Nessus Vulnerability Scanner Review

Forrester, société d’études de marché à impact technologique, a évalué la Scanner de vulnérabilité Nessus comme le premier gestionnaire de risques de vulnérabilité dans le monde. C’est le titre du rapport Forrester Wave Vulnerability Risk Management pour le quatrième trimestre 2023. Une enquête menée par Cybersecurity Insiders a découvert que Nessus était le scanner de vulnérabilité des applications le plus déployé au monde. Il a été installé plus de 2 millions de fois et travaille actuellement à protéger 27 000 entreprises dans le monde. Il a plus de 57 000 vulnérabilités et expositions communes (CVE) dans son dictionnaire et a le plus faible taux de signalements de faux positifs de l’industrie.

Avec toutes ces statistiques impressionnantes à son actif, vous vous demandez probablement pourquoi vous n’avez jamais entendu parler du Nessus Vulnerability Scanner.

Tout sur Nessus Vulnerability Scanner

Nessus vérifie à la fois le matériel et le logiciel pour les vulnérabilités connues. Il surveille les processus en cours pour détecter tout comportement anormal et surveille également les modèles de trafic réseau. Nessus est une sorte de pare-feu / antivirus, mais pas tout à fait. Bien qu’il dispose de procédures de correction, il n’est pas aussi complet dans la section des solutions qu’un système de protection de point final typique le serait..

Tenable, Inc a commencé ses opérations en 2002, mais Nessus est beaucoup plus âgé que cela. Comment un produit peut-il être plus ancien que l’entreprise qui l’a développé? Le système Nessus a été développé par un individu, Renauld Deraison et sorti pour la première fois en 1998. À l’époque, Deraison avait 17 ans. Il a créé Nessus comme un projet open source et a dirigé le développement communautaire du logiciel à temps partiel tout en poursuivant une carrière. en informatique pendant la journée.

Controversé, Deraison a mis en place Tenable Network Security pour gérer la possibilité commerciale du logiciel Nessus. Bien que le projet de développement soit mené par la communauté, Deraison était propriétaire des droits d’auteur du logiciel. Lorsque Nessus 3 a été publié, le projet open-source a été fermé, ce qui a permis à Nessus de s’intégrer pleinement dans l’entreprise en tant que système propriétaire. Les versions antérieures sont toujours disponibles sous les licences GNU General Public.

La disponibilité du code source de Nessus 2 a conduit à la création de fourches, fournissant des rivaux au système Nessus. Cependant, avec Nessus, Deraison a inventé le concept de «scanners de vulnérabilité à distance». Il est passé du seul scanner de vulnérabilité au monde au premier scanner de vulnérabilité. Le passage à la propriété exclusive a empêché Nessus d’être complètement évincé par des copies ré-étiquetées de son propre code.

Tenable est détendu quant à la persistance du code Nessus 2 et à la présence de quasi-copies sur le marché. Dans le cadre du système de licence GNU, ces copies ne peuvent pas être vendues dans le commerce, mais uniquement données. En investissant dans le développement privé de Nessus, Tenable a veillé à garder une longueur d’avance sur ses concurrents, gratuits et payants..

Nessus 3 est une avancée considérable par rapport aux versions précédentes et les amateurs qui ont produit des fourchettes du code n’ont pas les ressources pour rivaliser pleinement avec Tenable.

Histoire tenable

Tenable a été créé en 2002 mais n’a pas proposé de version payante de Nessus avant 2005. Il n’est pas inhabituel de mettre un skin commercial sur un produit open source gratuit. De nombreux projets open source ont une alternative payante.

La logique commerciale derrière la création d’une version payante de logiciel gratuit est que la plupart des projets open source n’attirent pas les utilisateurs d’entreprise. Les entreprises ne se soucient pas du prix des logiciels – ce ne sont que des dépenses et peuvent être amorties.

Le principal besoin des entreprises lorsqu’elles envisagent l’acquisition d’un logiciel est qu’il doit être fiable et pris en charge. C’est là que la structure de tarification d’un service commercial ajouté à un logiciel open source gagne.

En créant un fournisseur de services de facturation qui est le propriétaire définitif de Nessus, Deraison a assuré l’adoption du Nessus Vulnerability Scanner par le monde des affaires. Le logiciel est peut-être gratuit, mais les entreprises n’y toucheront que s’il est entièrement pris en charge. Offrir un package de support rend Nessus attrayant.

Il y avait donc un bon salarié qui attendait d’être récupéré sans retirer l’engagement de garder Nessus libre. La prochaine étape logique sur la voie de la commercialisation a été d’investir dans une équipe de développement à temps plein. Les développeurs de communauté sont très bons pour produire des logiciels pour leur propre usage, mais ils sont aveugles à ses défauts et ne veulent pas les réviser face aux demandes des utilisateurs professionnels.

