Examen du scanner de vulnérabilités Nessus
La société d’études de marché sur l’impact technologique Forrester a évalué les performances de Tenable Scanner de vulnérabilité Nessus en tant que premier gestionnaire de risques de vulnérabilité au monde. C'est le titre du Rapport Forrester Wave sur la gestion des risques liés aux vulnérabilités pour le quatrième trimestre 2019 . Une enquête réalisée par Insiders de la cybersécurité découvert que Nessus étaitle scanner de vulnérabilités d'applications le plus largement déployé au monde. Il a été installé plus de 2 millions de fois et protège actuellement 27 000 entreprises dans le monde. Il aplus de 57 000 vulnérabilités et expositions communes (CVE)dans son dictionnaire et présente le taux de faux positifs le plus bas du secteur.
Avec toutes ces statistiques impressionnantes à son actif, vous vous demandez probablement pourquoi vous n’avez jamais entendu parler du Nessus Vulnerability Scanner.
Tout sur le scanner de vulnérabilités Nessus
Nessus vérifie à la fois le matériel et les logiciels pour détecter les vulnérabilités connues. Il surveille les processus en cours pour détecter tout comportement anormal et surveille également les modèles de trafic réseau. Nessus est une sorte de système pare-feu/antivirus, mais pas tout à fait. Bien qu’il comporte des procédures de remédiation, sa section de solutions n’est pas aussi complète que le serait un système de protection de point final typique.
Tenable, Inc. a démarré ses activités en 2002, mais Nessus est bien plus ancienne que cela. Comment un produit peut-il être plus ancien que l’entreprise qui l’a développé ? Le système Nessus a été développé par un individu, Renaud Deraison, et lancé pour la première fois en 1998. À l'époque, Deraison avait 17 ans. Il a lancé Nessus en tant que projet open source et a dirigé le développement communautaire du logiciel à temps partiel tout en poursuivant une carrière en informatique pendant la journée.
De manière controversée, Deraison a crééSécurité du réseau Tenablegérer la possibilité commerciale du logiciel Nessus. Bien que le projet de développement ait été mené par la communauté, Deraison détenait les droits d'auteur du logiciel. Lorsque Nessus 3 est sorti, le projet open source a été fermé, faisant entrer Nessus pleinement dans le secteur en tant que système propriétaire. Les versions antérieures sont toujours disponibles sous licences GNU General Public.
La disponibilité du code source de Nessus 2 a conduit à la création de forks, fournissant des rivaux au système Nessus. Mais avec Nessus, Deraison invente le concept de « scanner de vulnérabilités à distance ». Il est passé du statut de seul scanner de vulnérabilités au monde à celui de premier scanner de vulnérabilités. Le passage à la propriété exclusive a empêché Nessus d'être complètement évincé par des copies réétiquetées de son propre code.
Tenable est détendu quant à l'existence continue du code Nessus 2 et à la présence de quasi-copies sur le marché. Sous le système de licence GNU, ces copies ne peuvent pas être vendues commercialement, mais seulement données. En investissant dans le développement privé de Nessus, Tenable s'est assuré de garder une longueur d'avance sur ses concurrents, qu'ils soient gratuits ou payants.
Nessus 3 constitue une avancée considérable par rapport aux versions précédentes et les amateurs qui ont produit des forks du code n'ont pas les ressources nécessaires pour rivaliser pleinement avec Tenable.
Histoire tenable
Tenable a été créé en 2002, mais n'a proposé une version payante de Nessus qu'en 2005. La décision de mettre un habillage commercial sur un produit open source gratuit n'est pas inhabituelle. De nombreux projets open source proposent une alternative payante.
La logique commerciale derrière la création d’une version payante d’un logiciel libre est que la plupart des projets open source n’attirent pas les utilisateurs professionnels. Les entreprises ne se soucient pas du prix des logiciels : il s’agit simplement d’une dépense qui peut être déduite des impôts.
Le principal besoin des entreprises lorsqu’elles envisagent d’acquérir un logiciel est qu’il soit fiable et pris en charge. C’est là que la structure tarifaire d’un service commercial ajouté à un logiciel open source l’emporte.
