug. Più tardi, quando lo sviluppatore ha iniziato a lavorare su qualcos'altro, questa pericolosa funzionalità potrebbe essere erroneamente arrivata alla versione finale. Potrebbero esserci anche alcuni errori nel codice di convalida dell'input che potrebbero causare risultati imprevisti - e spesso indesiderabili - in alcune circostanze specifiche.

Questi sono ciò a cui ci riferiamo come vulnerabilità e ognuna di queste può essere utilizzata per tentare di accedere a sistemi e dati. Esiste una vasta comunità di criminali informatici là fuori che non hanno niente di meglio da fare che trovare questi buchi e sfruttarli per penetrare nei sistemi e rubare i tuoi dati. Se ignorati o lasciati incustoditi, le vulnerabilità possono essere utilizzate da utenti malintenzionati per ottenere l'accesso ai propri sistemi e dati o, possibilmente peggio, i dati del tuo cliente o per causare in altro modo alcuni danni importanti come il rendering dei tuoi sistemi inutilizzabile.

Le vulnerabilità possono essere trovate ovunque. Spesso si insinuano nel software in esecuzione sui tuoi server o nei loro sistemi operativi. Esistono anche in apparecchiature di rete come switch, router e persino dispositivi di sicurezza come i firewall. Per essere al sicuro - se esiste qualcosa come essere al sicuro - devi davvero cercarli ovunque.

Strumenti di scansione delle vulnerabilità

Gli strumenti di scansione o valutazione delle vulnerabilità hanno una funzione primaria: identificare le vulnerabilità nei sistemi, dispositivi, apparecchiature e software. Sono spesso chiamati scanner perché di solito eseguono la scansione delle apparecchiature per cercare vulnerabilità note.

Ma come fanno gli strumenti di scansione delle vulnerabilità a trovare le vulnerabilità? Dopotutto, di solito non sono lì in bella vista. Se fossero stati così ovvi, gli sviluppatori li avrebbero affrontati prima di rilasciare il software. Gli strumenti in realtà non sono molto diversi dal software di protezione antivirus che utilizza database di definizioni dei virus per riconoscere le firme dei virus informatici. Allo stesso modo, la maggior parte degli scanner di vulnerabilità si basano su database di vulnerabilità e sistemi di scansione per vulnerabilità specifiche. Tali database di vulnerabilità sono spesso disponibili presso noti laboratori indipendenti per i test di sicurezza dedicati alla ricerca vulnerabilità nel software e nell'hardware o possono essere database proprietari dallo strumento di scansione delle vulnerabilità fornitore. Poiché una catena è forte solo quanto il suo anello più debole, il livello di rilevamento che ottieni è buono solo quanto il database delle vulnerabilità utilizzato dal tuo strumento.

Chi ne ha bisogno?

La risposta di una sola parola a questa domanda è abbastanza ovvia: tutti! Proprio come nessuno nella sua mente giusta penserebbe di far funzionare un computer senza protezione antivirus al giorno d'oggi, nessun amministratore di rete dovrebbe essere privo almeno di qualche forma di vulnerabilità protezione. Gli attacchi potrebbero provenire da qualsiasi luogo e colpirti dove e quando meno te li aspetti. Devi essere consapevole del rischio di esposizione.

Mentre la ricerca di vulnerabilità è probabilmente qualcosa che potrebbe essere fatto manualmente, questo è un lavoro quasi impossibile. Il solo reperimento di informazioni sulle vulnerabilità, per non parlare della scansione dei sistemi per la loro presenza, potrebbe richiedere un'enorme quantità di risorse. Alcune organizzazioni si dedicano alla ricerca di vulnerabilità e spesso impiegano centinaia se non migliaia di persone. Perché non approfittarne?

Chiunque gestisca un numero di sistemi o dispositivi informatici trarrebbe grandi benefici dall'uso di uno strumento di scansione delle vulnerabilità. Il rispetto di standard normativi come SOX o PCI-DSS, solo per citarne alcuni, spesso impone di farlo. E anche se non lo richiedono specificamente, la conformità sarà spesso più facile da dimostrare se è possibile dimostrare di disporre di strumenti di scansione delle vulnerabilità.

Funzionalità essenziali degli strumenti di scansione delle vulnerabilità

Ci sono molti fattori da considerare quando si seleziona uno strumento di scansione delle vulnerabilità. In cima all'elenco delle cose da considerare è la gamma di dispositivi che possono essere scansionati. È necessario uno strumento che sarà in grado di scansionare tutte le attrezzature necessarie per la scansione. Se hai molti server Linux, ad esempio, vorrai scegliere uno strumento in grado di scansionarli, non uno che gestisca solo macchine Windows. Vuoi anche scegliere uno scanner il più preciso possibile nel tuo ambiente. Non vorrai annegare in notifiche inutili e falsi positivi.

Un altro elemento di differenziazione tra i prodotti è il rispettivo database di vulnerabilità. È gestito dal venditore o proviene da un'organizzazione indipendente? Con che frequenza viene aggiornato? È archiviato localmente o nel cloud? Devi pagare costi aggiuntivi per utilizzare il database delle vulnerabilità o per ottenere aggiornamenti? Potresti voler ottenere risposte a queste domande prima di scegliere il tuo strumento.

