Vous ne voudriez pas que votre réseau devienne la cible d’utilisateurs malveillants qui tentent de voler vos données ou d’endommager votre organisation. Mais comment pouvez-vous vous assurer qu'il y a aussi peu de moyens que possible d'entrer? En vous assurant que chaque vulnérabilité de votre réseau est connue, traitée et corrigée, ou qu'une mesure est en place pour la réduire. Et la première étape pour y parvenir consiste à analyser votre réseau pour détecter ces vulnérabilités. C’est le travail d’un type spécifique d’outil logiciel et, aujourd’hui, nous sommes heureux de vous présenter nos six meilleurs scanners de vulnérabilité réseau gratuits.

Nous allons commencer la discussion d’aujourd’hui en parlant de la vulnérabilité du réseau - ou peut-être des vulnérabilités - en essayant d’expliquer ce qu’elles sont. Nous aborderons ensuite les scanners de vulnérabilité en général. Nous verrons qui a besoin d’eux et pourquoi. Comme un scanner de vulnérabilités ne fonctionne que dans le cadre d’un processus de gestion des vulnérabilités, c’est ce dont nous discuterons ensuite. Ensuite, nous étudierons le fonctionnement typique des scanners de vulnérabilité. Ils sont tous différents mais, à la base, il y a généralement plus de similitudes que de différences. Et avant de révéler quels sont les meilleurs scanners de vulnérabilité gratuits, nous vous dirons quoi y rechercher.

Vulnérabilité 101

Les systèmes et réseaux informatiques sont plus complexes que jamais. Il n’est pas rare qu’un serveur typique exécute des centaines de processus. Chacun de ces processus est un programme, certains d'entre eux sont de gros programmes contenant des milliers de lignes de code. Et dans ce code, il pourrait y avoir toutes sortes de choses inattendues. Un programmeur peut, à un moment donné, avoir ajouté une fonctionnalité de porte dérobée pour faciliter le débogage et cette fonctionnalité peut être passée par erreur à la version finale. Il se peut que certaines erreurs de validation d’entrée entraînent des résultats inattendus - et indésirables - dans certaines circonstances.

Chacune de ces solutions est un trou et de nombreuses personnes n’ont rien de mieux à faire que de trouver ces trous et de les utiliser pour attaquer vos systèmes. Les vulnérabilités sont ce que nous appelons ces trous. Et s'ils sont laissés sans surveillance, ils peuvent être utilisés par des utilisateurs malveillants pour accéder à vos systèmes et à vos données, ou pire, aux données de votre client, ou pour causer des dommages tels que le rendre vos systèmes inutilisables.

Les vulnérabilités peuvent être partout sur votre réseau. Ils se trouvent souvent sur des logiciels exécutés sur vos serveurs ou leurs systèmes d'exploitation, mais ils sont également courants dans les équipements de réseau tels que les commutateurs, les routeurs et même les dispositifs de sécurité tels que les pare-feu.

Les scanners de vulnérabilité de réseau - Ce qu’ils sont et comment ils fonctionnent

Les scanners de vulnérabilité ou les outils d'évaluation des vulnérabilités, comme on les appelle souvent, sont des outils logiciels dont le seul but est d'identifier les vulnérabilités de vos systèmes, périphériques, équipements et logiciels. Nous les appelons des scanners, car ils analyseront généralement votre équipement pour rechercher des vulnérabilités spécifiques.

Mais comment trouvent-ils ces vulnérabilités? Après tout, ils ne sont généralement pas visibles, sinon le développeur les aurait abordés. Un peu comme les logiciels antivirus qui utilisent des bases de données de définitions de virus pour reconnaître les virus informatiques, la plupart des analyseurs de vulnérabilités se basent sur des bases de données de vulnérabilités et analysent les vulnérabilités spécifiques des systèmes. Ces bases de données de vulnérabilités peuvent être issues de laboratoires de tests de sécurité réputés, dédiés à la recherche de vulnérabilités logicielles et matérielles, ou de bases de données propriétaires. Le niveau de détection obtenu est aussi bon que la base de données de vulnérabilités utilisée par votre outil.

Scanners de vulnérabilité de réseau - Qui en a besoin?

La réponse rapide et facile à cette question est simple: Vous faire! Non vraiment, tout le monde a besoin d'eux. Tout comme personne sensé ne penserait à faire fonctionner un ordinateur sans protection antivirus, aucun administrateur réseau ne devrait être sans au moins un schéma de détection de vulnérabilité.

Bien sûr, c’est peut-être quelque chose qui pourrait théoriquement être fait manuellement, mais dans la pratique, c’est un travail impossible. Cela demanderait énormément de temps et de ressources humaines. Certaines organisations se consacrent à la recherche de vulnérabilités et emploient souvent des centaines de personnes, voire des milliers de personnes.

