Articles

13 nejlepších nástrojů pro hodnocení zranitelnosti a penetrační testování (VAPT)

Best Vulnerability Assessment and Penetration Testing Tools

Hodnocení zranitelnosti a penetrační testování (VAPT) je proces zabezpečení počítačových systémů před útočníky jejich vyhodnocením s cílem najít mezery a bezpečnostní zranitelnosti.

Některé nástroje VAPT posuzují celý IT systém nebo síť, zatímco některé provádějí posouzení pro určitý výklenek. Existují nástroje VAPT pro testování zabezpečení wi-fi sítí i pro testování webových aplikací. Nástroje, které tento proces provádějí, se nazývají nástroje VAPT.

Tady je náš seznam nejlepších nástrojů pro posuzování zranitelností a penetrační testování:

  1. Netsparker Security Scanner VÝBĚR EDITORA Automatizovaný nástroj pro skenování zranitelností a penetrační testování dostupný z cloudu nebo k instalaci v systému Windows.
  2. Acunetix Web Vulnerability Scanner (ZÍSKEJTE DEMO) Systém pro skenování zranitelností webových stránek a penetrační testování webových stránek, který lze nainstalovat přímo na místě nebo k němu přistupovat jako ke cloudové službě.
  3. Intruder (ZKUŠEBNÍ VERZE ZDARMA) Cloudový skener zranitelností s možností testování průniku lidmi.
  4. ManageEngine Vulnerability Manager Plus (ZKUŠEBNÍ VERZE ZDARMA), který obsahuje skener zranitelností a automatizované systémy pro opravu objevených slabých míst. Instaluje se do systémů Windows a Windows Server.
  5. Metasploit Open-source framework pro penetrační testování, který je k dispozici zdarma nebo v placené verzi Pro, která zahrnuje profesionální podporu. Instaluje se do systémů Windows, Windows Server, RHEL a Ubuntu.
  6. Nmap Bezplatný skener síťových zranitelností s front-endem nazvaným Zenmap. Oba se instalují v systémech Windows, Linux, BSD Unix a Mac OS.
  7. Wireshark Populární sniffer paketů pro drátové a bezdrátové sítě. Instaluje se v systémech Windows, Linux, Unix a Mac OS.
  8. John the Ripper Bezplatný open-source program pro prolamování hesel a detektor typů hash. Instaluje se v systémech Unix, MacOS, Windows, DOS, BeOS a OpenVMS.
  9. Nessus Posuzovač zranitelností aplikací dostupný v bezplatné i placené verzi. Instaluje se do systémů Windows, Windows Server, Linux, Mac OS a Free BSD.
  10. Aircrack-ng Známý sniffer paketů bezdrátových sítí, který je hojně využíván hackery. Běží v systému Linux.
  11. Burp Suite Platforma pro testování slabin webových aplikací. Instaluje se v systému Linux.
  12. Probely Skener zranitelností webových aplikací, který je určen pro použití při vývoji. Dodává se jako cloudová služba.
  13. W3af Bezplatný skener webových aplikací s otevřeným zdrojovým kódem napsaný pro systémy Windows, Linux, Mac OS a Free BSD.

Proč potřebujeme nástroje VAPT?

S rostoucí závislostí na IT systémech rostou také bezpečnostní rizika, a to jak z hlediska množství, tak rozsahu. Stalo se povinností proaktivně chránit důležité IT systémy, aby nedocházelo k narušení bezpečnosti dat. Penetrační testování je nejužitečnější technikou, kterou společnosti používají k ochraně svých IT infrastruktur.

„Vzhledem k tomu, že se prostředí kybernetické bezpečnosti tak rychle mění, je nutné, aby organizace všech velikostí pravidelně testovaly svou obranu. Testování VAPT, které provádějí zkušení bezpečnostní odborníci, pomáhá identifikovat a řešit zranitelnosti na úrovni sítí a aplikací dříve, než je mohou zneužít zločinci.

„Vyvarujte se nákupu specializovaných nástrojů VAPT nebo zadávání hodnocení u třetích stran, aniž byste plně zvážili potřeby své firmy. Testy se liší svým zaměřením, dechem a délkou trvání, proto se ujistěte, že věnujete čas úplnému rozsahu svých požadavků, abyste získali co největší přínos a hodnotu za vynaložené peníze.“ – Mark Nicholls, technický ředitel společnosti Redscan.

Související příspěvek: Alternativy k nástroji Microsoft Baseline Security Analyzer

Nejlepší nástroje VAPT

Tento článek se zabývá deseti nejlepšími nástroji VAPT, přičemž pečlivě zvažuje jejich účinnost a efektivitu. Některé jsou k dispozici zdarma, u jiných budete muset uvolnit peněženku.