Alcuni scanner di vulnerabilità utilizzano metodi di scansione invadenti. Potrebbero potenzialmente influire sulle prestazioni del sistema. In effetti, i più invadenti sono spesso i migliori scanner. Tuttavia, se influiscono sulle prestazioni del sistema, ti consigliamo di conoscerlo in anticipo per pianificare le scansioni di conseguenza. Parlando di pianificazione, questo è un altro aspetto importante degli strumenti di scansione delle vulnerabilità della rete. Alcuni strumenti non hanno nemmeno scansioni pianificate e devono essere avviati manualmente.

Avvisi e rapporti sono anche caratteristiche importanti degli strumenti di scansione delle vulnerabilità. L'avviso riguarda ciò che accade quando viene rilevata una vulnerabilità. Esiste una notifica chiara e di facile comprensione? Come viene trasmesso? Tramite un popup sullo schermo, un'e-mail, un messaggio di testo? Ancora più importante, lo strumento fornisce alcune informazioni su come risolvere le vulnerabilità che rileva? Alcuni strumenti hanno anche la correzione automatica di alcuni tipi di vulnerabilità. Altri strumenti si integrano con il software di gestione delle patch poiché le patch sono spesso il modo migliore per correggere le vulnerabilità.

Per quanto riguarda i rapporti, anche se spesso è una questione di preferenze personali, devi assicurarti che le informazioni che ti aspetti e che devi trovare nei rapporti siano effettivamente lì. Alcuni strumenti hanno solo report predefiniti, altri ti permetteranno di modificare i report integrati. Per quanto riguarda i migliori, almeno dal punto di vista dei rapporti, ti permetteranno di creare rapporti personalizzati da zero.

Quattro grandi alternative a MBSA

Ora che sappiamo quali sono le vulnerabilità, come vengono scansionate e quali sono le principali caratteristiche siamo strumenti di scansione delle vulnerabilità, siamo pronti a recensire alcuni dei pacchetti migliori o più interessanti che abbiamo potrebbe trovare. Abbiamo incluso alcuni strumenti a pagamento e alcuni gratuiti. Alcuni sono persino disponibili sia in versione gratuita che a pagamento. Tutto sarebbe adatto per sostituire MBSA. Vediamo quali sono le loro caratteristiche principali.

SolarWinds è un nome noto tra gli amministratori di rete e di sistema. L'azienda produce alcuni dei migliori strumenti di amministrazione della rete da circa 20 anni. Uno dei suoi strumenti principali, SolarWinds Network Performance Monitor riceve costantemente elogi e recensioni entusiastiche come uno dei migliori strumenti di monitoraggio della larghezza di banda della rete SNMP. La società è anche abbastanza famosa per i suoi strumenti gratuiti. Sono strumenti più piccoli progettati per affrontare compiti specifici di gestione della rete. Tra i più noti di questi strumenti gratuiti ci sono Advanced Subnet Calculator e il server Kiwi Syslog.

Il nostro primo strumento, il Gestione configurazione della rete SolarWinds non è in realtà uno strumento di scansione delle vulnerabilità. Ma per due motivi specifici, abbiamo pensato che fosse un'alternativa interessante a MBSA e abbiamo scelto di includerlo nel nostro elenco. Per i principianti, il prodotto ha una funzione di valutazione della vulnerabilità e si rivolge anche a un tipo specifico di vulnerabilità, una questione importante ma che non è quella che molti altri strumenti affrontano, la configurazione errata della rete attrezzature. Il prodotto è inoltre ricco di funzionalità non legate alla vulnerabilità.

• PROVA GRATUITA: Gestione configurazione della rete SolarWinds
• Link ufficiale per il download: https://www.solarwinds.com/network-configuration-manager/registration

Il Gestione configurazione della rete SolarWindsL'utilizzo principale come strumento di scansione delle vulnerabilità è nella convalida delle configurazioni delle apparecchiature di rete per errori e omissioni. Lo strumento può anche controllare periodicamente le configurazioni del dispositivo per le modifiche. Ciò è utile poiché alcuni attacchi vengono avviati modificando la configurazione di un dispositivo di rete, che spesso non sono sicuri come i server, in modo da facilitare l'accesso ad altri sistemi. Lo strumento può anche aiutare con gli standard o la conformità normativa attraverso l'uso dei suoi strumenti di configurazione di rete automatizzata che può distribuire configurazioni standardizzate, rilevare modifiche fuori processo, configurazioni di controllo e persino correggere violazioni.

Il software si integra con il National Vulnerability Database che si è guadagnato il suo posto in questo elenco di alternative MBSA. Ha anche accesso ai CVE più recenti per identificare le vulnerabilità nei tuoi dispositivi Cisco. Funzionerà con qualsiasi dispositivo Cisco con ASA, IOS o Nexus OS. In effetti, altri due utili strumenti, Network Insights per ASA e Network Insights per Nexus sono integrati direttamente nel prodotto.