Le fait est que si vous gérez un certain nombre de systèmes ou de périphériques informatiques, vous avez probablement besoin d’un scanner de vulnérabilité. Le respect de normes réglementaires telles que SOX ou PCI-DSS vous obligera souvent à le faire. Et même s'ils n'en ont pas besoin, la conformité sera plus facile à démontrer si vous pouvez montrer que vous analysez votre réseau pour détecter les vulnérabilités.

Un mot sur la gestion de la vulnérabilité

C’est une chose de détecter les vulnérabilités à l’aide d’une sorte d’outil logiciel, mais c’est inutile, à moins que cela ne fasse partie d’un processus global de gestion des vulnérabilités. Tout comme les systèmes de détection d'intrusion ne sont pas des analyseurs de vulnérabilité réseau - ou du moins la grande majorité d'entre eux - les analyseurs de vulnérabilité réseau détecteront uniquement les vulnérabilités et vous les indiqueront.

Il vous appartient de mettre en place un processus permettant de réagir à ces vulnérabilités détectées. La première chose à faire est de les évaluer. L'idée ici est de s'assurer que les vulnérabilités détectées sont réelles. Les fabricants de scanners de vulnérabilités préfèrent souvent faire preuve de prudence et nombre de leurs outils signalent un certain nombre de faux positifs.

La prochaine étape du processus de gestion des vulnérabilités consiste à décider de la manière dont vous souhaitez traiter et corriger les vulnérabilités réelles. S'ils ont été trouvés dans un logiciel que votre organisation utilise à peine, ou ne l'utilise pas du tout, votre meilleure solution consiste peut-être à le supprimer et à le remplacer par un autre logiciel offrant des fonctionnalités similaires. Dans de nombreux cas, la résolution des vulnérabilités est aussi simple que l’application d’un correctif de l’éditeur de logiciel ou la mise à niveau vers la dernière version. Parfois, ils peuvent également être corrigés en modifiant certains paramètres de configuration.

Que rechercher dans les scanners de vulnérabilité de réseau

Examinons certaines des choses les plus importantes à prendre en compte lors de l’évaluation des scanners de vulnérabilité réseau. Tout d’abord, c’est la gamme de périphériques que l’outil peut analyser. Cela doit correspondre à votre environnement aussi étroitement que possible. Si, par exemple, votre environnement compte de nombreux serveurs Linux, vous devez choisir un outil qui les analysera. Votre scanner doit également être aussi précis que possible dans votre environnement afin de ne pas vous noyer dans des notifications inutiles et de faux positifs.

Un autre facteur important à considérer est la base de données de vulnérabilité de l’outil. Est-il mis à jour régulièrement? Est-il stocké localement ou dans le cloud? Devez-vous payer des frais supplémentaires pour mettre à jour la base de données de vulnérabilités? Ce sont toutes des choses que vous voudrez connaître avant de choisir votre outil.

Tous les scanners ne sont pas créés égaux, certains utiliseront une méthode d'analyse plus intrusive que d'autres et affecteront potentiellement les performances du système. Ce n’est pas une mauvaise chose, car les plus intrusifs sont souvent les meilleurs scanners, mais s’ils affectent les performances du système, vous voudrez savoir ce qu’il en est et planifier les analyses en conséquence. Et en parlant de planification, ceci est un autre aspect important des scanners de vulnérabilité de réseau. L’outil que vous envisagez a-t-il même des analyses planifiées? Certains outils doivent être lancés manuellement.

Le dernier aspect important des scanners de vulnérabilité de réseau est leur alerte et leurs rapports. Que se passe-t-il quand ils détectent une vulnérabilité? La notification est-elle claire et facile à comprendre? L'outil fournit-il des informations sur la manière de corriger les vulnérabilités trouvées? Certains outils ont même une correction automatisée de certaines vulnérabilités. D'autres s'intègrent au logiciel de gestion des correctifs. En ce qui concerne les rapports, il s'agit souvent d'une question de préférence personnelle, mais vous devez vous assurer que les informations que vous vous attendez à trouver dans les rapports sont bien présentes. Certains outils n’ont que des rapports prédéfinis, d’autres vous permettront de les modifier et d’autres de vous en créer de nouveaux.

Notre top 6 des meilleurs scanners de vulnérabilité de réseau

Maintenant que nous savons ce qu’il faut rechercher dans les scanners de vulnérabilités, examinons quelques-uns des packages les meilleurs ou les plus intéressants que nous avons pu trouver. Tous sauf un sont gratuits et le payant a un essai gratuit disponible.