En créant un fournisseur de services de recharge qui est le propriétaire définitif de Nessus, Deraison a assuré l'adoption du Nessus Vulnerability Scanner par la communauté des affaires. Le logiciel est peut-être gratuit, mais les entreprises n’y toucheront pas à moins qu’il ne soit entièrement pris en charge. Proposer un package de support rend Nessus attractif.
Il y avait donc une bonne source de revenus qui attendait d'être récupérée sans renoncer à l'engagement de garder Nessus libre. La prochaine étape logique sur le chemin de la commercialisation était d’investir dans une équipe de développement à temps plein. Les développeurs communautaires sont très doués pour produire des logiciels pour leur propre usage, mais ils sont aveugles à ses défauts et peu disposés à le réviser face aux demandes des utilisateurs professionnels.
Les logiciels, même s’ils sont gratuits, peuvent rapidement devenir dangereux à utiliser, car les exploits découverts par les pirates ne sont pas arrêtés lors du développement et des tests. L’absence de budget de développement aurait empêché Deraison de bloquer les exploits, ce qui en ferait ironiquement un scanner de vulnérabilités doté de vulnérabilités.
Tenable honore l'esprit de ses origines open source en proposant une version gratuite. Ceux qui appréciaient d’avoir un Nessus gratuit sans assistance professionnelle l’ont toujours. Les grandes entreprises qui sont prêtes à payer pour la qualité en ont désormais la possibilité.
Nessus gratuit et payant
L'histoire de Nessus et l'existence d'une version gratuite expliquent pourquoi le logiciel connaît un tel succès sans avoir beaucoup de visibilité. Ses 2 millions de téléchargements sont en grande partie dus à sa longévité et à sa version gratuite. Regardez les chiffres : deux millions de téléchargements, mais seulement 27 000 entreprises l'utilisent.
L’avantage de tous ces utilisateurs gratuits est que le logiciel a été entièrement testé dans des situations réelles. Ceci explique son taux de réussite très élevé en termes de précision. Ainsi, la version gratuite permet de tester le système et crée également une familiarité. Il s'agit d'un outil accessible aux étudiants sans le sou en technologie des réseaux. Lorsqu’ils obtiennent leur diplôme et entrent sur le marché du travail, ils transmettent leur connaissance de la marque Nessus aux entreprises qui les embauchent. Vous ne verrez pas le nom Nessus sur les panneaux d'affichage car Tenable n'a pas besoin d'un budget marketing : votre stagiaire vous en parlera, le téléchargera et le configurera pour vous.
Les trois versions du Nessus Vulnerability Scanner sont :
- Les essentiels de Nessus
- Professionnel Nessus
- tenable.io
En savoir plus sur chaque option ci-dessous.
Les essentiels de Nessus
Les essentiels de Nessusest leversion gratuitedu scanner. Ses analyses sont limitées à 16 adresses IP et l'outil est destiné aux étudiants en technologie réseau. Le site Internet de Tenable met à disposition des fiches de formation pour les nouveaux utilisateurs du système. Ainsi, même si vous êtes un utilisateur professionnel qui a l'intention d'opter pour la version payante, vous pouvez commencer avec Essentials pour vous assurer que vous comprenez le système avant de le recommander à votre patron. Tenable ne limite pas la distribution de Nessus Essentials à un usage domestique : vous pouvez l'utiliser à des fins professionnelles.
Il existe également un forum d'utilisateurs Nessus où vous pouvez obtenir des conseils d'autres utilisateurs. Nessus peut être étendu par des plug-ins. La plupart d'entre eux sont payants, mais vous pouvez vous procurer des plug-ins gratuits auprès de la communauté.
Professionnel Nessus
Professionnel Nessusest la version sur site des deux versions payantes du scanner de vulnérabilités. Cette offre vous offre une assistance complète, mais le logiciel que vous utilisez est le même que les versions gratuites mais sans la limite d'espace de 16 adresses IP.
Vous devez accéder à l'une des versions payantes pour obtenircontrôles de conformité pour PCI,CEI,FDCC, etNIST et audits de contenu. Nessus Professional vous donne des résultats en direct dans le tableau de bord et les analyses du système peuvent être planifiées et exécutées à plusieurs reprises. Vous avez le choix d'accéder aux forums de la communauté pour obtenir de l'aide ou d'envoyer des demandes d'assistance au service d'assistance de Tenable par e-mail.
Nessus Professional est facturé par abonnement. Cependant, il s’agit de frais annuels et il n’existe pas de plan de paiement mensuel. Vous pouvez acheter un abonnement pluriannuel pour bénéficier de tarifs réduits. La licence est disponible sur un abonnement de 1, 2 ou 3 ans. Chaque période est disponible avec un plan de support standard ou avancé. Les options avancées vous permettent de contacter les techniciens d'assistance via le chat en direct et par téléphone. Vous pouvez obtenir un Essai gratuit de 7 jours de Nessus Professional .
tenable.io
Il s'agit de la version cloud deNessusPro. Il est uniquement fourni avec le package de support avancé et sa structure de facturation est un peu différente de la version sur site. Nessus Professional au même prix, quel que soit le nombre de nœuds que vous souhaitez analyser sur votre réseau. Tenable.io commence avec un prix de base pour 65 nœuds, mais le prix augmente avec le nombre de nœuds dont vous disposez au-dessus de ce chiffre.
Configuration requise pour Nessus
Nessus Essential et Nessus Pro fonctionnent sous Windows, Windows Server, Mac OS, Free BSD Unix, Debian, SUSE, Ubuntu, RHEL, Fedora et Amazon Linux. La version Windows fonctionnera sur les systèmes 32 bits et 64 bits.
Les utilisateurs sur site ont le choix entre plusieurs versions, la dernière étant la 8.7.2.
Avantages:
- Offre un outil gratuit d’évaluation des vulnérabilités
- Interface simple et facile à apprendre
- Peu de configuration nécessaire, plus de 450 modèles prenant en charge une gamme d'appareils et de types de réseaux
- Comprend la priorisation des vulnérabilités
Les inconvénients:
- Offre des outils et des options de remédiation limités
- Pourrait bénéficier de davantage d'intégrations dans d'autres plateformes SIEM
Concurrents et alternatives de Nessus Vulnerability Scanner
Nessus se trouve dans une position particulière car elle occupe une niche de marché qu’elle a elle-même inventée. Les scanners de vulnérabilités font essentiellement partie du marché de la cybersécurité. Les véritables concurrents de ces logiciels ne sont donc pas seulement des systèmes qui s’identifient directement comme des scanners de vulnérabilités. Par exemple, la plupart des systèmes audiovisuels modernes de nouvelle génération incluent une évaluation des risques de vulnérabilité et sont donc considérés comme des concurrents de Nessus.
Si vous ne savez pas si Nessus répond à vos besoins, consultez les offres de démonstration et d'essai parmi les suivantes :
- Invincible (DÉMO GRATUITE) Ce scanner de vulnérabilités basé sur le cloud est spécialisé dans l'analyse des applications Web et constitue un bon choix pour l'automatisation des tests de pipeline CI/CD. Peut être téléchargé pour une installation sur Windows et Windows Server.
- Acunetix (DÉMO GRATUITE) Ce scanner de vulnérabilités est proposé en trois versions adaptées à l'analyse à la demande, aux analyses planifiées, aux analyses d'applications Web, à l'analyse réseau et à la vérification des modules DevOps. Disponible sous forme de package SaaS hébergé ou pour installation sur Windows, macOS ou Linux.
- ManageEngine Vulnerability Manager Plus (ESSAI GRATUIT) Un scanner de vulnérabilités pour les systèmes d'exploitation, les logiciels et les sites Web. S'installe sur Windows et Windows Server.
- Gestion des vulnérabilités SecPod SanerNow (ESSAI GRATUIT)Ce scanner de vulnérabilités dispose d'un gestionnaire de correctifs lié qui crée une automatisation du flux de travail pour maintenir vos systèmes à jour et sécurisés. Il s'agit d'une plateforme SaaS.
- Faucon de frappe de foule un système de protection des points de terminaison basé sur l'IA et basé sur le cloud qui comprend une évaluation des vulnérabilités.
- OuvrirVAS Le fork leader de Nessus, qui est toujours gratuit et illimité.
- Métasploit Un vérificateur de vulnérabilité du système open source en versions gratuites et payantes.
- Intrus Un scanner de vulnérabilités et un service de sécurité pour les systèmes connectés à Internet.
- Probablement Un scanner de vulnérabilités basé sur le cloud pour les sites Web.