Prezzo per il Gestione configurazione della rete SolarWinds inizia a $ 2,895 per un massimo di 50 nodi gestiti e aumenta con il numero di nodi gestiti. Se si desidera provare questo strumento, è possibile scaricare una versione di prova gratuita di 30 giorni direttamente da SolarWinds.

2. OpenVAS

Il Sistema di valutazione delle vulnerabilità aperto, o OpenVAS, è un framework di numerosi servizi e strumenti. Si combinano per creare uno strumento di scansione delle vulnerabilità completo ma potente. Il quadro dietro OpenVAS fa parte della soluzione di gestione delle vulnerabilità di Greenbone Networks da cui sono stati apportati elementi alla comunità per circa dieci anni. Il sistema è completamente gratuito e molti dei suoi componenti chiave sono open source sebbene alcuni non lo siano. Lo scanner OpenVAS viene fornito con oltre cinquantamila test di vulnerabilità della rete che vengono aggiornati periodicamente.

OpenVAS è composto da due componenti primari. Il primo è il Scanner OpenVAS. Questo è il componente responsabile della scansione effettiva dei computer di destinazione. Il secondo componente è il Manager OpenVAS che gestisce tutto il resto come il controllo dello scanner, il consolidamento dei risultati e la loro memorizzazione in un database SQL centrale. Il software ha interfacce utente sia basate su browser che da riga di comando. Un altro componente del sistema è il database dei test di vulnerabilità della rete. Questo database può ottenere i suoi aggiornamenti dal feed gratuito Greenborne Community o dal feed Greenborne Security a pagamento per una protezione più completa.

3. Retina Network Community

Retina Network Community è la versione gratuita di Retina Network Security Scanner a partire dal AboveTrust, che è uno dei più noti scanner di vulnerabilità. Nonostante sia gratuito, è uno scanner di vulnerabilità completo che è ricco di funzionalità. Può eseguire un'accurata valutazione della vulnerabilità di patch mancanti, vulnerabilità zero-day e configurazioni non sicure. Vanta inoltre profili utente allineati con le funzioni del lavoro, semplificando così il funzionamento del sistema. Questo prodotto presenta un'interfaccia grafica intuitiva in stile metro che consente un funzionamento semplificato del sistema.

Una cosa grandiosa Retina Network Community è che utilizza lo stesso database di vulnerabilità del fratello pagato. È un vasto database di vulnerabilità della rete, problemi di configurazione e patch mancanti aggiornato automaticamente e copre una vasta gamma di sistemi operativi, dispositivi, applicazioni e virtuali ambienti. Parlando di ambienti virtuali, il prodotto supporta pienamente VMware e include la scansione di immagini virtuali online e offline, la scansione di applicazioni virtuali e l'integrazione con vCenter.

Lo svantaggio principale di Retina Network Community è limitato alla scansione di 256 indirizzi IP. Anche se questo potrebbe non essere molto se gestisci una rete di grandi dimensioni, potrebbe essere più che sufficiente per molte organizzazioni più piccole. Se il tuo ambiente ha più di 256 dispositivi, tutto ciò che abbiamo appena detto su questo prodotto è vero anche nel suo fratello maggiore, il Retina Network Security Scanner che è disponibile nelle edizioni Standard e Unlimited. Entrambe le versioni hanno un set di funzionalità estese rispetto a Scanner Retina Network Community.

4. Nexpose Community Edition

Forse non è così popolare come Retina, NeXpose a partire dal Rapid7 è un altro noto scanner di vulnerabilità. Per quanto riguarda la Nexpose Community Edition, è una versione leggermente ridotta di Rapid7Completo scanner di vulnerabilità. Il prodotto presenta tuttavia alcune importanti limitazioni. Ad esempio, è limitato alla scansione di un massimo di 32 indirizzi IP. Ciò limita fortemente l'utilità dello strumento solo alle reti più piccole. Un'altra limitazione è che il prodotto può essere utilizzato solo per un anno. Se riesci a convivere con queste limitazioni, è un prodotto eccellente. In caso contrario, puoi sempre dare un'occhiata all'offerta a pagamento di Rapid7.

Nexpose Community Edition verrà eseguito su macchine fisiche in Windows o Linux. È anche disponibile come dispositivo virtuale. Ha ampie capacità di scansione che gestiranno reti, sistemi operativi, applicazioni web, database e ambienti virtuali. Questo strumento utilizza una sicurezza adattiva in grado di rilevare e valutare automaticamente nuovi dispositivi e nuove vulnerabilità nel momento in cui accedono alla rete. Questa funzione funziona in combinazione con connessioni dinamiche a VMware e AWS. Il software si integra anche con il progetto di ricerca Sonar per fornire un vero monitoraggio dal vivo. Nexpose Community Edition fornisce una scansione delle politiche integrata per aiutare a conformarsi agli standard popolari come CIS e NIST. E, ultimo ma non meno importante, i rapporti di riparazione intuitivi dello strumento forniscono istruzioni dettagliate sulle azioni di riparazione.