1. Gestionnaire de configuration réseau SolarWinds (ESSAI GRATUIT)

Notre première entrée dans un logiciel intéressant de SolarWinds appelé Network Configuration Manager. Cependant, il ne s'agit ni d'un outil gratuit ni d'un scanner de vulnérabilité réseau. Alors vous vous demandez peut-être ce qu’il fait dans cette liste. Son inclusion a une raison principale: il s’agit d’un type de vulnérabilité particulier à la plupart des outils et d’une mauvaise configuration de l’équipement réseau.

ESSAI GRATUIT: SolarWinds Network Configuration Manager

En tant qu’analyseur de vulnérabilité, cet outil sert principalement à valider les équipements réseau pour détecter les erreurs de configuration et les omissions. Il vérifiera également périodiquement les modifications apportées à la configuration des périphériques.Cela peut être utile car certaines attaques sont lancées en modifiant la configuration de certains périphériques de manière à faciliter l'accès à d'autres systèmes. Network Configuration Manager peut également vous aider à assurer la conformité de votre réseau grâce à ses outils de configuration réseau automatisés, capables de déployer des configurations standardisées, de détecter les modifications apportées en dehors du processus, de configurer les audits et même de corriger les violations.

Le logiciel s'intègre à la base de données nationale sur les vulnérabilités et a accès aux CVE les plus récents pour identifier les vulnérabilités de vos appareils Cisco. Il fonctionnera avec tout périphérique Cisco exécutant ASA, IOS ou Nexus. En fait, deux outils utiles, Network Insights pour ASA et Network Insights pour Nexus, sont intégrés au produit.

La tarification du gestionnaire de configuration réseau SolarWinds commence à 2 895 $ et varie en fonction du nombre de nœuds. Si vous souhaitez essayer cet outil, vous pouvez télécharger une version d’essai gratuite de 30 jours à partir de SolarWinds.

2. Microsoft Baseline Security Analyzer (MBSA)

Notre deuxième entrée est un ancien outil de Microsoft appelé Baseline Security Analyzer, ou MBSA. Cet outil est une option peu idéale pour les grandes organisations, mais il pourrait convenir aux petites entreprises ne disposant que de quelques serveurs. Étant donné son origine Microsoft, ne vous attendez pas à ce que cet outil s’intéresse aux produits Microsoft. Il analysera le système d'exploitation Windows de base ainsi que certains services tels que le pare-feu Windows, le serveur SQL, les applications IIS et Microsoft Office.

L’outil n’analyse pas les vulnérabilités spécifiques comme le font les scanneurs de vulnérabilités, mais il recherche les correctifs, les service packs et les mises à jour de sécurité manquants, ainsi que les systèmes d’analyse des problèmes d’administration. Le moteur de génération de rapports de MBSA vous permettra d’obtenir une liste des mises à jour manquantes et des erreurs de configuration.

MBSA est un ancien outil de Microsoft. Si ancienne qu’elle n’est pas totalement compatible avec Windows 10. La version 2.3 fonctionnera avec la dernière version de Windows, mais elle nécessitera quelques ajustements pour éliminer les faux positifs et corriger les vérifications qui ne peuvent pas être effectuées. Par exemple, MBSA signalera faussement que Windows Update n'est pas activé sur la dernière version de Windows. Un autre inconvénient est que MBSA ne détecte pas les vulnérabilités non-Microsoft ni les vulnérabilités complexes. Néanmoins, cet outil est simple à utiliser et fait bien son travail. Il pourrait être l'outil idéal pour une petite entreprise ne disposant que d'ordinateurs Windows.

3. Système d'évaluation des vulnérabilités ouvertes (OpenVAS)

Le système d’évaluation de la vulnérabilité, ou OpenVAS, est une structure de nombreux services et outils qui, combinés, offrent un système complet et puissant d’analyse et de gestion des vulnérabilités. Le cadre qui sous-tend OpenVAS fait partie de la solution de gestion des vulnérabilités de Greenbone Networks à partir de laquelle des développements ont été fournis à la communauté depuis environ dix ans. Le système est entièrement gratuit et la plupart de ses composants sont à code source ouvert, bien que certains soient propriétaires. Le scanner OpenVAS est livré avec plus de cinquante mille tests de vulnérabilité du réseau qui sont mis à jour régulièrement.

OpenVAS a deux composants principaux, le scanner OpenVAS, qui est chargé de l’analyse réelle des ordinateurs cibles, et le gestionnaire OpenVAS, qui contrôle le scanner, consolide les résultats et les stocke dans une base de données SQL centrale ainsi que la configuration du système. Les autres composants comprennent des interfaces utilisateur basées sur un navigateur et des lignes de commande. Un composant supplémentaire du système est la base de données de tests de vulnérabilité du réseau. Cette base de données est mise à jour à partir des frais Greenborne Community Feed ou Greenborne Security Feed. Ce dernier est un serveur d'abonnement payant alors que le flux de la communauté est gratuit.