Bien que Nessus soit excellent pour repérer les vulnérabilités, il n’est pas très doué pour les colmater. Il existe sur le marché d’autres outils plus complets qui représentent de sérieux défis à la domination de Nessus sur son marché de niche.
Notre méthodologie pour sélectionner une alternative à Nessus Vulnerability Scanner
Nous avons examiné le marché des scanners de vulnérabilités comme Nessus et analysé les outils en fonction des critères suivants :
- Options d'analyse automatisée ou à la demande
- Outils de tests continus pouvant être utilisés pour le développement
- Gestionnaires de vulnérabilités liés à ou incluant la gestion des correctifs
- Un lien vers une base de données mondiale de renseignement
- Options d'audit de conformité
- Un essai gratuit ou un service de démonstration qui vous permet de tester l'outil avant de vous engager à acheter
- Rapport qualité-prix grâce à un outil complet et fiable proposé à un prix raisonnable
En gardant ces critères de sélection à l'esprit, nous avons identifié des systèmes d'analyse des vulnérabilités qui correspondent ou dépassent les fonctionnalités offertes par Nessus.
Invincible (ACCÈS DÉMO GRATUIT)
Ce scanner de vulnérabilités est un outil spécialisé pour les évaluations de vulnérabilités Web. Invincible analysera les sites Web à la recherche de vulnérabilités connues et pourra également examiner les modules qui se cachent derrière les API. Ce système est largement utilisé pour un environnement de test continu dans DevOps Pipelines CI/CD . Il est également disponible en tant qu'outil d'analyse des vulnérabilités à la demande. Le système Invicti est accessible en tant que service SaaS et il existe également une option pour l'installer en tant que progiciel pour Windows et Windows Server. Vous pouvez découvrir Invicti en accédant à son système de démonstration.
Avantages:
- Comprend un tableau de bord d'administration très intuitif et perspicace
- Prend en charge toutes les applications Web, services Web ou API, quel que soit le framework
- Fournit des rapports rationalisés avec les vulnérabilités et les étapes de remédiation hiérarchisées
- Élimine les faux positifs en exploitant en toute sécurité les vulnérabilités via des méthodes en lecture seule
- S'intègre facilement aux opérations de développement, fournissant un retour rapide pour éviter de futurs bugs
Les inconvénients:
- J'aimerais voir un essai plutôt qu'une démo
Démo GRATUITE d'accès invincible
Acunetix (ACCÈS DÉMO GRATUIT)
Acunetix peut être utilisé dans un large éventail de scénarios car il est présenté en trois éditions, chacune étant adaptée à des objectifs différents. Les trois versions effectuent une analyse des vulnérabilités pour une liste de 7 000 faiblesses, dont le Top 10 OWASP. édition standard propose uniquement une analyse des vulnérabilités à la demande et constitue un bon choix pour les testeurs d’intrusion. Le Édition Premium est utile pour renforcer la sécurité du système car il effectue également une analyse des vulnérabilités du réseau, avec une liste de 50 000 faiblesses connues. Le Edition pour entreprise est un bon choix pour les tests continus dans les scénarios DevOps. Cet outil est disponible sous forme de plate-forme SaaS et peut également être installé sur vos propres hôtes exécutant Windows, macOS ou Linux. Découvrez-le en accédant au système de démonstration Acunetix.
Avantages:
- Conçu spécifiquement pour la sécurité des applications
- S'intègre à un grand nombre d'autres outils tels que OpenVAS
- Peut détecter et alerter lorsque des erreurs de configuration sont découvertes
- Tire parti de l'automatisation pour arrêter immédiatement les menaces et faire remonter les problèmes en fonction de leur gravité.
Les inconvénients:
- J'aimerais voir une version d'essai pour tester
Acunetix Accédez à la démo GRATUITE
ManageEngine Vulnerability Manager Plus (ESSAI GRATUIT)
Un scanner de vulnérabilités fourni avec des outils qui automatiseront les étapes nécessaires pour éliminer les faiblesses identifiées par le scanner. Il est capable d'examiner les appareils sur site et les logiciels qu'ils exécutent ainsi que les services qui contribuent au fonctionnement et à la distribution des sites Web. Comme Nessus, Vulnerability Manager Plus dispose d'un Gratuit édition. Bien qu’il s’agisse d’une version restreinte du package qui ne gérera que jusqu’à 25 appareils. Les deux versions payantes, professionnelle et entreprise, peuvent être testées gratuitement pendant 30 jours.
Avantages:
- Idéal pour une analyse continue et des correctifs tout au long du cycle de vie de n'importe quel appareil
- Des rapports robustes peuvent aider à montrer les améliorations après la correction
- Flexible – peut fonctionner sous Windows, Linux et Mac
- Les renseignements sur les menaces back-end sont constamment mis à jour avec les dernières menaces et vulnérabilités
- Prend en charge une version gratuite, idéale pour les petites entreprises
Les inconvénients:
- L'écosystème ManageEngine est très détaillé, mieux adapté aux environnements d'entreprise
ManageEngine Vulnerability Manager Plus Téléchargez un essai GRATUIT de 30 jours
Gestionnaire de vulnérabilités SecPod SanerNow (ESSAI GRATUIT)
SanerNow est une plateforme SaaS qui regroupe des outils de sécurité et de gestion des actifs informatiques. Le package comprend un Asset Manager, un Vulnerability Manager, un Patch Manager, un système Endpoint Detection and Response et un Compliance Manager. Ce groupe de fonctions localise tout votre matériel et crée un inventaire des actifs. Il analyse ensuite chaque appareil et dresse un inventaire des logiciels.
Le Vulnerability Manager du bundle SanerNow analyse en externe et depuis l'intérieur du réseau. Il est capable de repérer les faiblesses de configuration et les systèmes obsolètes. Toutes les exigences en matière de correctifs sont transmises au gestionnaire de correctifs automatisé, qui déploie les mises à jour sur tous les systèmes obsolètes. SecPod propose un essai gratuit de 30 jours de la plateforme SanerNow.
Avantages:
- Offre des fonctionnalités de sécurité via un produit SaaS, ce qui le rend plus facile à déployer que les solutions sur site
- Prise en charge multiplateforme pour Windows, Mac et Linux
- Peut automatiser le suivi des actifs, idéal pour les MSP qui facturent par appareil
- Les options ITAM proposées en font une solution de sécurité hybride pour la gestion de la sécurité
Les inconvénients:
- Mieux adapté aux MSP et aux réseaux plus grands
SecPod SanerNow Vulnerability Manager Démarrez un essai GRATUIT de 30 jours
Faucon de frappe de foule
Un exemple d'un système plus complet qui englobe les fonctionnalités de Nessus est Faucon de frappe de foule . Ce système en ligne rassemble les données de vulnérabilité et d'attaque afin de savoir quelle faiblesse rechercher lors de l'analyse d'un système. Il couvre à la fois les vulnérabilités matérielles et logicielles et comprend des procédures de remédiation très complètes qui dépassent de loin les capacités de Nessus. Bien qu'il n'existe pas de version gratuite de Falcon, Crowdstrike la propose sur un Essai gratuit de 15 jours .
Avantages:
- Ne s'appuie pas uniquement sur les fichiers journaux pour détecter les menaces, utilise l'analyse des processus pour détecter immédiatement les menaces.
- Combine HIDS, protection des points finaux et analyse des vulnérabilités sur une seule plateforme
- Peut suivre et alerter un comportement anormal au fil du temps, s'améliore plus il surveille le réseau
- Peut être installé sur site ou directement dans une architecture basée sur le cloud
- Les agents légers ne ralentiront pas les serveurs ou les appareils des utilisateurs finaux
Les inconvénients:
- Bénéficierait d’une période d’essai plus longue de 30 jours
OuvrirVAS
OuvrirVAS est un concurrent très proche de Nessus et est resté fidèle à ses origines. Fork du code Nessus original, il est resté gratuit et open source. OpenVAS évite les pièges de la plupart des projets open source car il est contrôlé et géré professionnellement par Logiciels d'intérêt public . L'engagement de cette organisation à but non lucratif évite la stagnation des efforts de développement de logiciels pour OpenVAS.
Avantages:
- Outil transparent open source
- A une grande communauté dévouée
- Complètement libre
Les inconvénients:
- Aucune option d'assistance payante
- Les entreprises auront probablement besoin de personnel expérimenté pour extraire pleinement la valeur de la plateforme.
- A une courbe d'apprentissage abrupte par rapport aux outils similaires
Métasploit
Métasploit est un autre projet open source qui est devenu commercial lorsqu'il a été repris parRapide7. Il s’agit d’un outil de test d’intrusion très populaire et largement utilisé dans le secteur de la cybersécurité. Comme Nessus, il est resté fidèle à ses racines en conservant une version gratuite soutenue par la communauté. En fait, il existe deux versions gratuites : Édition Metasploit Framework , qui est un utilitaire de ligne de commande fourni avec Zenmap, et Metasploit Community Edition, qui possède une interface Web décente, calquée sur la version payante mais avec des capacités limitées. Rapid7 produit deux versions payantes du système, appelées Metasploit Express et Metasploit Pro.
Avantages:
- L'un des frameworks de sécurité les plus populaires utilisés aujourd'hui
- Possède plus des plus grandes communautés – idéal pour un support continu et des ajouts à jour
- Disponible pour un usage gratuit et commercial
- Hautement personnalisable avec de nombreuses applications open source
Les inconvénients:
- Metasploit s'adresse à des utilisateurs plus techniques, ce qui augmente la courbe d'apprentissage pour les débutants dans le domaine de la sécurité.
Intrus
Intrus et Probablement se concentrent sur la protection des sites Web et autres réseaux accessibles sur Internet. Intruder est salué pour sa facilité d’utilisation et son excellente exposition aux vulnérabilités. Il est basé sur le cloud et ne nécessite aucune configuration. L'analyse fonctionne en continu, produisant des commentaires en direct dans la console en ligne et proposant une analyse des données historiques. Les graphiques affichés dans le tableau de bord sont simples, élégants et attrayants. Il existe trois plans de service pour Intruder et aucun d’entre eux n’est gratuit. Cependant, vous pouvez obtenir un essai gratuit de 30 jours .
Avantages:
- Peut effectuer automatiquement des analyses de vulnérabilité planifiées
- Peut analyser tous les nouveaux appareils à la recherche de vulnérabilités et de correctifs recommandés pour les machines obsolètes
- Excellente interface utilisateur – excellente pour les informations de haut niveau et les ventilations détaillées
- Propose des tests d'intrusion à commande humaine en tant que service
Les inconvénients:
- Est une plate-forme de sécurité avancée dont l'exploration complète peut prendre du temps
- Pas de niveau gratuit
Probablement
Probely est un autre scanner de vulnérabilités basé sur le cloud spécifiquement destiné à évaluer les services Web. Ce service d'abonnement basé sur le cloud propose quatre plans de service, dont une version gratuite. Vous pouvez également obtenir un essai gratuit de 14 jours .
Avantages:
- Excellente interface et tableau de bord
- Indicateurs clés faciles à comprendre à un niveau élevé
- S'intègre aux systèmes CMS comme WordPress
Les inconvénients:
- Est plus convivial, les professionnels de la sécurité peuvent souhaiter plus de fonctionnalités et d'options de personnalisation
- Pourrait bénéficier d’une période d’essai plus longue
Bien que Nessus soit le scanner de vulnérabilités d'origine, ce n'est pas le seul disponible. Découvrez les rivaux et décidez lequel vous convient le mieux.
FAQ sur le scanner de vulnérabilités Nessus
Qu'est-ce qu'une analyse de vulnérabilité Nessus ?
Nessus est le scanner de vulnérabilités le plus utilisé au monde. Il recherche plus de 57 000 failles de sécurité possibles d'un point de vue externe. Ces faiblesses sont appelées « exploits » et peuvent permettre aux pirates informatiques de pénétrer dans un système.
Nessus est-il toujours libre ?
Il existe une édition gratuite de Nessus, appelée Nessus Essentials. Ceci est limité à l’analyse de 16 adresses IP.
Pourquoi Nessus est-il le meilleur scanner de vulnérabilités ?
Nessus est le scanner de vulnérabilités original et, bien qu'il ait été beaucoup cloné et copié, il reste le premier scanner de vulnérabilités au monde avec plus de deux millions d'utilisateurs. Cependant, l’une des principales raisons de sa vaste base d’utilisateurs est probablement qu’une version gratuite est toujours disponible.