OpenVAS é uma estrutura de vários serviços e ferramentas para varredura e gerenciamento de vulnerabilidades. Ele é alimentado com testes de vulnerabilidade mais de 33 mil redes, e é atualizado regularmente. Várias outras ferramentas de segurança gratuito estão integradas no OpenVAS, incluindo plug-ins, como Nmap, um utilitário para a descoberta de rede e inventário. Uma das tarefas críticas em uma avaliação de vulnerabilidade é descobrir todos os recursos que existem dentro da infra-estrutura de rede; Nmap é uma das melhores ferramentas para fazer isso. Organizações muitas vezes omitem a fase de descoberta quando realizam uma avaliação de risco de vulnerabilidade, em vez de trabalhar o que eles conhecem (ou o que eles pensam que conhecem). O Nmap pode fornecer um inventário completo, para fins de avaliação e auditoria.
Empresas que operam uma rede baseada em Microsoft têm a opção de usar o programa gratuíto Baseline Security Analyzer da Microsoft (MBSA), um scanner autônomo de segurança e vulnerabilidade projetado para identificar erros de configuração de segurança comuns. Ele também inclui verificações internas para administração do Windows, Internet Information Server (IIS) e vulnerabilidades de SQL, além de atualizações de segurança para o sistema operacional e aplicativos do Office. Os relatórios produzidos pelo MBSA mostram classificações baseado na gravidade das falhas, de acordo com as recomendações de segurança da Microsoft, e oferecem orientações específicas sobre como corrigir quaisquer problemas. O Blog de Segurança da Microsoft tem mais informações sobre suas outras ferramentas de segurança.
Se uma empresa executa serviços voltados para a Internet, varredura de vulnerabilidades de aplicativos da Web é muito importante; a maioria das vulnerabilidades são encontradas na camada de aplicação, e é aí que os atacantes concentram a maior parte de seus esforços. A principal ferramenta open source de pentest é o Metasploit, que pode ser usado para simular ataques a uma rede para avaliar e validar as vulnerabilidades, verificando a eficácia dos controles de segurança utilizados para mitigá-los.
Nenhuma ferramenta de gestão de vulnerabilidades - livre ou proprietária - é plug-and-play, do tipo configure-e-esqueça. Embora essas ferramentas agregem grande valor, as equipes de segurança precisam de tempo para aprender como elas funcionam, como elas podem ser usados sem afetar o dia-a-dia da operação e o tráfego da rede, e que os resultados e relatórios significam.
É claro que não faz sentido a realização de uma avaliação de risco, se as correções e controles não são postos em prática para reduzir as vulnerabilidades encontradas. Este é o estágio em que o gerenciamento de vulnerabilidades realmente reduz o risco e reforça a postura geral de segurança de uma empresa. Lembre-se também que a avaliação de risco de vulnerabilidade não é um evento único, mas sim uma atividade contínua. Uma vez que a equipe de segurança agiu sobre os resultados e implantados os controles de segurança apropriados, provavelmente está na hora de repetir o processo.
May The Force be with You.
Fonte: http://searchsecurity.techtarget.com/answer/The-best-free-vulnerability-risk-assessment-tools
Nenhum comentário:
Postar um comentário