[31/05/2021] Aunque es posible que conozca y siga las medidas de seguridad básicas al instalar y administrar su red y sitios web, nunca podrá mantenerse al día y detectar todas las vulnerabilidades por su cuenta.
Los escáneres de vulnerabilidades pueden ayudarlo a automatizar las auditorías de seguridad, y pueden desempeñar un papel crucial en la seguridad de su TI. Pueden escanear su red y sitios web en busca de miles de riesgos de seguridad diferentes, generan una lista priorizada de aquellos que debe solucionar, describen las vulnerabilidades y brindan instrucciones sobre cómo remediarlas. Algunos incluso pueden automatizar el proceso de parchado.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Aunque los escáneres de vulnerabilidades y las herramientas de auditoría de seguridad pueden costar una fortuna, también existen opciones gratuitas. Algunos buscan vulnerabilidades específicas o limitan la cantidad de hosts que pueden ser escaneados, pero también hay los que ofrecen un escaneo de seguridad de TI completo.
Nessus Essentials
Nessus Essentials, anteriormente Nessus Home, de Tenable, le permite escanear hasta 16 direcciones IPs a la vez. La compañía ofrece una prueba gratis de 7 días de su edición profesional, que realiza un escaneo de IPs ilimitado, y también agrega verificaciones de cumplimiento o auditorías de contenido, resultados en vivo y la capacidad de usar el dispositivo virtual Nessus.
Nessus Essentials se instala en Windows, macOS y una variedad de distribuciones de Linux/Unix. En la GUI web, puede ver fácilmente qué tipos de análisis están incluidos: detección de host y análisis de vulnerabilidades. También verá, enumerados pero inaccesibles, los tipos de análisis que están disponibles en la edición profesional: análisis de vulnerabilidades para dispositivos móviles y análisis de cumplimiento.
Con la edición gratuita puede programar un escaneo automático. También puede configurar notificaciones por correo electrónico, configuraciones de descubrimiento, preferencias de evaluación e informes, y algunos ajustes avanzados. También puede revisar los plugins y las vulnerabilidades o exploits que están buscando relacionados con el análisis. Después de que se ejecuta un escaneo, puede acceder a una descripción general de lo que se encontró en cada host y profundizar en los detalles sobre las vulnerabilidades y las posibles soluciones.
Además, puede utilizar Policies para crear plantillas personalizadas que definan qué acciones se realizan durante un escaneo. También puede utilizar las Plugin Rules o reglas de plugins para ocultar o cambiar la gravedad de los plugins deseados.
Nexpose Community Edition
Nexpose Community Edition de Rapid7 puede escanear redes, sistemas operativos, aplicaciones web, bases de datos y entornos virtuales. Es válido por un año, y después debe solicitar una nueva licencia. La compañía también ofrece una prueba gratuita de sus ediciones comerciales por 30 días.
Nexpose se instala en Windows, Linux o máquinas virtuales, y proporciona una interfaz gráfica de usuario (GUI) basada en la web. A través del portal web puede crear sitios para definir las direcciones IPs o URLs que le gustaría analizar, seleccionar las preferencias de escaneo, planificar el análisis y proporcionar las credenciales necesarias para los activos analizados.
Una vez que un sitio es escaneado, verá una lista de activos y vulnerabilidades. Podrá ver los detalles de activos, incluyendo información y detalles sobre las vulnerabilidades de software y del sistema operativo y cómo solucionarlos. Opcionalmente, podrá configurar políticas para definir y realizar un seguimiento de los estándares de cumplimiento que desee. También podrá generar y exportar informes sobre una variedad de aspectos.
Nexpose Community Edition es un escáner de vulnerabilidades sólido, con todas las funciones y fácil de configurar.
OpenVAS
Open Vulnerability Assessment System (OpenVAS) es una plataforma de análisis de seguridad de red basada en Linux. La mayoría de sus componentes están bajo licencia de GNU General Public License (GNU GPL). A su oferta totalmente gratuita la llaman Greenbone Source Edition (GSE) y a su oferta comercial, Greenbone Security Manager (GSM), que viene con una prueba de 14 días gratis.
El componente principal de OpenVAS es el escáner de seguridad, que solo puede ser ejecutado en Linux o en una máquina virtual dentro de Windows. Este hace el trabajo de escaneo y recibe información actualizada diariamente a partir de las pruebas de vulnerabilidad de la red, que son más de 85 mil. Existen ligeras diferencias entre las funciones del escáner y diferencias más marcadas entre los feeds que se ofrecen en cada edición.