4. Communauté du réseau Retina

Thre Retina Network Community est la version gratuite du scanner de sécurité Retina Network d'AboveTrust, l'un des scanner de vulnérabilités les plus connus. C'est un scanner de vulnérabilité complet avec de nombreuses fonctionnalités. L'outil peut effectuer une évaluation gratuite de la vulnérabilité des correctifs manquants, des vulnérabilités «zéro jour» et des configurations non sécurisées. Les profils utilisateur alignés sur les fonctions simplifient le fonctionnement du système. Son interface utilisateur intuitive de style métro permet une utilisation simplifiée du système.

La communauté de réseaux Retina utilise la base de données du scanner Retina, une base de données complète de vulnérabilités réseau, de problèmes de configuration et de correctifs manquants. Il est automatiquement mis à jour et couvre un large éventail de systèmes d'exploitation, de périphériques, d'applications et d'environnements virtuels. S'agissant des environnements virtuels, le produit prend entièrement en charge les environnements VMware et inclut la numérisation d'images virtuelles en ligne et hors connexion, la numérisation d'applications virtuelles et l'intégration à vCenter.

La principale limite de la communauté réseau Retina est qu’elle se limite à analyser 256 adresses IP. Bien que ce ne soit pas beaucoup, ce sera plus que suffisant pour plusieurs petites organisations. Si votre environnement est plus vaste, vous pouvez opter pour le scanner de sécurité Retina Network Security, disponible dans les éditions Standard et Unlimited. Les deux éditions ont un ensemble de fonctionnalités étendu par rapport au scanner de la communauté Retina Network.

5. Nexpose Community Edition

Nexpose de Rapid7 est un autre scanner de vulnérabilités bien connu bien que peut-être moins que Retina. Nexpose Community Edition est une version limitée du scanner de vulnérabilités complet de Rapid7. Les limitations sont importantes. Tout d’abord, vous ne pouvez utiliser le produit que pour numériser un maximum de 32 adresses IP. Cela en fait une bonne option uniquement pour le plus petit des réseaux. De plus, le produit ne peut être utilisé que pendant un an. Outre ces limitations, c'est un excellent produit.

Nexpose peut fonctionner sur des machines physiques exécutant Windows ou Linux. Il est également disponible en tant qu'appliance VM. Les capacités de numérisation étendues du produit seront compatibles avec les réseaux, les systèmes d’exploitation, les applications Web, les bases de données et les environnements virtuels. Nexpose utilise ce qu'il appelle la sécurité adaptative, qui peut détecter et évaluer automatiquement les nouveaux périphériques et les nouvelles vulnérabilités dès qu'ils accèdent à votre réseau. Cela se combine avec des connexions dynamiques à VMware et AWS et une intégration avec le projet de recherche Sonar pour fournir une véritable surveillance en direct. Nexpose fournit une analyse de stratégie intégrée pour aider à se conformer aux normes courantes telles que CIS et NIST. Les rapports de correction intuitifs de l’outil fournissent des instructions pas à pas sur les actions de correction pour améliorer rapidement la conformité.

6. SecureCheq

Notre dernière entrée est un produit de Tripwire, un autre nom bien connu en matière de sécurité informatique. Son logiciel SecureCheq est présenté comme un vérificateur de sécurité de la configuration de Microsoft Windows gratuit pour les ordinateurs de bureau et les serveurs. L'outil effectue des analyses locales sur les ordinateurs Windows et identifie les paramètres avancés Windows non sécurisés tels que définis par les normes CIS, ISO ou COBIT. Il cherchera environ deux douzaines d'erreurs de configuration communes liées à la sécurité.

C'est un outil simple et facile à utiliser. Vous l'exécutez simplement sur la machine locale et il listera tous les paramètres cochés avec un statut de réussite ou d'échec. En cliquant sur l'un des paramètres répertoriés, vous obtenez un résumé de la vulnérabilité avec des références sur la façon de la réparer. Le rapport peut être imprimé ou enregistré sous forme de fichier XML OVAL.

Bien que SecureCheq analyse certains paramètres de configuration avancés, il omet nombre des vulnérabilités et des menaces les plus générales. Votre meilleur choix est de l'utiliser en combinaison avec un outil plus basique tel que Microsoft Baseline Security Analyzer décrit ci-dessus.

Travaillé Pour Vous: Robert Gaines & George Fleming | Vous Souhaitez Nous Contacter?

Commentaires Sur Le Site: