قامت شركة Forrester بتقييم تأثير التكنولوجيا في شركة أبحاث السوق Tenable Nessus الماسح الضوئي الضعف كمدير رئيسي لمخاطر الضعف في العالم. هذا هو العنوان الرئيسي لتقرير إدارة مخاطر عدم حصانة Forrester Wave للربع الرابع 2023. اكتشف استطلاع أجرته Insbers Security Insiders أن Nessus كانت الأكثر انتشارا الماسح الضوئي الضعف التطبيق في العالم. لقد تم تثبيته أكثر من مليوني مرة ويعمل حاليًا على حماية 27000 شركة في جميع أنحاء العالم. لديها أكثر من 57.000 نقطة ضعف وتعرض شائعة (CVE) في قاموسها ولها أدنى معدل الإبلاغ الإيجابي كاذبة في هذه الصناعة.
مع كل هذه الإحصائيات المثيرة للإعجاب تحت حزامه ، ربما تتساءل لماذا لم تسمع عن الماسح الضوئي لضعف Nessus.
كل شيء عن الماسح الضوئي Nessus
يتحقق Nessus من كل من الأجهزة والبرامج بحثًا عن نقاط الضعف المعروفة. إنه يراقب العمليات الجارية للسلوك غير الطبيعي كما يراقب أنماط حركة مرور الشبكة. Nessus هو نوع من جدار الحماية / نظام مكافحة الفيروسات ، ولكن ليس تمامًا. على الرغم من أنه يحتوي على إجراءات علاج ، إلا أنه ليس شاملاً في قسم الحلول مثل نظام حماية نقطة النهاية النموذجية.
بدأت Tenable، Inc عملياتها في عام 2002 ، لكن Nessus أكبر من ذلك بكثير. كيف يمكن أن يكون المنتج أقدم من الشركة التي طورته؟ تم تطوير نظام Nessus من قِبل أحد الأفراد ، Renauld Deraison ، وتم إصداره لأول مرة في عام 1998. في ذلك الوقت ، كان Deraison في السابعة عشر من عمره. وقد أنشأ Nessus كمشروع مفتوح المصدر وقاد عملية التطوير المجتمعي للبرنامج بدوام جزئي أثناء متابعته لمهنة في تكنولوجيا المعلومات خلال النهار.
بشكل مثير للجدل ، أنشأت شركة Deraison برنامج Tenable Network Security لإدارة الإمكانيات التجارية لبرنامج Nessus. على الرغم من أن مشروع التطوير كان مدفوعًا بالمجتمع ، فقد امتلك Deraison حقوق الطبع والنشر للبرنامج. عندما تم إصدار Nessus 3 ، تم إغلاق المشروع مفتوح المصدر ، مع إدخال Nessus بالكامل في العمل كنظام ملكية. لا تزال الإصدارات السابقة متاحة بموجب تراخيص GNU العامة العامة.
أدى توفر الكود المصدري لـ Nessus 2 إلى إنشاء شوكات ، مما يوفر منافسين لنظام Nessus. ومع ذلك ، مع Nessus ، اخترع Deraison مفهوم “الماسحات الضوئية الضعف عن بعد”. لقد انتقل من كونه الماسح الضوئي الوحيد للضعف في العالم إلى الماسح الضوئي للضعف الرئيسي. منع الانتقال إلى ملكية الملكية Nessus من الازدحام التام بنسخ من الكود الخاص بها.
تشعر Tenable بالارتياح حيال استمرار وجود رمز Nessus 2 ووجود نسخ قريبة في السوق. بموجب نظام ترخيص جنو ، لا يمكن بيع تلك النسخ تجاريًا ، بل يتم منحها بعيدًا فقط. من خلال الاستثمار في تطوير Nessus بشكل خاص ، ضمنت Tenable أنها تحافظ على تقدمها في منافسيها ، سواء المجانية أو المدفوعة.
Nessus 3 تقدم كبير للإصدارات السابقة ، ولا يملك الهواة الذين أنتجوا شوكًا من الكود الموارد اللازمة لمنافسة Tenable بشكل كامل.
تاريخ محتمل
تم تشكيل Tenable في عام 2002 ولكن لم يتم إصدار نسخة مدفوعة من Nessus حتى عام 2005. إن الخطوة لوضع بشرة تجارية على منتج مجاني مفتوح المصدر ليست غير عادية. العديد من المشاريع مفتوحة المصدر لديها بديل مدفوع.
المنطق التجاري وراء إنشاء نسخة مدفوعة من البرامج المجانية هو أن معظم المشاريع مفتوحة المصدر لا تجذب مستخدمي الشركات. لا تهتم الشركات بسعر البرنامج – إنه مجرد حساب ويمكن شطبه مقابل الضريبة.
الحاجة الأساسية للشركات عند التفكير في الحصول على البرمجيات هي أنه يجب أن يكون موثوقًا به ومدعومًا. هذا هو المكان الذي تفوز فيه بنية الشحن الخاصة بالخدمة التجارية التي تمت إضافتها إلى جانب البرامج مفتوحة المصدر.
من خلال إنشاء موفر خدمة شحن هو المالك النهائي لـ Nessus ، ضمنت Deraison امتصاص Nessus Vulnerability Scanner من قبل مجتمع الأعمال. قد يكون البرنامج مجانيًا ، لكن الشركات لن تلمسه إلا إذا كان مدعومًا بالكامل. تقديم حزمة دعم يجعل Nessus جذابة.
لذلك ، كان هناك مصدر دخل جيد في انتظار أن يتم التقاطها دون إزالة الالتزام بالحفاظ على Nessus خالية. كانت الخطوة المنطقية التالية على طول الطريق للتسويق هي الاستثمار في فريق تطوير متفرغ. يتمتع مطورو المجتمع ببراعة في إنتاج البرامج لاستخدامهم الخاص ، لكنهم عمياء عن عيوبه ولا يرغبون في إصلاحه في مواجهة الطلبات من مستخدمي الأعمال.
البرمجيات ، رغم أنها مجانية ، يمكن أن تصبح قريبًا خطرًا على الاستخدام لأن المآثر التي اكتشفها المتسللون لا تتوقف عن طريق التطوير والاختبار. إن الافتقار إلى ميزانية تطوير كان من شأنه أن يجعل Deraison غير قادر على إغلاق عمليات الاستغلال ، مما يجعله من المفارقات أنه ماسح للضعف مع نقاط الضعف.
تكرم Tenable روح أصولها المفتوحة المصدر من خلال إتاحة نسخة مجانية. أولئك الذين استمتعوا بالحصول على Nessus مجانًا بدون دعم احترافي لا يزال لديهم. الشركات الكبيرة التي هي على استعداد لدفع ثمن الجودة لديها الآن تلك المتاحة.
Nessus المجانية والمدفوعة
يشرح تاريخ Nessus ووجود نسخة مجانية سبب نجاح البرنامج دون أن يكون له قدر كبير من الرؤية. ويعزى ذلك إلى مليوني عملية تنزيل ترجع إلى حد كبير إلى طول عمرها ونسخته المجانية. انظر إلى الأرقام: مليوني تنزيل ، ولكن فقط 27000 شركة تستخدمها.
تكمن فائدة كل هؤلاء المستخدمين المجانيين في أن البرنامج قد تم اختباره بشكل شامل في مواقف حقيقية. وهذا ما يفسر معدل نجاحها المرتفع للغاية في الدقة. لذلك ، تساعد النسخة المجانية في اختبار النظام وأيضًا تخلق الألفة. إنها أداة يمكن الوصول إليها للطلاب المفكرين في تكنولوجيا الشبكات. عندما يتخرجون ويخرجون إلى القوى العاملة ، فإنهم يأخذون إلمامهم بعلامة Nessus التجارية في الشركات التي توظفهم. لن ترى اسم Nessus على لوحات الإعلانات لأن Tenable لا يحتاج إلى ميزانية تسويقية – سيخبرك متدربك عليه وينزله ويقوم بإعداده لك.
الإصدارات الثلاثة من Nessus Vulnerability Scanner هي:
- Nessus Essentials
- Nessus المهنية
- Tenable.io
قراءة المزيد عن كل خيار أدناه.
Nessus Essentials
Nessus Essentials هي النسخة المجانية من الماسح الضوئي. تقتصر عمليات المسح على 16 عنوان IP وتهدف الأداة إلى طلاب تكنولوجيا الشبكات. يتيح موقع Tenable أوراق التدريب للمستخدمين الجدد للنظام. لذلك ، حتى لو كنت مستخدم أعمال تنوي شراء النسخة المدفوعة ، فيمكنك البدء باستخدام Essentials للتأكد من أنك تفهم النظام قبل التوصية به لرئيسك في العمل. لا يمكن تقييد المستحيل لتوزيع Nessus Essentials للاستخدام المنزلي – إنه جيد لاستخدامه في الأعمال التجارية.
هناك أيضًا منتدى مستخدم Nessus حيث يمكنك التقاط النصائح من المستخدمين الآخرين. يمكن تمديد Nessus بواسطة المكونات الإضافية. يتم فرض رسوم على معظم هذه الرسوم ، ولكن يمكنك التقاط مكونات إضافية مجانية من المجتمع.
Nessus المهنية
Nessus المهنية هو الإصدار المحلي للإصدارين المدفوعين من ماسح الثغرة الأمنية. تحصل هذه الصفقة على دعم كامل ، لكن البرنامج الذي تستخدمه هو نفس الإصدارات المجانية ولكن بدون الحد الأقصى لمساحة عنوان IP 16.
تحتاج إلى قفز حتى واحدة من الإصدارات المدفوعة للحصول عليها يتحقق الامتثال ل PCI, رابطة الدول المستقلة, FDCC, و NIST ومحتويات المحتوى. يمنحك Nessus Professional نتائج مباشرة في لوحة القيادة ويمكن جدولة عمليات مسح النظام وتشغيلها بشكل متكرر. لديك خيار الوصول إلى منتديات المجتمع للحصول على الدعم أو يمكنك إرسال استعلامات الدعم إلى مكتب المساعدة Tenable عن طريق البريد الإلكتروني.
يتم فرض رسوم على Nessus Professional من خلال الاشتراك. ومع ذلك ، فهذه رسوم سنوية ولا توجد خطة سداد شهرية. يمكنك شراء اشتراك متعدد السنوات للحصول على أسعار مخفضة. الترخيص متاح على اشتراك لمدة سنة أو سنتين أو ثلاث سنوات. كل فترة متوفرة مع خطة دعم قياسية أو مسبقة. تتيح لك الخيارات المتقدمة الاتصال بفنيي الدعم عبر الدردشة المباشرة والهاتف. يمكنك الحصول على نسخة تجريبية مجانية لمدة 7 أيام من Nessus Professional.
Tenable.io
هذه هي النسخة المستندة إلى مجموعة النظراء من Nessus Pro. إنها تأتي فقط مع حزمة الدعم المتقدمة وهيكل الشحن يختلف قليلاً عن الإصدار المحلي. Nessus Professional بنفس السعر بغض النظر عن عدد العقد التي تريد مسحها على شبكتك. يبدأ Tenable.io بسعر أساسي لـ 65 عقدًا ولكن السعر يزداد بعدد العقد التي لديك أعلى من ذلك.
Nessus متطلبات النظام
تعمل Nessus Essential و Nessus Pro على أنظمة تشغيل Windows و Windows Server و Mac OS و BSD Unix و Debian و SUSE و Ubuntu و RHEL و Fedora و Amazon Linux. لسوء الحظ ، سيتم تشغيل إصدار Windows فقط على نظام 32 بت. لا يوجد إصدار Nessus لأنظمة 64 بت.
لدى المستخدمين المحليين العديد من الإصدارات للاختيار من بينها مع أحدث إصدار 8.7.2.
منافسو Nessus Vulnerability Scanner & البدائل
إن Nessus في وضع خاص لأنها تحتل مكانة سوق اخترعت نفسها. تعد الماسحات الضوئية للتعرض بشكل أساسي جزءًا من سوق الأمن السيبراني ، لذلك فإن المنافسين الحقيقيين لهذا البرنامج ليسوا مجرد أنظمة تحدد بشكل مباشر الماسحات الضوئية للتأثر. على سبيل المثال ، تتضمن معظم أنظمة AV الحديثة من الجيل التالي تقييمًا لمخاطر الثغرات وتأهلها كمنافسين لشركة Nessus.
إذا لم تكن متأكدًا مما إذا كانت Nessus تناسب احتياجاتك ، تحقق من العروض التجريبية مما يلي:
- الحشد الصقر – نظام حماية لنقطة النهاية قائم على السحابة قائم على السحابة يتضمن تقييم الثغرات الأمنية.
- OpenVAS – الشوكة الرائدة لشركة Nessus ، والتي لا تزال حرة وغير محدودة.
- Metasploit – مدقق ضعف نظام مفتوح المصدر في الإصدارات المجانية والمدفوعة.
- المتطفل – ماسح ضوئي وخدمة أمنية للأنظمة التي تواجه الإنترنت.
- Probely – الماسح الضوئي المستندة إلى سحابة الضعف للمواقع.
على الرغم من أن Nessus ممتازة في اكتشاف نقاط الضعف ، إلا أنها ليست كبيرة في توصيلها. هناك أدوات أخرى أكثر شمولاً في السوق تمثل تحديات قوية لهيمنة شركة Nessus في سوقها المتخصصة.
الحشد الصقر
مثال على نظام أكثر شمولية يشمل وظائف Nessus الحشد الصقر. يقوم هذا النظام عبر الإنترنت بمصدر بيانات الضعف والهجوم من أجل معرفة نقاط الضعف التي يجب البحث عنها عندما يقوم بمسح النظام. وهو يغطي كلاً من ثغرات الأجهزة والبرامج ويتضمن إجراءات علاج شاملة للغاية تتجاوز قدرات Nessus. على الرغم من عدم وجود نسخة مجانية من Falcon ، إلا أن Crowdstrike تقدمه مجانًا لمدة 15 يومًا.
OpenVAS
OpenVAS هو منافس وثيق للغاية من Nessus وقد بقي وفيا لأصولها. شوكة لرمز Nessus الأصلي ، فقد ظلت حرة ومفتوحة المصدر. يتجنب OpenVAS عيوب معظم المشاريع مفتوحة المصدر لأنه يتم التحكم فيه وإدارته بشكل احترافي بواسطة برنامج من أجل المصلحة العامة. يمنع التزام هذه المنظمة غير الهادفة للربح جهود تطوير البرمجيات لـ OpenVAS من الركود.
Metasploit
Metasploit هو مشروع مفتوح المصدر آخر أصبح تجاريًا عندما تم الاستيلاء عليه Rapid7. هذه أداة اختبار تغلغل شائعة وتستخدم على نطاق واسع في صناعة الأمن السيبراني. مثل Nessus ، بقيت وفية لجذورها من خلال الحفاظ على نسخة مجانية مدعومة من المجتمع. في الواقع ، هناك نسختان مجانيتان: Metasploit Framework Edition ، وهي أداة مساعدة لسطر الأوامر ويتم تعبئتها مع Zenmap ، و Metasploit Community Edition ، التي تحتوي على واجهة لائقة تستند إلى الويب ، على غرار النسخة المدفوعة ولكن بقدرات محدودة. ينتج Rapid7 نسختين مدفوعتين من النظام ، تسمى Metasploit Express و Metasploit Pro.
المتطفل
المتطفل و Probely تركز على حماية المواقع والشبكات الأخرى التي تواجه الإنترنت. تم الترحيب بالمتطفل بسبب سهولة الاستخدام والتعرض الممتاز للضعف. وهو قائم على السحابة ولا يتطلب أي إعداد. يعمل المسح باستمرار ، مما ينتج عنه ملاحظات مباشرة في وحدة التحكم عبر الإنترنت بالإضافة إلى تقديم تحليل البيانات التاريخية. الرسوم البيانية المعروضة في لوحة القيادة بسيطة وأنيقة وجذابة. هناك ثلاث خطط خدمة لـ Intruder وأي منها مجاني. ومع ذلك ، يمكنك الحصول على نسخة تجريبية مجانية لمدة 30 يوما.
Probely
من المحتمل أن يكون هناك ماسح ضوئي آخر يستند إلى مجموعة النظراء ، والذي يهدف بالتحديد إلى تقييم خدمات الويب. تحتوي خدمة الاشتراك المستندة إلى مجموعة النظراء هذه على أربع خطط خدمة ، بما في ذلك إصدار مجاني. يمكنك أيضًا الحصول على نسخة تجريبية مجانية لمدة 14 يومًا.
على الرغم من أن Nessus كان الماسح الضوئي الأصلي للضعف ، إلا أنه ليس الوحيد المتاح. تحقق من المنافسين وتقرر ما هو الأفضل بالنسبة لك.
أن يتحملوا المسؤولية الكاملة عن دعم البرنامج. لذلك ، كان من الضروري توظيف فريق تطوير محترف لتحسين Nessus وتوفير الدعم اللازم للشركات. يعد Nessus واحدًا من أكثر الماسحات الضوئية الضعف شيوعًا في العالم ، ويتم استخدامه حاليًا لحماية العديد من الشركات في جميع أنحاء العالم. يتميز Nessus بأدنى معدل إبلاغ إيجابي كاذب في هذه الصناعة ، مما يجعله أداة قوية لإدارة مخاطر الأمان. يمكن للشركات الاستفادة من الإصدار المجاني أو الإصدار المدفوع من Nessus ، والذي يوفر دعمًا متخصصًا وميزات إضافية.