Netsparker Security Scanner (GET DEMO)

Netsparker Security Scanner

Netsparker Security Scanner je systém zabezpečení webových aplikací, který zahrnuje nástroje pro skenování zranitelností a penetrační testování. Skener zranitelností zahrnuje tři fáze: předběžnou kontrolu, skenování a ověření zranitelnosti. Kontrola zranitelností využívá „skenování založené na důkazech“, které nezkoumá pouze odpovědi na webové požadavky, ale prohledává kód webových aplikací.

Kontrola zranitelností pokrývá standardní webové aplikace, jako je HTML5, a také obsahové aplikace, včetně WordPress a Drupal. Do kontroly zranitelností jsou zahrnuty také systémy řízení přístupu, například metody ověřování.

Skener lze nastavit tak, aby běžel nepřetržitě, a může odesílat upozornění na zranitelnosti do systémů pro sledování chyb a problémů, včetně Jira, Fogbugz a Github. Skener lze nastavit tak, aby testoval nové aplikace i během testovací fáze vývoje.

Skener zranitelností poběží nepřetržitě, takže nové zranitelnosti na vašich webových stránkách lze odhalit, jakmile je systém v produkčním provozu. Systém kontroluje chybné konfigurace podpůrných technologií, jako je například .NET, a veškeré aktualizace obsaženého kódu, který přichází z jiných zdrojů, například ze systémů pro doručování obsahu.

Nástroje pro penetrační testování v balíčku zahrnují útoky využívající SQL injection a cross-site scripting. Testy lze spouštět automaticky a opakovaně v rámci plánu skenování zranitelností. Tato automatizace bezpečnostního testování snižuje riziko lidské chyby a vytváří regulované testovací skripty.

Dokumentace vytvořená nástrojem Netsparker je v souladu s PCI DSS, takže zachování knihovny dokumentace ze skenů je důležitým faktorem pro soulad se standardy.

Netsparker je k dispozici ve třech edicích a lze jej nainstalovat u zákazníka nebo k němu přistupovat jako k hostované službě. Softwarový systém onsite běží na systému Windows. Před zakoupením můžete získat přístup k bezplatnému demo systému Netsparker a posoudit jeho možnosti.

VÝBĚREDITORA

Netsparker Security Scanner je naší první volbou. Jednoduchost tohoto nástroje maskuje, jak výkonný je při odhalování nejnovějších zranitelností a chyb. Rozhraní se snadno používá a celý uživatelský zážitek přesahuje rámec detekce. Nástroje pro pen testy posilují postavení uživatele a nabízejí skutečný pocit kontroly.

Přístup k bezplatné ukázce: netsparker.com/product/standard/

OS: Windows

Acunetix Web Vulnerability Scanner (GET DEMO)

Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner kombinuje postupy penetračního testování se skenerem zranitelností a vytváří tak nepřetržitou automatizovanou detekci hrozeb pro webové stránky. Systém skenuje webové stránky vytvořené prostřednictvím HTML5, JavaScriptu a RESTful API, aby odhalil slabá místa zabezpečení. Služba rovněž skenuje externí zdroje kódu, například systém pro správu a poskytování obsahu WordPress. Postupy penetračního testování v balíčku zahrnují SQL injection a cross-site scripting. Zprávy o zabezpečení vytvořené nástrojem jsou v souladu s normami HIPAA, PCI-DSS a ISO/IEC 27001.

Některé ze skenů spočívají v umístění senzorů v kódu webových stránek a jejich aplikací. Toto začlenění by mohlo být pro mnoho organizací, které nemají vlastní tým pro vývoj webových stránek, obtížně zvládnutelné. Začlenění funkcí sběru dat, které komunikují s externím systémem, by se samo o sobě mohlo stát slabým místem zabezpečení informací. Zdá se však, že tato potenciální zranitelnost neznepokojuje velmi působivý seznam klientů společnosti Acutanix, který zahrnuje americké letectvo, AVG a AWS.

Pokud máte tým pro vývoj webu a váš web obsahuje velké množství vlastního kódu, pak budete moci integrovat Acutanix do svého systému podpory správy vývoje. Detekční systém tvoří součást softwaru pro testování nového kódu a na základě svých testovacích postupů vytvoří seznam mezer, neefektivností a zranitelností a prostřednictvím systému pro řízení projektů odešle zpět doporučení na zlepšení.

Systém Acunetix je k dispozici pro instalaci na pracovišti nebo jako cloudová služba. Na to, jak systém funguje na vašich webových stránkách, se můžete podívat prostřednictvím bezplatné demoverze.

Mezi hlavní funkce patří:

  • Detekce SQL injection, což je nejznámější typ útoku na webové stránky
  • Schopnost vyhodnotit 4,500+ typů zranitelností
  • Velmi plynulý provoz, který dokáže rychle prohledat stovky stránek
  • Nepřekonatelná efektivita
  • Kompatibilita se systémy WAF a schopnost integrace s SDLC (Software Development Life Cycle)
  • Dostupnost buď v desktopové, nebo cloudové verzi

Acunetix Web Vulnerability Scanner Zaregistrujte se pro BEZPLATNOU ukázku

Intruder (FREE TRIAL)

Intruder - SQL Injection scan screenshot

Intruder je cloud-založený na skeneru zranitelností. Jedná se o trvalý bezpečnostní nástroj, který lze spustit i na vyžádání.

Služba provede úvodní kontrolu zranitelností, když si klient založí nový účet. Po dokončení této kontroly systém Intruder čeká na aktualizaci databáze útoků. Jakmile je identifikována nová hrozba, služba znovu prohledá systém a zaměří se na prvky, které poskytují exploity pro novou techniku útoku. Pokud do sledovaného systému přibudou nová zařízení nebo služby, správce systému bude muset spustit nové skenování, aby se ujistil, že přírůstek neobsahuje žádné zranitelnosti.

Intruder je předplacená služba. Předplatitelé mají na výběr ze tří plánů. Těmi jsou Essential, Pro a Verified. U plánu Essential probíhají kontroly automaticky jednou měsíčně. Skenování na vyžádání není u tohoto plánu k dispozici, ale je součástí plánu Pro. Plán Verified má všechny funkce plánu Pro a zahrnuje také služby lidských penetračních testerů. Služba Intruder je k dispozici na 30denní bezplatnou zkušební dobu.

Intruder Start 30denní zkušební doba ZDARMA

ManageEngine Vulnerability Manager Plus (FREE TRIAL)

ManageEngine Vulnerabilty Manager Plus

ManageEngine Vulnerability Plus je skener zranitelností, který je dodáván společně se systémy, které vám pomohou odstranit problémy odhalené skenováním. Jedná se o lokální software, který se instaluje do systémů Windows a Windows Server. Kontaktuje ostatní koncové body v síti tak, že komunikuje s agenty nainstalovanými v každém sledovaném zařízení. Tito agenti jsou k dispozici pro systémy Windows, macOS, Linux a Windows Server.

Hlavním modulem tohoto balíčku je skener zranitelností. Ten bude kontrolovat všechny zařazené počítače buď pravidelně podle plánu, nebo na vyžádání. Kontroluje chyby v konfiguraci systému, zastaralé verze softwaru, neautorizovaný a rizikový software a slabiny operačního systému a služeb.

Systém obsahuje správce záplat, který lze nastavit tak, aby po zjištění zranitelnosti automaticky spustil akci. Proces zavádění záplat lze také pozdržet pro schválení a ruční spuštění. Součástí služby je také systém vynucování bezpečnosti, který implementuje silnou správu hesel a přístupů.

Správa zranitelností Plus je k dispozici ve třech edicích a nejnižší z nich je zdarma. Bezplatná verze je omezena na monitorování 25 počítačů. Dvě placené edice se nazývají Professional a Enterprise. Hlavní rozdíl mezi těmito dvěma verzemi spočívá v tom, že edice Professional pokrývá jednu lokalitu, zatímco edice Enterprise je určena pro sítě WAN. Oba placené systémy jsou nabízeny na 30denní bezplatnou zkušební verzi.

ManageEngine Vulnerability Plus Start 30-day FREE Trial

Metasploit

Metasploit screenshot

Metasploit je známá kompilace různých nástrojů VAPT. Díky svému významu a spolehlivosti je na prvním místě tohoto seznamu. Odborníci na digitální bezpečnost a další specialisté na IT jej využívají již značně dlouhou dobu k dosažení různých cílů, včetně vyhledávání zranitelností, dohledu nad hodnocením bezpečnostních rizik a definování bariérových přístupů.

Nástroj Metasploit můžete využít na serverech, v online aplikacích, systémech a dalších oblastech. Pokud je objevena slabina nebo mezera v zabezpečení, nástroj provede záznam a opraví ji. V případě, že musíte posoudit zabezpečení svého frameworku proti zavedenějším zranitelnostem, Metasploit vám také pomůže.

Podle našich zkušeností se tento nástroj osvědčil jako nejlepší nástroj pro penetrační testování proti rozsáhlým útokům. Metasploit je obzvláště zdatný při vyhledávání starých zranitelností, které jsou skryté a není možné je najít ručně.

Metasploit je k dispozici v bezplatné i komerční verzi; můžete si vybrat podle svých požadavků.

Nmap

Nmap screenshot

Nmap, zkratka z Network Mapper, je zcela bezplatný nástroj s otevřeným zdrojovým kódem pro kontrolu IT systémů na řadu zranitelností. Nmap je užitečný při překonávání různých úkolů, včetně pozorování provozuschopnosti hostitele nebo správy a provádění mapování útočných ploch sítě.

Nmap udržuje běh na všech hlavních pracovních rámcích a je rozumný pro kontrolu obrovských i malých sítí. Nmap je kompatibilní se všemi hlavními operačními systémy, včetně systémů Windows, Linux a Macintosh.

S tímto nástrojem můžete pochopit různé atributy jakékoli objektivní sítě, včetně hostitelů přístupných v síti, druhu spuštěného rámce a typu nastavených svazkových kanálů nebo firewallů.

Nmap si můžete stáhnout z jejich oficiálních webových stránek.

Podívejte se také: Definitive Guide to Nmap

Wireshark

Wireshark screenshot

Wireshark je open-source systémový analyzátor a vyhledávač problémů. Má zjednodušené funkce, které umožňují sledovat, co se děje v systémové síti. Je to de facto standard pro firemní použití i pro malé agentury. Wireshark používají také akademické ústavy a vládní úřady. Jeho vývoj zahájil v roce 1998 Gerald Combs. Můžete si jej stáhnout z webu Wireshark.

Níže jsou uvedeny jeho hlavní funkce:

  • Důkladné prozkoumání několika konvencí, přičemž další jsou průběžně zařazovány, stejně jako průběžné aktualizace
  • Živé i offline testování a vyhodnocování
  • Kompatibilita napříč platformami: Windows, Linux, MacOS, Solaris, FreeBSD, NetBSD a řadou dalších
  • Vyhodnocené síťové informace lze zobrazit pomocí uživatelského rozhraní nebo prostřednictvím nástroje TShark v režimu TTY
  • Bohaté vyšetřování VoIP
  • Čtení/zápis široké škály formátů zachycených souborů, jako je tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (komprimovaný a nekomprimovaný), Sniffer Pro, Visual UpTime, EtherPeek/TokenPeek/AiroPeek společnosti WildPackets, a mnoho dalších
  • Zachycené dokumenty zabalené pomocí gzip lze snadno dekomprimovat
  • Podpora rozbalování některých konvencí, včetně IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP a WPA/WPA2
  • Pro rychlé a přirozené vyšetřování lze na seznam zásilek aplikovat principy stínování.

John the Ripper

john the ripper screenshot

Znepokojující je, že mnoho lidí používá snadno uhodnutelná hesla jako admin123, heslo, 123545 atd. Prolamování hesel je nejčastějším narušením kybernetické bezpečnosti a obvykle k němu dochází kvůli měkkým heslům, která lze triviálně prolomit za méně než sekundu moderním programem na prolamování hesel s dobrým hardwarem. Účty s takovými hesly jsou proto pro hackery snadnou kořistí; mohou se bezstarostně ponořit do sítě vašeho systému a ukrást informace, jako jsou čísla kreditních karet, vaše bankovní hesla a citlivá média.

John the Ripper je nejlepší nástroj pro analýzu celého systému na snadno uhodnutelná/prolomitelná hesla. Ve skutečnosti provádí simulovaný útok na navrhovaný systém, aby identifikoval zranitelná místa v heslech.

Jeho bezplatná verze je dodávána ve formě zdrojového kódu, který budete zřejmě potřebovat od vývojáře, aby jej integroval pro potřeby vaší společnosti. Verzi pro však lze snadno zabudovat. Je distribuována v nativních balíčcích (jedinečných pro každý operační systém) a lze ji snadno nainstalovat.

Nessus

Nessus

Nessus je další nástroj pro vyhledávání zranitelností, který je však také placený. Jeho použití je velmi snadné a funguje bez problémů. Můžete jej použít k posouzení své sítě, což vám poskytne podrobný souhrn zranitelností v síti.

Mezi hlavní zranitelnosti, na které se Nessus specializuje, patří chyby v konfiguraci, běžná hesla a otevřené porty.

V době psaní tohoto článku jej používá 27 000 organizací po celém světě. Má tři verze – první je zdarma a má méně funkcí, pouze hodnocení na základní úrovni. Pokud můžete, doporučujeme zvolit placené verze, aby vaše síť nebo systém byly řádně chráněny před kybernetickými hrozbami.

