Os scanners de vulnerabilidade são ferramentas automatizadas que avaliam constantemente os riscos de segurança do sistema de software para identificar vulnerabilidades de segurança.
A seguir está uma lista escolhida a dedo das principais ferramentas de verificação de vulnerabilidades, com seus recursos populares e links de sites. A lista contém ferramentas de verificação de vulnerabilidade de sites de código aberto (gratuito) e comercial (pago).
Principais ferramentas de verificação de segurança de sites: código aberto e pago
| Nome | Preço | Ligação |
|---|---|---|
| Indusface | Plano Gratuito + Pago | Saber mais |
| Gerente de eventos de segurança | Avaliação gratuita de 30 dias + plano pago | Saber mais |
| Detecção de vulnerabilidade de rede | Avaliação gratuita de 30 dias + plano pago | Saber mais |
1) Indusface
Indusface WAS fornece uma ferramenta de teste de segurança de aplicativo dinâmico abrangente (DAST). Ele combina a varredura automatizada para detectar as 10 principais vulnerabilidades e malware do OWASP com o teste manual da caneta feito por especialistas em segurança certificados pela Cert-In.
Características:
- Scanner da nova era construído para aplicativos de página única
- Verificações de autenticação
- Verificações de malware e listas negras
- Verificações de vulnerabilidade de rede
- Painel Integrado
- Prova de evidência para vulnerabilidades relatadas por meio de prova de conceito.
- Integração AppTrana WAF opcional para fornecer patch virtual instantâneo com Zero False positivo
- Suporte 24 × 7 para discutir as diretrizes de remediação / POC
2) Gerente de eventos de segurança
O Security Event Manager é um aplicativo que melhora sua segurança e demonstra conformidade com facilidade. Ele oferece um recurso de coleta de log centralizado. Este aplicativo possui um recurso de monitoramento de integridade de arquivo embutido.
Características:
- Possui ferramentas integradas para relatórios de conformidade.
- Este aplicativo oferece um painel intuitivo.
- Fornece resposta automatizada a incidentes.
- Oferece analisador de log em tempo real.
3) Detecção de vulnerabilidade de rede
Detecção de vulnerabilidade de rede é uma ferramenta que pode escanear seu dispositivo de rede e mantê-lo seguro. Este aplicativo pode evitar alterações não autorizadas na configuração da rede.
Características:
- A ferramenta pode auditar switches e roteadores quanto à conformidade.
- Ajuda você a economizar tempo automatizando sua rede.
- Ele pode recuperar sua rede rapidamente.
- Este aplicativo pode manter sua rede segura.
- Você pode construir e testar a rede de configuração sem complicações.
4) Paessler
A ferramenta de avaliação de vulnerabilidade de segurança da Paessler possui um recurso avançado de gerenciamento de infraestrutura. A ferramenta monitora a infraestrutura de TI usando tecnologias como SNMP, WMI, Sniffing, REST APIS, SQL e outras.
Características:
- Você pode monitorar jFlow, sFlow, IP SLA, Firewall, IP, LAN, Wi-Fi, Jitter e IPFIX.
- Ele fornece alertas por e-mail, reproduz arquivos de áudio de alarme ou aciona solicitações HTTP.
- A ferramenta fornece várias interfaces da web do usuário.
- Possui tratamento de failover automatizado.
- Você pode visualizar sua rede usando mapas.
- Paessler permite monitorar redes em vários locais.
- Você pode obter os números, estatísticas e gráficos dos dados que vai monitorar ou configurar.
5) ManageEngine Vulnerability Manager Plus
ManageEngine Vulnerability Manager Plus é um software de gerenciamento de ameaças e vulnerabilidades com foco na priorização que oferece gerenciamento de patches integrado. Com seu console integrado, ele permite que você:
- Avalie e priorize vulnerabilidades exploráveis e impactantes com uma avaliação de vulnerabilidade baseada em risco.
- Automatize e personalize patches para Windows, macOS, Linux e mais de 300 aplicativos de terceiros.
- Identifique vulnerabilidades de dia zero e implemente soluções alternativas antes que as correções cheguem.
- Detecte e corrija continuamente as configurações incorretas com o gerenciamento de configuração de segurança.
- Obtenha recomendações de segurança para configurar seus servidores de uma forma livre de múltiplas variantes de ataque.
- Faça a auditoria de software em fim de vida útil, software de compartilhamento de área de trabalho remota ponto a ponto e inseguro e portas ativas em sua rede.
6) Nessus Professional
O Nessus Professional é uma ferramenta de avaliação de vulnerabilidade para verificar a conformidade, pesquisar dados confidenciais, verificar IPs e sites. Esta ferramenta de verificação de vulnerabilidades de sites foi projetada para tornar a avaliação de vulnerabilidades simples, fácil e intuitiva.
Características:
- Possui tecnologia de detecção avançada para mais proteção para verificação de segurança de sites.
- A ferramenta oferece varredura de vulnerabilidade completa com avaliações ilimitadas para verificação de segurança do site.
- Ele fornece uma visibilidade precisa da sua rede de computadores.
- Plug-ins que oferecem proteção oportuna benefícios de novas ameaças.
- Ele permite que você migre para as soluções Tenable com segurança.
- Esta ferramenta de varredura de vulnerabilidade de site detecta um ataque de injeção de SQL.
Link: https://www.tenable.com/products/nessus/nessus-professional
7) BeyondTrust
Beyond Trust é uma das ferramentas de avaliação de vulnerabilidade, um verificador de vulnerabilidade online gratuito que encontra problemas de configuração, vulnerabilidades de rede e patches ausentes em aplicativos, dispositivos, ambientes virtuais e sistemas operacionais.
Características:
- Esta ferramenta de varredura de vulnerabilidade de código aberto tem uma interface amigável para avaliação, gerenciamento e conteúdo de vulnerabilidade simplificados.
- Ele fornece gerenciamento de patches.
- Melhore a gestão e priorização de riscos.
- A ferramenta oferece suporte para VMware que inclui digitalização de imagens virtuais.
- Ele permite que você se integre ao vCenter e faça a varredura de aplicativos virtuais para segurança.
Link: https://www.beyondtrust.com/vulnerability-management
8) Intruso
Intruder é um scanner de vulnerabilidade de rede baseado em nuvem para sua infraestrutura externa. Esta ferramenta encontra pontos fracos de segurança em seus sistemas de computador, para evitar violações de dados.
Características:
- Você pode sincronizar seus IPs externos e nomes de host DNS.
- É um software amigável ao desenvolvedor que pode ser integrado ao Slack ou Jira para que a equipe possa conhecer os problemas de segurança.
- A ferramenta possui Network View que o ajuda a manter o controle de suas portas e serviços expostos.
- Você pode receber notificações por e-mail e do Slack quando as varreduras forem concluídas, e relatórios resumidos em PDF enviados por e-mail mensalmente.
- O Intruder.io tem mais de 10.000 verificações de segurança para cada verificação de vulnerabilidade.
Link: https://www.intruder.io/
9) Tripwire IP360
Tripwire IP360 é uma das melhores ferramentas de varredura de vulnerabilidade que protege a integridade de sistemas de missão crítica abrangendo, DevOps virtuais, físicos e ambientes em nuvem. Ele oferece controles de segurança críticos, incluindo gerenciamento seguro de configuração, gerenciamento de vulnerabilidade, gerenciamento de log e descoberta de ativos.
Características:
- Arquitetura modular que se adapta às suas implantações e necessidades.
- A ferramenta possui recursos de pontuação de risco priorizados.
- Ele ajuda você a maximizar a produtividade da sua organização por meio de integrações com várias ferramentas que você já usa.
- Identifique, pesquise e crie o perfil de todos os ativos em sua rede com precisão.
Link: https://www.tripwire.com/products/tripwire-ip360/
10) Wireshark
O Wireshark é uma ferramenta que monitora os pacotes da rede e os exibe em um formato legível por humanos. As informações recuperadas por meio dessa ferramenta podem ser visualizadas por meio de uma GUI ou do utilitário TShark do modo TTY.
Características:
- Captura ao vivo e análise offline
- Análise avançada de VoIP
- Arquivos Gzip compactados podem ser descompactados na hora
- A saída pode ser exportada para texto simples, XML ou CSV
- Multi-plataforma: roda em Windows, Linux, FreeBSD, NetBSD e muitos outros
- Os dados ao vivo podem ser lidos em PPP / HDLC, Internet, ATM, Blue-tooth, Token Ring, USB e muito mais.
- Suporte de descriptografia para muitos protocolos que incluem IPsec, ISAKMP, SSL / TLS, WEP e WPA / WPA2
- Para uma análise rápida e intuitiva, as regras de coloração podem ser aplicadas ao pacote
- Ler ou escrever muitos formatos de arquivo de captura diferentes, como Cisco Secure IDS iplog, Pcap NG e Microsoft Network Monitor, etc.
Link: https://www.wireshark.org/
11) OpenVAS
OpenVAS é um scanner de vulnerabilidade de código aberto que o ajuda a realizar testes autenticados, testes não autenticados, testes de vulnerabilidade, testes de segurança, protocolos industriais e vários protocolos industriais e de alto nível de baixo e Internet.
Características:
- Você pode realizar testes de vulnerabilidade com um longo histórico e atualizações diárias.
- Esta ferramenta gratuita de varredura de vulnerabilidade inclui mais de 50.000 testes de vulnerabilidade.
- Ele fornece ajuste de desempenho e código de programação interno para implementar qualquer tipo de teste de vulnerabilidade que você deseja executar.
Link: http://www.openvas.org/
12) Aircrack
O Aircrack é uma das ferramentas úteis necessárias para verificar a vulnerabilidade e tornar a sua rede Wi-Fi segura. Esta ferramenta é alimentada por chaves de criptografia WEP WPA e WPA 2, que resolvem problemas de conexões sem fio vulneráveis.
Características:
- Mais placas / drivers suportados
- Fornece suporte para todos os tipos de sistemas operacionais e plataformas
- Novo ataque WEP: PTW
- Suporte para ataque de dicionário WEP
- Protege você do ataque de fragmentação
- Velocidade de rastreamento aprimorada
Link: https://www.aircrack-ng.org/
13) Comodo HackerProof
O Comodo HackerProof revoluciona a maneira como você testa a segurança do seu site e aplicativo. É um verificador de vulnerabilidade de site da Web que inclui varredura PCI e inspetor de site para verificação de segurança do site.
Características:
- Esta ferramenta de varredura de segurança de sites é construída com a mais recente tecnologia que convida a mais interação, gerando confiança para o site.
- Comodo permite que o usuário apresente credenciais em seu site.
- Este produto de software de scanner de vulnerabilidade de site da Web fornece mais credibilidade do site sem alterar o layout das páginas da web.
- Mais de 100 pessoas estão associadas à marca Comodo.
- Não vulnerável a bloqueadores de pop-up e fornece varredura de segurança na web
- Ele usa a funcionalidade rollover para verificação de segurança do site para informar aos visitantes que o site é confiável.
- O software interrompe os visitantes do seu site para realizar qualquer ação e roubar seus valiosos negócios.
Link: https://www.comodo.com/hackerproof/
14) Microsoft Baseline Security Analyzer (MBSA)
O MBSA (Microsoft Baseline Security Analyzer) fornece um procedimento simplificado para localizar configurações incorretas de segurança comuns e atualizações de segurança ausentes.
Características:
- O MBSA verifica se há pacotes cumulativos de atualizações, atualizações de segurança ausentes e service packs disponíveis no Microsoft Update.
- O download está disponível em vários idiomas, como inglês, alemão, japonês e francês.
- Esta ferramenta inclui uma interface de linha de comando e interface gráfica do usuário que executa uma varredura local ou remota de sistemas Microsoft Windows.
- Faz a varredura do sistema de computador do agente e informa sobre patches de segurança ausentes.
- Coloca os binários MBSA necessários em todos os agentes MOM.
15) Nikto
O scanner de vulnerabilidade da web Nikto analisa servidores da web para mais de 6700 programas potencialmente perigosos. Esta ferramenta de varredura de segurança de sites verifica os itens de configuração do servidor, como opções do servidor HTTP, a presença de vários arquivos de índice e tentará identificar os servidores da Web e software instalados.
Características:
- Suporte completo de proxy HTTP para verificação de segurança de sites
- Esta ferramenta de varredura de vulnerabilidade da web encontra automaticamente componentes de servidor desatualizados.
- Salve relatórios em HTML, texto simples, CSV, XML ou NBE.
- Possui um mecanismo de modelo para fácil personalização de relatórios para verificação de segurança do site.
- Faça a varredura de vários servidores ou portas em um servidor.
- Autenticação de host com Basic e NTLM para varredura de segurança na web.
- A suposição de autorização lida com qualquer diretório.
Link: https://cirt.net/Nikto2
16) Comunidade Nexpose
Nexpose é um software de gerenciamento de vulnerabilidade útil. Com essa ferramenta, você pode monitorar a exposição em tempo real e se adaptar a novas ameaças com dados atualizados.
Características:
- Obtenha uma visão do risco em tempo real.
- Traz soluções inovadoras e progressivas que ajudam o usuário a realizar seu trabalho.
- Saiba onde focar.
- Traga mais para o seu programa de segurança
- Forneça ao departamento de TI os detalhes necessários para corrigir quaisquer problemas.
Link: https://www.rapid7.com/products/nexpose/
Perguntas frequentes
⚡ O que é vulnerabilidade?
Uma vulnerabilidade é um termo de segurança cibernética que descreve a fraqueza no projeto, processo, implementação ou qualquer controle interno de segurança do sistema que pode resultar na violação da política de segurança do sistema. Em outras palavras, a chance de invasores (hackers) obterem acesso não autorizado.
? O que é avaliação de vulnerabilidade?
A avaliação de vulnerabilidade é um tipo de teste de software executado para avaliar os riscos de segurança no sistema de software a fim de reduzir a probabilidade de uma ameaça.
✔️ Qual a importância da Avaliação de Vulnerabilidade na empresa?
- Avaliação de vulnerabilidade e teste de penetração (VAPT) ajuda a detectar exposições de segurança antes que os invasores as encontrem.
- Você pode criar um inventário de dispositivos de rede, incluindo informações do sistema e finalidade.
- Ele define o nível de risco existente na rede.
- Estabeleça uma curva de benefícios e otimize os investimentos em segurança.