아무도 자신이 관리하는 네트워크가 기업 데이터를 훔치거나 조직에 피해를 입히려는 악의적인 사용자의 표적이 되는 것을 원하지 않습니다. 이를 방지하기 위해서는 그들이 들어갈 수 있는 경로를 최소화할 수 있는 방법을 찾아야 합니다. 그리고 이것은 부분적으로 네트워크의 모든 취약점이 알려지고, 해결되고, 수정되도록 함으로써 이루어집니다. 그리고 수정할 수 없는 취약점의 경우 이를 완화할 수 있는 방법이 마련되어 있습니다. 첫 번째 단계는 분명합니다. 그 취약점에 대해 네트워크를 스캔하는 것입니다. 이것은 취약점 스캐닝 도구라고 하는 특정 유형의 소프트웨어가 하는 일입니다. 오늘은 6가지 최고의 취약점 검색 도구 및 소프트웨어를 검토하고 있습니다.
먼저 네트워크 취약성에 대해 이야기하고(또는 취약성이라고 해야 하나) 이것이 무엇인지 설명하려고 합니다. 다음으로 취약성 검색 도구에 대해 논의할 것입니다. 누가 필요하고 왜 필요한지 설명하겠습니다. 그리고 취약성 스캐너는 중요하지만 취약성 관리 프로세스의 한 구성 요소일 뿐이므로 다음에 설명하겠습니다. 그런 다음 취약점 스캐너가 일반적으로 어떻게 작동하는지 살펴보겠습니다. 모두 약간 다르지만 핵심에는 차이점보다 유사점이 더 많습니다. 그리고 최고의 취약점 스캐닝 도구와 소프트웨어를 검토하기 전에 주요 기능에 대해 논의할 것입니다.
목차
취약점 소개
컴퓨터 시스템과 네트워크는 그 어느 때보다 복잡한 수준에 도달했습니다. 오늘날의 평균적인 서버는 일반적으로 수백 개의 프로세스를 실행할 수 있습니다. 이러한 각 프로세스는 컴퓨터 프로그램이며, 그 중 일부는 수천 줄의 소스 코드로 구성된 큰 프로그램입니다. 그리고 이 코드 안에는 모든 종류의 예상치 못한 것들이 있을 수 있습니다. 개발자는 디버깅을 쉽게 하기 위해 백도어 기능을 추가했을 수 있습니다. 그리고 나중에 이 기능이 실수로 최종 릴리스에 포함되었을 수 있습니다. 또한 특정 상황에서 예상치 못한 바람직하지 않은 결과를 초래할 수 있는 입력 유효성 검사 오류가 있을 수 있습니다.
이들 중 어떤 것이든 시스템과 데이터에 대한 액세스를 시도하는 데 사용할 수 있습니다. 이러한 허점을 찾아 악용하여 시스템을 공격하는 것보다 더 나은 방법이 없는 거대한 커뮤니티가 있습니다. 취약점은 우리가 이러한 구멍이라고 부르는 것입니다. 방치하면 악의적인 사용자가 취약점을 사용하여 시스템 및 데이터(심각한 상황에서는 클라이언트 데이터)에 액세스하거나 시스템을 사용할 수 없게 만드는 등의 피해를 줄 수 있습니다.
취약점은 어디에나 있을 수 있습니다. 그들은 종종 서버 또는 운영 체제에서 실행되는 소프트웨어에서 발견되지만 스위치, 라우터와 같은 네트워킹 장비 및 방화벽과 같은 보안 장비에도 존재합니다. 하나는 정말 모든 곳에서 그들을 찾을 필요가 있습니다.
스캐닝 도구 – 무엇이고 어떻게 작동합니까?
취약점 검색 또는 평가 도구에는 시스템, 장치, 장비 및 소프트웨어의 취약점을 식별하는 한 가지 주요 기능이 있습니다. 일반적으로 알려진 취약점을 찾기 위해 장비를 스캔하기 때문에 스캐너라고 합니다.