Aircrack-ng

airckrack

Aircrack-ng se specializuje na posuzování zranitelností v síti wi-fi. Když tento nástroj spustíte na svém počítačovém systému, spustí pakety pro posouzení a výsledky vám poskytne v textovém souboru. Dokáže také prolomit klíče WEP & WPA-PSK.

Burp Suite

Burp Suite

Burp Suite je populární nástroj pro kontrolu zabezpečení online aplikací. Obsahuje různá zařízení, která lze využít k provedení odlišných bezpečnostních testů, včetně mapování útočné plochy aplikace, zkoumání žádostí a reakcí probíhajících mezi programem a cílovými servery a kontroly aplikací na potenciální hrozby.

Burp Suite se dodává v bezplatné i placené verzi. Ta bezplatná obsahuje základní manuální zařízení pro provádění kontrolních cvičení. Placenou verzi si můžete pořídit v případě, že potřebujete možnosti testování webových aplikací.

Probely

Probe.ly

Probely je také posuzovač webových aplikací; společnosti jej používají k vyhledávání zranitelností ve svých webových aplikacích ve fázi vývoje. Umožňuje klientům zjistit životní cyklus zranitelností a nabízí také návod na jejich opravu. Probely je pravděpodobně nejlepší testovací nástroj pro vývojáře.

Klíčové funkce zahrnují možnost:

  • Skenovat SQL Injections a XSS
  • Kontrolovat 5 000 typů zranitelností
  • Použít pro systémy pro správu obsahu, jako jsou WordPress a Joomla
  • Stáhnout jako API (Pozn: Všechny funkce jsou k dispozici ve formě API)
  • Zachytit výsledky ve formátu PDF

W3af

w3af pentesting

W3af je webová aplikace známá svým systémem „hack and review“. Má tři druhy modulů – odhalení, přezkoumání a napadení – které pracují odpovídajícím způsobem pro všechny zranitelnosti na daném webu. Například zásuvný modul pro odhalování ve w3af vyhledává různé adresy URL pro testování zranitelností a poté je předává modulu pro přezkoumání, který v tu chvíli tyto adresy URL využívá ke kontrole zranitelností.

Také může být navržen tak, aby fungoval jako prostředník MITM. Jakékoli zachycené podněty lze odeslat generátoru podnětů; poté lze provést ruční testování webových aplikací s využitím různých parametrů. Upozorňuje také na nalezené zranitelnosti a popisuje, jak by tyto zranitelnosti mohly být zneužity škodlivými subjekty.

Několik významných funkcí w3af:

  • Proxy
  • DNS a ukládání do mezipaměti HTTP
  • Zpracování souborů cookie a relací
  • Ověřování HTTP a digestu
  • Agent falešných uživatelů
  • Vlastní hlavičky pro požadavky

Výběr správného nástroje

No, to opravdu závisí na vašich přesných potřebách. Všechny nástroje mají své silné stránky založené na typech uživatelů, kterým jsou určeny. Některé se věnují konkrétnímu úkolu, jiné se snaží o širší záběr. Proto byste se měli rozhodnout pro nástroj podle svých požadavků. Pokud chcete vyhodnotit celý systém, pak by Metasploit nebo Nmap patřily mezi nejvhodnější. Pro posouzení wi-fi sítě je tu Aircrack-ng. Solidní volbou pro skenování webových aplikací jsou také nástroje Probely a Acunetix.

Nástroje VAPT FAQ

Jak často mám provádět audit VAPT?

Provádějte audit VAPT jednou měsíčně. Většina nástrojů VAPT obsahuje plánovač, takže tuto úlohu lze opakovat, aniž by někdo musel pamatovat na její ruční spuštění.

Jak dlouho trvá penetrační test?

Neexistuje žádná pevně stanovená doba pro penetrační test, protože některé systémy jsou větší než jiné, a proto je třeba provést více testů. Harmonogram testů může trvat od týdne do měsíce, ale malé firmy by své testy dokončily mnohem rychleji.

Jak se připravit na penetrační test?

Vypracováním dokumentu o rozsahu a rozepsáním očekávaných výstupů stanovte jasné cíle a limity testu. Tyto informace rozešlete všem, kteří se na testu podílejí.

  1. Stanovte datum penetračního testu a přidělte tomuto úkolu lidské zdroje.
  2. Stabilizujte aktuální prostředí aplikací všech očekávaných záplat.
  3. Zálohujte aktuální nastavení zařízení, soubory a data.

.