Les logiciels, même s’ils sont gratuits, peuvent bientôt devenir un risque à utiliser car les exploits découverts par les pirates ne sont pas arrêtés par le développement et les tests. L’absence d’un budget de développement aurait laissé Deraison incapable de fermer les exploits, ce qui en ferait ironiquement un scanner de vulnérabilités avec des vulnérabilités.

Tenable honore l’esprit de ses origines open-source en mettant à disposition une version gratuite. Ceux qui ont aimé avoir un Nessus gratuit sans assistance professionnelle l’ont toujours. Les grandes entreprises qui sont prêtes à payer pour la qualité en ont maintenant.

Nessus gratuit et payant

L’histoire de Nessus et l’existence d’une version gratuite expliquent pourquoi le logiciel connaît un tel succès sans avoir beaucoup de visibilité. Ses 2 millions de téléchargements sont largement dus à sa longévité et à sa version gratuite. Regardez les chiffres: deux millions de téléchargements, mais seulement 27 000 entreprises l’utilisent.

L’avantage de tous ces utilisateurs gratuits est que le logiciel a été entièrement testé dans des situations réelles. Cela explique son taux de réussite très élevé en précision. Ainsi, la version gratuite permet de tester le système et crée également une familiarité. Il s’agit d’un outil accessible aux étudiants sans le sou en technologie de réseau. Lorsqu’ils obtiennent leur diplôme et entrent sur le marché du travail, ils mettent leur familiarité avec la marque Nessus au service des entreprises qui les embauchent. Vous ne verrez pas le nom Nessus sur les panneaux d’affichage, car Tenable n’a pas besoin d’un budget marketing – votre stagiaire vous le dira, le téléchargera et le configurera pour vous.

Les trois versions de Nessus Vulnerability Scanner sont:

• Nessus Essentials
• Nessus Professional
• Tenable.io

En savoir plus sur chaque option ci-dessous.

Nessus Essentials

Nessus Essentials est la version gratuite du scanner. Ses analyses sont limitées à 16 adresses IP et l’outil est destiné aux étudiants en technologie de mise en réseau. Le site Web de Tenable met des fiches de formation à la disposition des nouveaux utilisateurs du système. Donc, même si vous êtes un utilisateur professionnel qui a l’intention d’opter pour la version payante, vous pouvez commencer avec Essentials pour vous assurer que vous comprenez le système avant de le recommander à votre patron. Tenable ne restreint pas la distribution de Nessus Essentials pour un usage domestique – il est correct de l’utiliser pour les entreprises.

Il existe également un forum d’utilisateurs Nessus où vous pouvez obtenir des conseils d’autres utilisateurs. Nessus peut être étendu par des plug-ins. La plupart d’entre eux sont payants, mais vous pouvez vous procurer des plug-ins gratuits auprès de la communauté.

Nessus Professional

Nessus Professional est la version locale des deux versions payantes du scanner de vulnérabilité. Cette offre vous offre un support complet, mais le logiciel que vous utilisez est le même que les versions gratuites, mais sans le plafond d’espace d’adresse IP 16.

Vous devez sauter jusqu’à l’une des versions payantes pour obtenir contrôles de conformité pour PCI, CIS, FDCC, et Audits NIST et contenu. Nessus Professional vous donne des résultats en direct dans le tableau de bord et les balayages du système peuvent être planifiés et exécutés à plusieurs reprises. Vous avez le choix d’accéder aux forums de la communauté pour obtenir une assistance ou vous pouvez envoyer des requêtes d’assistance au service d’assistance Tenable par e-mail..

Nessus Professional est facturé par abonnement. Cependant, il s’agit d’une redevance annuelle et il n’y a pas de plan de paiement mensuel. Vous pouvez acheter un abonnement pluriannuel pour bénéficier de tarifs réduits. La licence est disponible sur un abonnement de 1, 2 ou 3 ans. Chaque période est disponible avec un plan de support standard ou avancé. Les options avancées vous permettent de contacter les techniciens de support via le chat en direct et le téléphone. Vous pouvez obtenir un essai gratuit de 7 jours de Nessus Professional.

Tenable.io

Ceci est la version cloud de Nessus Pro. Il est uniquement fourni avec le package de support avancé et sa structure de facturation est légèrement différente de la version sur site. Nessus Professional au même prix quel que soit le nombre de nœuds que vous souhaitez analyser sur votre réseau. Tenable.io commence avec un prix de base pour 65 nœuds mais le prix augmente avec le nombre de nœuds au-dessus.

Nessus: la configuration du système requise

Nessus Essential et Nessus Pro fonctionnent sur Windows, Windows Server, Mac OS, Free BSD Unix, Debian, SUSE, Ubuntu, RHEL, Fedora et Amazon Linux. Malheureusement, la version Windows ne fonctionnera que sur un système 32 bits. Il n’y a pas de version Nessus pour les systèmes 64 bits.

Les utilisateurs locaux ont le choix entre plusieurs versions, la dernière étant la 8.7.2..

Concurrents de Nessus Vulnerability Scanner & alternatives

Nessus est dans une position particulière car elle occupe une niche de marché qu’elle a elle-même inventée. Essentiellement, les scanners de vulnérabilité font partie du marché de la cybersécurité, donc les véritables concurrents de ce logiciel ne sont pas seulement des systèmes qui s’identifient directement comme scanners de vulnérabilité. Par exemple, la plupart des systèmes audiovisuels de nouvelle génération modernes incluent une évaluation des risques de vulnérabilité et sont donc considérés comme des concurrents de Nessus..

Si vous ne savez pas si Nessus répond à vos besoins, consultez les offres d’essai suivantes:

1. Crowdstrike Falcon – un système de protection des points d’extrémité basé sur le cloud basé sur l’IA qui inclut une évaluation de la vulnérabilité.
2. OpenVAS – Le premier fork de Nessus, qui est toujours gratuit et illimité.
3. Metasploit – Un vérificateur de vulnérabilité du système open-source dans les versions gratuites et payantes.
4. Intrus – Un scanner de vulnérabilité et un service de sécurité pour les systèmes connectés à Internet.
5. Probablement – Un scanner de vulnérabilité basé sur le cloud pour les sites Web.

Bien que Nessus soit excellent pour repérer les vulnérabilités, il n’est pas très bon pour les brancher. Il existe d’autres outils plus complets sur le marché qui représentent des défis importants à la domination de Nessus sur son marché de niche.

Crowdstrike Falcon

Un exemple de système plus complet qui englobe les fonctionnalités de Nessus est Crowdstrike Falcon. Ce système en ligne crowdsourdit les données de vulnérabilité et d’attaque afin de savoir quelle faiblesse rechercher lorsqu’il analyse un système. Il couvre à la fois les vulnérabilités matérielles et logicielles et comprend des procédures de correction très complètes qui dépassent de loin les capacités de Nessus. Bien qu’il n’y ait pas de version gratuite de Falcon, Crowdstrike l’offre sur un essai gratuit de 15 jours.

OpenVAS

OpenVAS est un concurrent très proche de Nessus et il est resté fidèle à ses origines. Un fork du code Nessus d’origine, il est resté gratuit et open source. OpenVAS évite les pièges de la plupart des projets open source car il est contrôlé et géré professionnellement par des logiciels dans l’intérêt public. L’engagement de cette organisation à but non lucratif empêche l’effort de développement de logiciels pour OpenVAS de stagner.

Metasploit

Metasploit est un autre projet open source qui est devenu commercial quand il a été repris par Rapid7. Il s’agit d’un outil de test de pénétration très populaire et largement utilisé dans l’industrie de la cybersécurité. Comme Nessus, il est resté fidèle à ses racines en conservant une version gratuite prise en charge par la communauté. En fait, il existe deux versions gratuites: Metasploit Framework Edition, qui est un utilitaire de ligne de commande et fourni avec Zenmap, et Metasploit Community Edition, qui a une interface Web décente, calquée sur la version payante mais avec des capacités limitées. Rapid7 produit deux versions payantes du système, appelées Metasploit Express et Metasploit Pro.

Intrus

Intrus et Probablement se concentrent sur la protection des sites Web et autres réseaux accessibles sur Internet. Intruder est salué pour sa facilité d’utilisation et son excellente exposition aux vulnérabilités. Il est basé sur le cloud et ne nécessite aucune configuration. L’analyse fonctionne en continu, produisant des commentaires en direct dans la console en ligne et offrant une analyse des données historiques. Les graphiques présentés dans le tableau de bord sont simples, élégants et attrayants. Il existe trois plans de service pour Intruder et aucun d’entre eux n’est gratuit. Cependant, vous pouvez obtenir un essai gratuit de 30 jours.

Probablement

Il s’agit probablement d’un autre scanner de vulnérabilité basé sur le cloud qui vise spécifiquement à évaluer les services Web. Ce service d’abonnement basé sur le cloud dispose de quatre plans de service, dont une version gratuite. Vous pouvez également obtenir un essai gratuit de 14 jours.

Bien que Nessus soit le scanner de vulnérabilité d’origine, ce n’est pas le seul disponible. Découvrez les rivaux et décidez lequel vous convient le mieux.