그러나 취약점 스캐닝 도구는 일반적으로 눈에 띄지 않는 취약점을 어떻게 찾습니까? 그들이 그렇게 분명했다면 개발자는 소프트웨어를 출시하기 전에 문제를 해결했을 것입니다. 컴퓨터 바이러스 서명을 인식하기 위해 바이러스 정의 데이터베이스를 사용하는 바이러스 보호 소프트웨어처럼 대부분의 취약성 스캐너는 취약성 데이터베이스에 의존하고 시스템에서 특정 취약성을 검사합니다. 이러한 취약성 데이터베이스는 소프트웨어 및 하드웨어의 취약성을 찾는 데 전념하는 잘 알려진 독립 보안 테스트 연구소에서 얻을 수 있거나 도구 공급업체의 독점 데이터베이스일 수 있습니다. 예상대로 탐지 수준은 도구에서 사용하는 취약성 데이터베이스만큼만 좋습니다.
스캐닝 도구 — 누가 필요합니까?
그 질문에 대한 한 단어의 대답은 매우 분명합니다. 누구나! 제정신이 아닌 사람은 오늘날 바이러스 보호 장치 없이 컴퓨터를 실행하는 것을 생각하지 않을 것입니다. 마찬가지로, 어떤 네트워크 관리자도 최소한 어떤 형태의 취약성 탐지 없이는 안 됩니다. 공격은 어디에서나 올 수 있으며 예상하지 못한 곳에서 공격할 수 있습니다. 노출 위험을 인지해야 합니다.
이것은 이론적으로 수동으로 수행할 수 있는 것일 수 있습니다. 그러나 실제로는 거의 불가능한 작업입니다. 취약점에 대한 정보를 찾는 것만으로도 시스템에서 취약점이 있는지 스캔하는 것은 고사하고 엄청난 양의 리소스가 필요할 수 있습니다. 일부 조직은 취약점을 찾는 데 전념하며 수천 명이 아니라 수백 명을 고용하는 경우가 많습니다.
다수의 컴퓨터 시스템이나 장치를 관리하는 사람은 취약점 검색 도구를 사용하면 큰 이점을 얻을 수 있습니다. 또한 SOX 또는 PCI-DSS와 같은 규제 표준을 준수해야 하는 경우가 많습니다. 그리고 필요하지 않더라도 네트워크에서 취약점을 검색하고 있음을 보여줄 수 있다면 규정 준수를 입증하기가 더 쉬울 것입니다.
간단히 말해서 취약점 관리
일종의 소프트웨어 도구를 사용하여 취약점을 감지하는 것이 필수적입니다. 공격으로부터 보호하는 첫 번째 단계입니다. 그러나 완전한 취약성 관리 프로세스의 일부가 아니면 쓸모가 없습니다. 침입 감지 시스템은 침입 방지 시스템이 아니며 마찬가지로 네트워크 취약성 검색 도구(또는 최소한 대부분)는 취약성을 감지하고 해당 존재를 알려줍니다.
그런 다음 감지된 취약점을 해결하기 위한 몇 가지 프로세스를 마련하는 것은 관리자에게 달려 있습니다. 탐지 시 가장 먼저 해야 할 일은 취약점을 평가하는 것입니다. 탐지된 취약점이 실제인지 확인하려고 합니다. 취약점 검색 도구는 주의 측면에서 오류를 선호하는 경향이 있으며 많은 사람들이 특정 수의 오탐지를 보고합니다. 그리고 실제 취약점이 있는 경우 실제 문제가 아닐 수도 있습니다. 예를 들어 서버에서 사용하지 않는 열린 IP 포트가 해당 포트를 차단하는 방화벽 바로 뒤에 있으면 문제가 되지 않을 수 있습니다.
취약점이 평가되면 문제를 해결하고 수정하는 방법을 결정할 때입니다. 조직에서 거의 사용하지 않거나 전혀 사용하지 않는 소프트웨어에서 이러한 소프트웨어가 발견된 경우 최선의 조치는 취약한 소프트웨어를 제거하고 유사한 기능을 제공하는 다른 제품으로 교체하는 것입니다. 다른 경우에는 취약점을 수정하는 것이 소프트웨어 게시자의 일부 패치를 적용하거나 최신 버전으로 업그레이드하는 것만큼 쉽습니다. 많은 취약점 검색 도구는 발견된 취약점에 대해 사용 가능한 수정 사항을 식별합니다. 다른 취약점은 일부 구성 설정을 수정하여 간단히 수정할 수 있습니다. 이것은 특히 네트워킹 장비에 해당되지만 컴퓨터에서 실행되는 소프트웨어에서도 발생합니다.
취약점 검사 도구의 주요 기능
취약점 검색 도구를 선택할 때 고려해야 할 사항이 많이 있습니다. 이러한 도구의 가장 중요한 측면 중 하나는 스캔할 수 있는 장치의 범위입니다. 소유하고 있는 모든 장비를 스캔할 수 있는 도구가 필요합니다. 예를 들어, Linus 서버가 많은 경우 Windows 장치만 처리하는 것이 아니라 이를 스캔할 수 있는 도구를 선택하고 싶을 것입니다. 또한 귀하의 환경에서 가능한 한 정확한 스캐너를 선택하기를 원합니다. 쓸데없는 알림과 오탐에 빠져들고 싶지 않을 것입니다.
또 다른 주요 차별화 요소는 도구의 취약성 데이터베이스입니다. 공급업체에서 유지 관리합니까 아니면 독립 조직에서 관리합니까? 얼마나 정기적으로 업데이트됩니까? 로컬 또는 클라우드에 저장됩니까? 취약점 데이터베이스를 사용하거나 업데이트를 받으려면 추가 비용을 지불해야 합니까? 이것은 도구를 선택하기 전에 알아야 할 모든 것입니다.
일부 취약성 스캐너는 시스템 성능에 잠재적으로 영향을 미칠 수 있는 보다 침입적인 스캔 방법을 사용합니다. 가장 방해가 되는 스캐너가 종종 최고의 스캐너이기 때문에 이것이 반드시 나쁜 것은 아니지만 시스템 성능에 영향을 미치는 경우 이에 대해 알고 그에 따라 스캔을 예약하고 싶을 것입니다. 그건 그렇고, 스케줄링은 네트워크 취약점 스캐닝 도구의 또 다른 중요한 측면입니다. 일부 도구에는 예약된 검사가 없으며 수동으로 시작해야 합니다.
취약점 검색 도구에는 경고 및 보고라는 두 가지 다른 중요한 기능이 있습니다. 취약점이 발견되면 어떻게 됩니까? 알림이 명확하고 이해하기 쉽습니까? 어떻게 렌더링됩니까? 화면 팝업인가요, 이메일인가요, 문자인가요? 그리고 더 중요한 것은 도구가 식별한 취약점을 수정하는 방법에 대한 통찰력을 제공한다는 것입니다. 일부 도구는 작동하고 일부는 작동하지 않습니다. 일부는 특정 취약점을 자동으로 수정하기도 합니다. 패치가 취약점을 수정하는 가장 좋은 방법이기 때문에 다른 도구는 패치 관리 소프트웨어와 통합됩니다.
보고와 관련하여 이것은 종종 개인 취향의 문제입니다. 그러나 보고서에서 예상하고 찾아야 하는 정보가 실제로 있는지 확인해야 합니다. 일부 도구에는 사전 정의된 보고서만 있고 다른 도구에서는 기본 제공 보고서를 수정할 수 있습니다. 그리고 최소한 보고의 관점에서 최고의 보고서를 사용하면 처음부터 사용자 지정 보고서를 만들 수 있습니다.
당사의 상위 6가지 취약점 검색 도구
이제 취약점 검색 도구에 대해 조금 더 배웠으므로 찾을 수 있는 최고 또는 가장 흥미로운 패키지를 검토해 보겠습니다. 우리는 유료 도구와 무료 도구를 혼합하여 포함하려고 노력했습니다. 무료 및 유료 버전에서 사용할 수 있는 도구도 있습니다.
1. SolarWinds 네트워크 구성 관리자(무료 평가판)
SolarWinds를 아직 모르는 경우를 대비하여 이 회사는 약 20년 동안 최고의 네트워크 관리 도구를 만들어 왔습니다. 최고의 도구 중 SolarWinds 네트워크 성능 모니터는 최고의 SNMP 네트워크 대역폭 모니터링 도구 중 하나로 지속적으로 높은 평가와 극찬을 받고 있습니다. 이 회사는 또한 무료 도구로 유명합니다. 이들은 네트워크 관리의 특정 작업을 처리하도록 설계된 더 작은 도구입니다. 이러한 무료 도구 중 가장 잘 알려진 것은 서브넷 계산기와 TFTP 서버입니다.
여기서 소개하고 싶은 도구는 SolarWinds Network Configuration Manager라는 도구입니다. 그러나 이것은 실제로 취약점 검색 도구가 아닙니다. 그러나 이 도구를 목록에 포함하기로 결정한 두 가지 구체적인 이유가 있습니다. 이 제품에는 취약성 평가 기능이 있으며 네트워킹 장비의 잘못된 구성과 같은 특정 유형의 취약성을 해결합니다.
취약점 스캐닝 도구로서의 SolarWinds Network Configuration Manager의 주요 유틸리티는 오류 및 누락에 대한 네트워크 장비 구성의 검증에 있습니다. 또한 이 도구는 장치 구성 변경 사항을 주기적으로 확인할 수 있습니다. 이것은 또한 다른 시스템에 대한 액세스를 용이하게 할 수 있는 방식으로 서버만큼 안전하지 않은 일부 장치 네트워킹 구성을 수정하여 일부 공격이 시작되기 때문에 유용합니다. 또한 이 도구는 표준화된 구성을 배포하고, 프로세스 외 변경 사항을 감지하고, 구성을 감사하고, 위반 사항을 수정할 수 있는 자동화된 네트워크 구성 도구로 표준 또는 규정 준수를 지원합니다.
이 소프트웨어는 National Vulnerability Database와 통합되어 우리 목록에 더 많이 포함될 가치가 있습니다. Cisco 장치의 취약점을 식별하기 위해 최신 CVE에 액세스할 수 있습니다. ASA, IOS 또는 Nexus OS를 실행하는 모든 Cisco 장치에서 작동합니다. 사실, 두 가지 다른 유용한 도구인 Network Insights for ASA와 Network Insights for Nexus가 제품에 내장되어 있습니다.
SolarWinds Network Configuration Manager의 가격은 최대 50개의 관리 노드에 대해 $2,895부터 시작하며 노드 수에 따라 다릅니다. 이 도구를 사용해 보려면 SolarWinds에서 30일 무료 평가판을 다운로드할 수 있습니다.
2. MBSA(Microsoft Baseline Security Analyzer)
Microsoft Baseline Security Analyzer(MBSA)는 Microsoft의 다소 오래된 도구입니다. 대규모 조직에 적합하지 않은 옵션이기는 하지만 이 도구는 서버가 소수에 불과한 소규모 기업에 적합할 수 있습니다. 이것은 Microsoft 도구이므로 스캔을 기대하지 않고 Microsoft 제품을 보는 것이 좋습니다. 그렇지 않으면 실망할 것입니다. 그러나 Windows 방화벽, SQL 서버, IIS 및 Microsoft Office 응용 프로그램과 같은 일부 서비스는 물론 Windows 운영 체제도 검사합니다.
그러나 이 도구는 다른 취약점 스캐너처럼 특정 취약점을 검색하지 않습니다. 이것이 하는 일은 누락된 패치, 서비스 팩 및 보안 업데이트를 찾고 시스템에서 관리 문제를 검사하는 것입니다. MBSA의 보고 엔진을 사용하면 누락된 업데이트 및 잘못된 구성 목록을 얻을 수 있습니다.
MBSA는 Microsoft의 오래된 도구이기 때문에 Windows 10과 완전히 호환되지 않습니다. 버전 2.3은 최신 버전의 Windows에서 작동하지만 가양성을 정리하고 완료할 수 없는 검사를 수정하기 위해 약간의 조정이 필요할 수 있습니다. 예를 들어 이 도구는 Windows 10에서 Windows 업데이트가 활성화되어 있지 않다고 잘못 보고합니다. 이 제품의 또 다른 단점은 타사 취약점이나 복잡한 취약점을 감지하지 못한다는 것입니다. 이 도구는 사용이 간편하고 제 역할을 잘 수행합니다. Windows 컴퓨터가 몇 대 밖에 없는 소규모 조직에 완벽한 도구가 될 수 있습니다.
3. OpenVAS(Open Vulnerability Assessment System)
다음 도구는 Open Vulnerability Assessment System(OpenVAS)입니다. 여러 서비스 및 도구의 프레임워크입니다. 이 모든 것이 결합되어 포괄적이고 강력한 취약점 검색 도구입니다. OpenVAS 뒤에 있는 프레임워크는 약 10년 동안 커뮤니티에 기여한 요소를 기반으로 하는 Greenbone Networks의 취약성 관리 솔루션의 일부입니다. 시스템은 완전히 무료이며 구성 요소의 대부분은 오픈 소스이지만 일부는 그렇지 않습니다. OpenVAS 스캐너는 정기적으로 업데이트되는 5만 개 이상의 네트워크 취약점 테스트와 함께 제공됩니다.
OpenVAS에는 두 가지 기본 구성 요소가 있습니다. 첫 번째 구성 요소는 OpenVAS 스캐너입니다. 이름에서 알 수 있듯이 대상 컴퓨터의 실제 검사를 담당합니다. 두 번째 구성 요소는 스캐너 제어, 결과 통합 및 중앙 SQL 데이터베이스에 저장과 같은 다른 모든 작업을 처리하는 OpenVAS 관리자입니다. 시스템에는 브라우저 기반 및 명령줄 사용자 인터페이스가 모두 포함되어 있습니다. 시스템의 또 다른 구성 요소는 네트워크 취약성 테스트 데이터베이스입니다. 이 데이터베이스는 무료 Greenborne 커뮤니티 피드 또는 유료 Greenborne 보안 피드에서 업데이트를 가져올 수 있습니다.
4. 레티나 네트워크 커뮤니티
Retina 네트워크 커뮤니티는 가장 잘 알려진 취약점 스캐너 중 하나인 AboveTrust의 Retina 네트워크 보안 스캐너의 무료 버전입니다. 이 포괄적인 취약점 스캐너는 기능으로 가득 차 있습니다. 이 도구는 누락된 패치, 제로 데이 취약성 및 비보안 구성에 대한 철저한 취약성 평가를 수행할 수 있습니다. 또한 직무와 연계된 사용자 프로필을 자랑하여 시스템 운영을 단순화합니다. 이 제품은 시스템의 간소화된 작동을 허용하는 메트로 스타일의 직관적인 GUI를 제공합니다.
Retina 네트워크 커뮤니티는 유료 형제와 동일한 취약점 데이터베이스를 사용합니다. 네트워크 취약성, 구성 문제 및 누락된 패치에 대한 광범위한 데이터베이스로서 자동으로 업데이트되며 광범위한 운영 체제, 장치, 애플리케이션 및 가상 환경을 포괄합니다. 이 주제에 대해 이 제품은 VMware 환경을 완벽하게 지원하며 온라인 및 오프라인 가상 이미지 스캐닝, 가상 애플리케이션 스캐닝 및 vCenter와의 통합을 포함합니다.
그러나 Retina 네트워크 커뮤니티에는 큰 단점이 있습니다. 이 도구는 256개의 IP 주소 검색으로 제한됩니다. 대규모 네트워크를 관리하는 경우에는 별 것 아닌 것처럼 보일 수 있지만 많은 소규모 조직에서는 충분할 수 있습니다. 환경이 그보다 더 큰 경우 이 제품에 대해 방금 말한 모든 내용은 Standard 및 Unlimited 버전으로 제공되는 Retina Network Security Scanner의 큰 형에도 해당됩니다. 두 에디션 모두 Retina Network Community 스캐너와 비교하여 동일한 확장 기능 세트를 가지고 있습니다.
5. Nexpose 커뮤니티 에디션
Retina만큼 인기가 없을 수도 있지만 Rapid7의 Nexpose는 또 다른 잘 알려진 취약점 스캐너입니다. 그리고 Nexpose Community Edition은 Rapid7의 포괄적인 취약점 스캐너의 약간 축소된 버전입니다. 그러나 제품의 한계는 중요합니다. 예를 들어, 제품을 사용하여 최대 32개의 IP 주소만 스캔할 수 있습니다. 따라서 가장 작은 네트워크에만 적합한 옵션입니다. 또한 제품은 1년 동안만 사용할 수 있습니다. 당신이 제품과 함께 살 수 있다면 그것은 우수합니다.
Nexpose Community Edition은 Windows 또는 Linux를 실행하는 물리적 시스템에서 실행됩니다. 가상 어플라이언스로도 사용할 수 있습니다. 광범위한 스캐닝 기능은 네트워크, 운영 체제, 웹 애플리케이션, 데이터베이스 및 가상 환경을 처리합니다. Nexpose Community Edition은 네트워크에 액세스하는 순간 새로운 장치와 새로운 취약성을 자동으로 감지하고 평가할 수 있는 적응형 보안을 사용합니다. 이 기능은 VMware 및 AWS에 대한 동적 연결과 함께 작동합니다. 이 도구는 또한 Sonar 연구 프로젝트와 통합되어 진정한 실시간 모니터링을 제공합니다. Nexpose Community Edition은 CIS 및 NIST와 같은 널리 사용되는 표준을 준수하는 데 도움이 되는 통합 정책 스캔을 제공합니다. 마지막으로 도구의 직관적인 수정 보고서는 수정 작업에 대한 단계별 지침을 제공합니다.