OpenVAS Manager controla el escáner y proporciona la inteligencia. OpenVAS Administrator provee una interfaz de línea de comandos y brinda un servicio completo, ofreciendo la gestión de usuarios y la gestión de feeds.
Hay un par de clientes que sirven como GUI o CLI. Greenbone Security Assistant (GSA) ofrece una interfaz gráfica de usuario (GUI) basada en la web. Greenbone Security Desktop (GSD) es un cliente de escritorio basado en Qt que se ejecuta en varios sistemas operativos, incluyendo Linux y Windows. Y OpenVAS CLI ofrece una interfaz de línea de comandos.
OpenVAS no es el escáner más fácil y rápido de instalar y usar, pero es uno de los escáneres de seguridad de TI más completos y llenos de funciones que puede encontrar de forma gratuita. Analiza en busca de miles de vulnerabilidades, soporta tareas de análisis simultáneas y análisis programados. También ofrece la gestión de notas y falsos positivos de los resultados del análisis. Sin embargo, requiere Linux como el componente principal.
Qualys Community Edition
Qualys Community Edition le permite monitorear hasta 16 activos con Qualys Cloud Agent, escanear hasta 16 IPs internas y tres externas con Vulnerability Management, y escanear una sola URL con Web Application Scanning. El acceso inicial se realiza a través del portal web, y luego se descarga el software de máquina virtual si es que se planean ejecutar escaneos en la red interna. Qualys también ofrece una prueba gratuita de 30 días de su edición comercial.
Qualys admite una variedad de tipos de análisis: puertos TCP/UDP, fuerza bruta de contraseñas, detección de vulnerabilidades de malware oculto, parches faltantes, problemas de SSL y otras vulnerabilidades relacionadas con la red. Además, puede proporcionar detalles de autenticación para que inicie sesión en hosts y amplíe las capacidades de detección.
La GUI web proporciona una lista paso a paso de cómo realizar un escaneo. Esto incluye ingresar las direcciones IP por analizar, descargar un escáner virtual o configurar un escáner físico si se analiza la red local y luego configurar los ajustes de análisis. Una vez que se completa un escaneo, puede ver muchos tipos diferentes de informes, tales como un cuadro de mando general, parches, alta gravedad, Industria de tarjetas de pago (PCI) e informes ejecutivos.
Dado que Qualys limita el análisis a 16 activos e IPs, no es algo que una organización grande encuentre muy útil. Ellos pueden considerar otra solución para el uso diario y ejecutar Qualys periódicamente para redes o segmentos más pequeños.
ManageEngine Vulnerability Manager
ManageEngine Vulnerability Manager proporciona una edición gratuita completamente equipada para escanear hasta 25 computadoras con Windows o macOS. A diferencia de la mayoría de los escáneres enumerados aquí, este está diseñado principalmente para el análisis y monitoreo de computadoras, aunque se ofrecen algunos análisis para servidores web.
La porción del servidor de ManageEngine Vulnerability Manager solo se puede instalar en máquinas con Windows, pero a la GUI web se puede acceder desde cualquier otro lugar. A diferencia de los otros escáneres, este requiere que le agregue software de agente de punto final a los sistemas que desea escanear, y está disponible para sistemas Windows, macOS y Linux.
Una vez que configurados los agentes de punto final, comenzará a ver los elementos detectados categorizados por software y vulnerabilidades de día cero, configuraciones incorrectas del sistema y del servidor, software de alto riesgo y auditorías de puertos. Se dan muchas explicaciones y posibles soluciones para los problemas de cada elemento. Además, puede administrar y enviar parches, ver las especificaciones y estadísticas básicas de la computadora: el sistema operativo instalado, la dirección IP, las últimas horas de reinicio, entre otros.
ManageEngine Vulnerability Manager demostró ser una buena solución de monitoreo de vulnerabilidades a largo plazo, al menos para sistemas informáticos. Debido a la necesidad de instalar los agentes de software, probablemente no sea una buena opción si desea realizar un único escaneo.
Además de la versión gratuita, ManageEngine también ofrece una prueba gratis de 30 días de sus ediciones pagadas y ofrece otro producto (Desktop Central) que proporciona incluso más supervisión general de computadoras que se puede integrar con el escáner de vulnerabilidades.
Basado en el artículo de Eric Geier (Network World) y editado por CIO Perú
Puede ver también: