オープンソース脆弱性スキャナーは、攻撃者に悪用される前にセキュリティの弱点を特定するための費用効果的な方法を提供します。透明性のあるコードベースと活発なセキュリティコミュニティに支えられ、これらのツールは専門家から広く信頼され、実際の使用を通じて継続的に改善されています。
多くの商用ソリューションとは異なり、オープンソーススキャナーは特定の環境、ワークフロー、セキュリティ要件に合わせてカスタマイズでき、セキュリティスタックをより強く制御したい組織にとって柔軟なオプションです。
デバイス、ウェブアプリケーション、特殊用途に対応した、最も信頼できるオープンソーススキャナー6つを紹介します。
- Nmap: デバイススキャナー全体で最高
- OpenVAS: ユーザーエクスペリエンス向けの最高のデバイススキャナー
- ZAP: ウェブおよびアプリスキャナー全体で最高
- OSV-Scanner: ライブラリ依存関係向けの最高のウェブおよびアプリスキャナー
- CloudSploit: クラウドおよびコンテナ向けの最高の特殊スキャナー
- sqlmap: データベース向けの最高の特殊スキャナー
トップのオープンソース脆弱性スキャナーソフトウェア比較
以下の表は、トップ6つのツールを簡潔に比較し、リスト内の他の脆弱性スキャンツール(vulnscanners)との全体的な評価、スキャンされるアセットの種類、およびツールの有料サポートまたは商用版の利用可能性を提供します。
| 全体評価 | デバイススキャン | ウェブサイト&アプリケーションスキャン | 特殊 | 有料サポートオプション | |
|---|---|---|---|---|---|
| Nmap | 4.4 | ✔️ | ❌ | ポートスキャン | ❌ |
| OpenVAS | 4.3 | ✔️ | ❌ | ❌ | ✔️ |
| ZAP | 4.6 | ❌ | ✔️ | ❌ | ✔️ |
| OSV-Scanner | 4.0 | ❌ | ✔️ | ライブラリ依存関係 | ❌ |
| CloudSploit | 3.9 | クラウドおよびコンテナのみ | ❌ | クラウドおよびコンテナ | ❌ |
| sqlmap | 3.8 | ❌ | データベースのみ | データベース | ❌ |
単一のスケールを使用してすべてのオープンソース脆弱性スキャナーを評価しましたが、これらは同じように使用することはできません。たとえば、最高のデバイススキャンツールであるNmapは、アプリケーションスキャンのみを実行でき、最高のウェブおよびアプリスキャンツールであるZAPはデバイスのスキャンができません。
各ツールの詳細なレビューを確認して詳細なコンテキストを取得し、以下の評価方法を読んでください。
コアスキャン機能 4.2/5
Nmapは、スキャンできるデバイスの膨大な数のおかげで、コアスキャン機能で最も高いスコアを獲得し、デバイススキャナー全体で最高です。このリストは、従来のネットワークセキュリティポートスキャンをはるかに超え、クラウドインフラストラクチャ、モノのインターネット(IoT)、さらには特定のウェブサイトアプリケーションまでを含みます。ハッカーもこのツールを頻繁に使用するため、セキュリティプロは商用ツールをすでに所有していても、ハッカーの視点を確保するためにNmapを使用することが多いです。
メリット
- ネットワークのホスト検出を実行します
- オペレーティングシステムを決定または予測できます
- ほとんどのLinuxディストリビューションに含まれています
デメリット
- 正式なカスタマーサポートオプションなし
- 最高の結果には経験またはプログラミングが必要です
- すべてのオプションはGUIバージョンでは利用できません
コアスキャン機能 4.1/5
OpenVASはユーザーサポートで最初に配置され、主に効果的なグラフィカルユーザーインターフェイス(GUI)と有料カスタマーサポートのオプションのおかげです。また、業界ユーザーの大規模なコミュニティ、サイバーセキュリティ認定トレーニングへの包含、および組み込みコンプライアンスレポートも享受しています。Greenbroneは強力な脅威フィードを維持し、元々Nessusからフォークされたツールのスキャン機能を維持しており、現在はTenableによる閉じた商用製品です。
メリット
- Webベースの管理コンソール
- クラウドホストスキャナーとしても利用可能
- Greenbroneによってアクティブに保守されています
デメリット
- 初心者には圧倒的な場合があります
- 多くの同時スキャンはプログラムをクラッシュさせることができます
- 高度なスキャンにはプレミアムバージョンが必要です
コアスキャン機能 3.9/5
Zed Attack Proxy(ZAP)はすべてのオープンソース脆弱性スキャナーの中で最も高い総合スコアを獲得し、テストされたツールの中で最も高く評価されたオープンソース値と使いやすさを提供します。Kali Linuxにプリインストールされているため、ZAPはテスターのブラウザとウェブアプリケーションの間に配置され、リクエストをインターセプトして「プロキシ」として機能します。これは、コンテンツを変更し、パケットを転送し、他のユーザー動作シミュレーションを包括的かつ堅牢に実行することによってアプリケーションをテストします。
メリット
- 主要なOSとDockerで利用可能
- GUIとコマンドラインインターフェイスの両方
- 手動および自動探索
デメリット
- 一部の機能には追加プラグインが必要です
- 使用にはある程度の専門知識が必要です
- より多くの偽陽性を生成することができます
コアスキャン機能 3.8/5
OSV-Scannerは、オープンソースプログラミングコード脆弱性の静的ソフトウェアをスキャンする特殊なソフトウェア構成分析(SCA)を提供して、オープンソースソフトウェア部品表(SBOM)を保護します。最初にGoogleによって開発され、追加機能の迅速な開発と含まれる言語の数の増加により、ツールの採用が加速し、業界の評判が向上しました。
メリット
- 凝縮されたプリセットにより、解決時間が短縮されます
- ID번号で脆弱性を無視できます
- Googleによって積極的に開発されています
デメリット
- 単一言語のオープンソースSCAツールより遅れる可能性があります
- オープンソースライブラリの脆弱性のみをレビューします
- 認定教育に含まれるには新しすぎます
コアスキャン機能 3.8/5
AquaはオープンソースのクラウドインフラストラクチャスキャンエンジンCloudSploitを取得して維持しているため、ユーザーは特殊ツールのメリットをダウンロード、変更、享受できます。CloudSploitスキャンはオンデマンドで実行することも、継続的に実行して警告をセキュリティおよびDevOpチームに送信するように構成することもできます。このツールは、既知の脆弱性だけでなく、一般的な設定の誤りについてもクラウドおよびコンテナの展開を調査します。
メリット
- API用のRESTfulインターフェイスを使用します
- 各APIコールは個別に追跡可能です
- オープンソースセキュリティツールのポートフォリオの一部
デメリット
- 有料版でのみ利用可能な機能もあります
- 狭い特殊ツール。他と一緒に使用する必要があります
- パブリッククラウドインフラストラクチャに焦点を当てています
コアスキャン機能 3.8/5
sqlmapツールは、焦点を絞ったが有能なデータベース脆弱性スキャンオプションです。スコープは限定されていますが、データベーステストは、電子商取引、カード支払い、および重いコンプライアンスおよびセキュリティテストを必要とする他の金融サービスの重要な要素です。このツールを使用するにはプログラミングとデータベースの経験が必要ですが、一般的なデータベースの問題をテストするための強力な機能を提供します。
メリット
- 任意のPythonインタープリターで実行できます
- 特定のデータベース名とテーブルを検索します
- 将来のスキャンから偽陽性を除外できます
デメリット
- グラフィカルユーザーインターフェースなしのコマンドラインツール
- 特定の脆弱性に対する非常に特殊なツール
- 効果的に使用するにはデータベースの専門知識が必要です
オープンソース脆弱性スキャナーのトップ5機能
異なるユースケースにもかかわらず、オープンソース脆弱性スキャナーは、特殊なアセットカバレッジ、高品質スキャン、公開コード、アクティブな専門コミュニティ、および継続的に更新される脆弱性データベースというコア特性を共有することが多い。
アセット特化
脆弱性スキャナーは、デバイス、ウェブサイト、アプリケーションなど、アセットの特定のカテゴリーに焦点を当てています。特殊スキャナーでも、これらのより広いカテゴリーの特定のサブセットに焦点を当てる傾向があります。たとえば、sqlmapはアプリケーションのサブカテゴリーの特定のセットテストに焦点を当てています:データベース。
効果的な脆弱性スキャン
効果的な脆弱性スキャナーは、厳密なスキャンを実行し、業界の認識を得るための使用可能なレポートを生成する必要があります。オープンソーススキャナーは無料かもしれませんが、業界プロが継続的に使用するには、スキャン機能も最高水準のままである必要があります。
オープンソースコード
オープンソースツールとして適格になるには、ツールのソースコードを公開して、レビューできる必要があります。このリストを作成するために、更新の頻度とタイプを採点に組み込んだため、更新されなくなったオープンソースツールは除外されました。オープンソースツールは常に無料ではありませんが、これらのトップツールはすべて少なくとも無料バージョンを提供しています。
オープンソースツールは通常、正式な製品サポートを欠き、代わりに幅広い専門家のコミュニティに相互製品サポートを提供することに依存しています。トップツールはまた、サイバーセキュリティ認定に含まれることからメリットを享受し、ツールに関する知識を普及させてユーザーベースを拡張するその他の業界トレーニングです。
脆弱性データベースの更新
効果的なスキャンを提供するために、これらのツールは、継続的に更新された脅威フィードを備えた高品質のデータベースに依存しています。オープンソーススキャナーは、継続的にリフレッシュされるパブリックソースから引き出し、トップオプションは多くの場合、複数のフィードを組み合わせて、既知の問題、設定の誤り、および露出のより強力なライブラリを構築します。
最高のオープンソース脆弱性スキャナーをどのように評価したか
オープンソーススキャナーを4つの主要なカテゴリーで評価し、各カテゴリーに詳細なサブ基準を設定しました。重み付きスコアリングにより、すべてのツールに対して5ポイント評価が生成され、最高の6人がパフォーマーが最終リストを作成しました。その後、各スキャンフォーカス(デバイス、ウェブとアプリ、または特殊なユースケース)にグループ化され、直接比較されました。
評価基準
評価では、最も定期的に更新されたツールを支持するために、オープンソース値を最も高く重み付けしました。コアスキャン機能も多くの重みを受け取ったため、更新と機能はスコアの70%を提供しました。使いやすさとユーザーサポートも考慮して評価しましたが、オープンソースツールのdiy性質のため、はるかに少ない重みがある。
- オープンソース値(40%): コードアップデートの頻度、脆弱性アップデート、アップデートが機能を追加するか修正のみを追加するか、およびスキャンの認識された品質を考慮します。
- 基準優勝者:ZAP
- コアスキャン機能(30%): アセットタイプ、アプリケーション、プログラミング言語、コンテナなど、アセットタイプ全体のスキャン機能を比較します。
- 基準優勝者:Nmap
- 使いやすさ(20%): 必要な技術レベル、脆弱性管理の統合、インストール要件、および偽陽性の予想される率を評価します。
- 基準優勝者:ZAP
- ユーザーサポート(10%): 認定トレーニング、コミュニティフォーラム、および専門的ピアを通じて利用可能なサポートを調査し、レポートと自動化。
- 基準優勝者:OpenVAS
よくある質問
オープンソース脆弱性スキャナーを使用する利点は何ですか?
オープンソース脆弱性スキャナーは通常、無料で、ダウンロードとデプロイが簡単です。また、攻撃者がどのように運用する可能性があるかについての貴重な洞察を提供します。脅威アクターは多くの場合、同じまたは同様のツールを使用しており、防御側はリアルワールドの攻撃手法をより理解するのに役立ちます。
オープンソース脆弱性スキャナーは専有ツールと同じくらい効果的ですか?
オープンソースツールは、多くの商用ソリューションと比較できるコアスキャン機能を提供できます。ただし、独占的なツールは、強化された脆弱性研究、高度な機能、脆弱性管理ツールのより広い統合、および専任のカスタマーサポートが含まれます。
オープンソース脆弱性スキャナーを使用してはいけない人は誰ですか?
時間や技術的専門知識が限られているチームは、オープンソースツールを完全に活用するのに苦労する可能性があります。これらの場合、商用スキャナーまたは脆弱性管理サービス(VMaaS)ソリューションは、より迅速なデプロイ、ガイド付きワークフロー、および継続的なサポートを提供できます。
ペネトレーションテストツールは脆弱性スキャンに使用できますか?
一部のオープンソースペネトレーションテストツール(Wireshark、Metasploit、Aircrack-ngなど)は、脆弱性の特定に役立つことができます。ただし、これらは目的のビルドスキャナーではなく、通常、包括的な脆弱性データベース、自動化されたレポート、およびチケット作成またはリメディエーションワークフローとの統合が不足しています。
要約:スキャンを開始し、安全を保ちます
オープンソース脆弱性スキャナーは、セキュリティギャップが悪用される前に発見して対処するための強力で予算に優しい方法を提供します。単一のツールがすべてのシナリオをカバーしていなくても、環境に適したスキャナーを選択し、パッチング、ペネトレーションテスト、継続的な監視と一緒に使用することで、より強力で回復力のある防御を作成します。
今日の脅威環境では、立ち止まることは遅れをとることを意味します。スキャンを開始するのが早いほど、セキュリティ態勢がより強力になる可能性があります。
セキュリティプロセスをさらに探索して攻撃を防ぐために、脆弱性スキャンとペネトレーションテストの違いについてもっと読んでください。
Matt Gonzalesはこの記事に貢献しました。
翻訳元: https://www.esecurityplanet.com/networks/open-source-vulnerability-scanners/
