(Tempo de Leitura: 13 min.)

Ao observar a batalha pelo título de melhor scanner de vulnerabilidade, pode ser difícil determinar qual usar e por quê. Muitos são realmente bons (e utilizados ​​o tempo todo) e, no mundo da Segurança da Informação, você provavelmente precisará usar um desses cedo ou tarde. Qualquer um pode ter vantagens ou desvantagens distintas, dependendo da finalidade do uso, e estamos aqui para ajudar a determinar o que é mais adequado para cada caso.

Se você está procurando um scanner de vulnerabilidade, então Nessus e OpenVAS são dois nomes que irá ouvir com certa frequência. Neste artigo, vamos falar sobre as duas ferramentas para descobrir as diferenças, semelhanças, vantagens e especificidades de cada uma. Como dois dos principais scanners de vulnerabilidade do mercado, ambas as ferramentas são utilizadas ​​por organizações de diversos portes e setores para identificar ameaças à sua segurança cibernética.

Este artigo inclui uma visão geral de ambos os produtos, uma análise do que cada ferramenta faz de melhor e seus principais recursos, além de uma comparação direta. Mas antes de olharmos para os próprios recursos, vamos examinar o que os scanners de vulnerabilidade fazem.

Cenário

Nos últimos anos, a taxa de descoberta de vulnerabilidades tem aumentado rapidamente. Em 2016 foram 6.454 CVEs lançados, e ao longo de 2020, mais 18.325 foram encontrados, quase três vezes o número encontrado apenas quatro anos antes. No total, já são 164.373 CVEs documentados desde 1999.

Figura 01 – Total de CVEs identificados anualmente. (Fonte: CVE Details)

Muitas vezes, a falta de uma governança e gestão de riscos bem estruturadas é um grande desafio enfrentado por organizações de todos os tamanhos e, como resultado, tais organizações passaram a incluir scanners de vulnerabilidade em seu conjunto de ferramentas para ajudar a identificar e gerenciar vulnerabilidades em sua infraestrutura.

Para ajudar com a proteção, muitas organizações estão adotando programas de gerenciamento de superfície de ataque cibernético que trabalham para avaliar continuamente suas redes em busca de ameaças potenciais. Com um sistema de gerenciamento de superfície de ataque implementado, as organizações podem avaliar proativamente os riscos e reduzir a superfície de ataque em tempo real, limitando o impacto das ameaças cibernéticas. Mas com um número crescente de scanners de vulnerabilidade disponíveis no mercado, uma dúvida muito comum para diversas organizações é sobre qual utilizar. Mas afinal de contas…

O que são scanners de vulnerabilidade?

O que o Nessus e o OpenVAS, especificamente, fazem? Em termos práticos, os scanners de vulnerabilidade são ferramentas que os administradores de redes utilizam para realizar a varredura de redes e apontar as vulnerabilidades identificadas, assim como um consultor de segurança patrimonial apontaria para muros baixos e ausência de câmeras de segurança em um condomínio. Um scanner de vulnerabilidades pode destacar vulnerabilidades conhecidas e configurações incorretas ou ineficientes que deixam uma rede vulnerável e exposta a riscos e ataques cibernéticos, tais como ransomware ou violação de dados. Muitas organizações utilizam a varredura de vulnerabilidades, isoladas ou como parte de um pentest (teste de penetração), para identificar lacunas nas defesas da rede e, em seguida, consertar os pontos de entrada antes que um invasor possa explorá-los.

A verificação de vulnerabilidades é essencial para a defesa cibernética de qualquer organização porque é a única maneira de saber, com certeza, quais são as fraquezas existentes a partir da perspectiva de um atacante externo. Testar vulnerabilidades regularmente permite que você elimine brechas de segurança de forma consistente e torne sua rede mais segura.

Tanto o Nessus quanto o OpenVAS fornecem soluções simples para a varredura de vulnerabilidades. No entanto, é importante observar que a abrangência e eficácia das soluções de scanners de vulnerabilidades variam de fornecedor para fornecedor, pois algumas soluções são mais focadas que outras na detecção de ameaças conhecidas ou desconhecidas, dentro ou fora da rede.

Histórico

Os dois scanners de vulnerabilidades mais frequentemente comparados no mercado de segurança cibernética são, de fato, o Nessus, da Tenable Network Security, e o OpenVAS, da Greenbone Networks. Provavelmente, isto se deve ao fato das duas ferramentas serem as mais difundidas no mercado e porque elas têm uma história compartilhada.

O Nessus e o OpenVAS começaram em 1998 como o Projeto Nessus de código aberto, criado por Renaud Deraison. Em 2005, a Tenable (co-fundada por Renaud) fez dele um produto de código fechado, buscando melhorar a solução ao dedicar tempo e recursos para criar um produto comercial profissional. Em 2006, uma versão de código aberto foi renomeada para OpenVAS , sendo desenvolvida e impulsionada desde 2008 pela Greenbone. Embora compartilhem uma história em comum e algumas semelhanças ainda permaneçam, existem diferenças significativas em sua cobertura. 

Antes de entrar em detalhes, vamos deixar claro o que está sendo comparado. Todas as métricas nesta análise são baseadas no número de CVEs (vulnerabilidades e exposições comuns) que são cobertos pelas verificações dentro de cada ferramenta de varredura, ao invés de quantas verificações (também conhecidas como “plug-ins”) estão disponíveis. Vulnerabilidades e exposições comuns (CVEs) são identificadores exclusivos para vulnerabilidades conhecidas publicamente, enquanto os plug-ins podem conter verificações para vários CVEs e vários plug-ins podem verificar o mesmo CVE.

Nessus

O Nessus surgiu como um scanner de segurança remoto de código aberto. Vários anos depois, em 2005, a Tenable alterou o modelo comercial do Nessus para uma licença paga (atualmente US$2.390/ano), e hoje é uma plataforma de varredura de vulnerabilidades de código fechado, utilizada por mais de 27.000 organizações, que pode detectar 49.572 vulnerabilidades.

Muitas organizações utilizam o Nessus porque ele tem a menor taxa de falsos positivos do mercado, detectando com sucesso ameaças legítimas sem criar notificações desnecessárias (falsos positivos) que, posteriormente, serão tratadas por um usuário humano.

Pontos de Destaque

  • Menor taxa de falsos positivos do setor;
  • Oferece aos usuários mais de 130.000 plug-ins;
  • Lança plug-ins em 24 horas após a descoberta de uma nova vulnerabilidade;
  • Menor incidência de falsos positivos do mercado.

OpenVAS

Ao contrário do Nessus, o OpenVAS é um scanner de vulnerabilidade de código aberto que começou como um spin-off do próprio Nessus, sendo originalmente denominado GNessUs. Somente em 2006 o GNessUs se transformou na ferramenta OpenVAS que as empresas reconhecem hoje. 

Em 2017, a Greenbone mudou a estrutura OpenVAS para Greenbone Vulnerability Management e transformou o OpenVAS Scanner em um módulo. O uso do Greenbone Community Feed pela plataforma torna-o uma solução atraente de baixo custo para empresas, com potencial para executar mais de 50.000 testes de vulnerabilidade, fornecendo proteção contra uma vasta gama de ameaças.

Pontos de Destaque

  • Código aberto;
  • Usa o Greenbone Community Feed para executar mais de 50.000 testes de vulnerabilidade;
  • Desenvolvido e mantido gratuitamente pela Greenbone Networks;
  • Suporta mais de 44.000 CVEs.

Cobertura de CVEs

Podemos começar falando em números brutos e respondendo à pergunta “qual é o número total de vulnerabilidades cobertas por cada scanner?” Em termos de números brutos, a solução da Tenable cobre mais CVEs que o OpenVAS, uma diferença de aproximadamente 10%.

Figura 02 – Número total de CVEs identificados.

Mas essa não é toda a história. Até o momento da redação deste artigo, desde 2010, 165.095 CVEs foram publicados. Portanto, podemos ver na Figura 3 que a Tenable cobre 41,82% e o OpenVAS 37,38% de todas as vulnerabilidades divulgadas publicamente (que têm um número CVE), uma diferença de cerca de 4% quando comparada ao número total de CVEs.

Figura 03 – Porcentagem de CVEs identificados por cada ferramenta frente ao total de CVEs documentados

Os números nos gráficos acima são puramente sobre o número de CVEs que cada scanner detecta. Mas qual é a sobreposição entre os CVEs detectados por ambos os scanners e os CVEs que são exclusivos para cada um? Na Figura 4 podemos ver que há uma sobreposição considerável na detecção de CVEs entre OpenVAS e Tenable. No entanto, o Nessus verifica 12.015 CVEs que o OpenVAS não verifica e o OpenVAS verifica 6.749 CVEs que o Nessus não verifica. Vamos dar uma olhada na diferença entre os tipos de CVEs que são cobertos por cada scanner de vulnerabilidade posteriormente nesta análise.

Figura 04 – Cobertura de CVEs distintos e compartilhados entre as ferramentas

Portanto, em termos de números brutos de cobertura, o Nessus, mas o OpenVAS está relativamente perto. Enquanto isso pode passar uma falsa sensação de superioridade ou segurança, os números são relativos ao total de CVEs, mas não levam em consideração a criticidade ou gravidade de cada apontamento. No gerenciamento de vulnerabilidades, precisamos considerar o quão grave é cada vulnerabilidade, em vez de simplesmente nos preocuparmos com o número total de vulnerabilidades que foram encontradas.

Cobertura de classificação de risco

Usar apenas os números brutos acima significa que um scanner pode ter mais verificações para vulnerabilidades de baixo risco, mas menos para vulnerabilidades de alto risco, dando-nos uma falsa sensação de sua eficácia. Vamos um pouco mais fundo para revisar o número de vulnerabilidades verificadas por cada scanner, mas discriminadas no risco de cada vulnerabilidade. Isso nos dará uma melhor compreensão dos tipos de riscos que cada scanner pode identificar. As classificações são divididas da seguinte forma:

RISCOREGRA PARA CATEGORIZAÇÃOTOTAL DE CVEs
CríticoIgual a 105.611
AltoEntre 7 e 1027.765
MédioEntre 4 e 771.485
BaixoEntre 0 e 413.662

Podemos ver na Figura 5 que o Nessus cobre mais CVEs em cada categoria de risco, mas tanto ele quanto o OpenVAS seguem próximos um do outro. A maior diferença nos números brutos (2.786 CVEs adicionais verificados) está na categoria de risco médio, mas isso pode ser esperado, uma vez que a grande maioria dos CVEs que foram lançados desde 2010 também se enquadram nesta categoria.

Figura 05 – Cobertura absoluta de vulnerabilidades por criticidade

A Figura 6 deixa evidente que a porcentagem de cobertura de vulnerabilidades aumenta à medida em que a classificação de risco aumenta. Isso é positivo, pois queremos ter certeza de que estamos detectando o maior número possível de vulnerabilidades críticas.

Figura 06 – Porcentagem de cobertura de vulnerabilidades por criticidade

Uma das diferenças marcantes é que o Nessus identifica 258 vulnerabilidades críticas adicionais, o que significa que o OpenVAS pode identificar 4,6% menos vulnerabilidades críticas. Vulnerabilidades com classificação crítica são aquelas que geralmente fazem com que sua equipe de TI e Segurança da Informação perca o sono e comece a beber.

Falando sério, esses são os tipos de vulnerabilidades sobre as quais você ouve falar nas notícias, aquelas que permitem que os atacantes de ransomware obtenham acesso inicial à rede da vítima (quase) sem esforço, exigindo dezenas de milhões em resgates e podendo ocasionar multas regulatórias (alguém falou em LGPD?), perda de empregos e, em alguns casos, paralisação das atividades ou até mesmo o fim das atividades da empresa.

Portanto, em termos de cobertura de vulnerabilidades, quando discriminadas por nível de risco, o Nessus vence em todos os níveis de risco. Mas o OpenVAS está relativamente perto e, o que é mais importante, muito próximo quando se trata do nível de risco crítico. Uma vez que é uma ferramenta que custa absolutamente nada, faz muito sentido levar em consideração na hora de escolher uma solução. É melhor começar um programa de Segurança da Informação com uma ferramenta gratuita que entrega quase tudo que uma ferramenta paga do que não começar por falta de verba para comprar uma ferramenta.

É importante observar que nem todos os tipos de varredura são iguais, e que o OpenVAS e o Nessus têm recursos diferentes disponíveis neste sentido – e o tipo de varredura que você implementa afeta o resultado e, consequentemente, os CVEs verificados. Nesse caso, que tal dar uma olhada na diferença que isso faz?

Tipos de verificações

É importante compreender a diferença entre verificações remotas e locais, bem como a cobertura que elas podem fornecer. As verificações remotas são executadas via Internet em seus sistemas sem autenticação ou acesso, nada além do que um invasor normal normalmente teria acesso. As verificações locais são executadas nos sistemas por meio de um agente ou por meio de uma sessão autenticada (tal como por meio de um acesso SSH). Existem prós e contras em cada tipo de varredura, mas eles estão além do escopo desta postagem.

O que realmente importa para nós aqui é que muitos dos CVEs incluídos nas estatísticas acima exigem que você habilite a varredura autenticada ou instale um agente em seus sistemas para obter esse nível de cobertura. Aí você diz: “OK, mas e se eu não estiver em uma posição que me permita executar uma varredura autenticada nem instalar um agente nos sistemas da empresa? E se eu não tiver interesse ​​no que um invasor pode ver?”. Nesse caso, precisamos nos concentrar apenas nas verificações remotas. Estas são as verificações não autenticadas (não credenciadas) nos sistemas de uma organização, aquelas que trariam resultados similares àqueles encontrados por um invasor aleatório navegando na Internet. 

Em termos de números brutos, o OpenVAS tem verificações remotas de 11.014 CVEs, superando os 9.497 do Nessus. Portanto, à primeira vista, parece que o OpenVAS é a escolha certa para fazer a varredura de seus sistemas usando varreduras remotas não autenticadas. Mas, assim como antes, precisamos entrar em detalhes para entender quais riscos estamos identificando com esses scanners.

Podemos ver na Figura 7 que o OpenVAS lidera em verificações remotas para classificações de risco baixo (480 CVEs cobertos além do Nessus) e médio (1.444 CVEs cobertos além do Nessus). Por outro lado, perde para o Nessus nas verificações remotas de vulnerabilidades de risco alto (214 CVEs cobertos a menos que o Nessus) e crítico (193 CVEs cobertos a menos que o Nessus). Se estivermos preocupados com a cobertura remota de vulnerabilidades altas ou críticas, o que a maioria das organizações deveria estar, então o Nessus parece ter a melhor cobertura.

Figura 07 – Quantidade total de CVEs com varreduras remotas disponíveis

Entre os CVEs com criticidade alta e crítica, o desempenho é bem próximo entre o Nessus e o OpenVAS. Com o feed de segurança da Greenbone, é possível que o OpenVAS tenha mais verificações remotas nessas categorias de risco e, potencialmente, impulsione o scanner para frente. Mas, como estamos comparando o feed da comunidade, e como estamos mais preocupados com as vulnerabilidades de criticidade alta e crítica, o Nessus vence (por pouco) novamente.

Figura 08 – Porcentagem de CVEs sobre o total com varredura remota disponível

Tempo de processamento da publicação

Uma das preocupações para alguém que usa scanners de vulnerabilidade é o atraso entre os detalhes de uma vulnerabilidade serem divulgados ao público e a disponibilidade de uma verificação para essa vulnerabilidade. No entanto, as vulnerabilidades podem ser identificadas e exploradas por um agente malicioso, transformando-as em uma ameaça, antes que a vulnerabilidade seja publicada publicamente (e antes que uma correção para a vulnerabilidade esteja disponível).

Em um mundo ideal, vulnerabilidades não existiriam. O problema é que ainda não chegamos lá, se é que isso é possível. Isso significa que precisamos que as verificações sejam publicadas para que, então, possamos encontrar vulnerabilidades em nossos próprios sistemas. Então, vamos dar uma olhada nos diferentes intervalos entre essas verificações serem publicadas em comparação com a data de publicação do CVE.

Priorização de verificação local vs. remota

É possível, para diversas verificações, detectar vários CVEs. Por exemplo o plug-in “Potential exposure to Hafnium Microsoft Exchange targeting” faz uma verificação que checa 3 CVEs distintos (CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) e, inversamente, um único CVE pode ser coberto por vários plug-ins (como o CVE-2021-26857, que está associado a 3 plug-ins do Nessus).

Nos números acima, apenas o horário em que uma verificação remota está disponível foi levado em consideração, não quando outro tipo de verificação é liberado primeiro. Estamos interessados em descobrir se, quando uma vulnerabilidade for publicada, seremos capazes de executar uma varredura imediatamente (assumindo que estamos apenas executando verificações remotas) ou se devemos esperar que os scanners publiquem uma verificação local (que é potencialmente inútil para muitos, dependendo do caso) antes de passar para a publicação de uma verificação remota? Isso vai depender das prioridades de cada uma das organizações.

Na Figura 9, podemos ver que a Tenable libera uma verificação remota primeiro 14,34% das vezes, e o OpenVAS libera uma verificação remota primeiro 26,46% das vezes. Esses são números para vulnerabilidades que especificamente têm um vetor de acesso CVSSv2 de “Rede”, o que significa que a vulnerabilidade pode ser explorada remotamente e onde a interação de um usuário autenticado é desnecessária. 

Ou seja, em termos de varreduras remotas, aquelas onde as vulnerabilidades expostas seriam as mesmas identificadas por um agente malicioso aleatório na Internet, o OpenVAS libera primeiro uma verificação remota quase duas vezes mais que o Nessus. Isso é uma grande vantagem quando se está buscando blindar uma rede contra ataques externos baseados em vulnerabilidades identificadas na superfície de exposição.

O Nessus tem a capacidade de realizar verificações usando seu agente, enquanto o OpenVAS não. É importante ressaltar que ambos são capazes de realizar varreduras autenticadas que não estão incluídas nos números acima. O que isso significa é que ambos os scanners estão liberando com mais frequência as verificações locais ou autenticadas antes de liberarem as verificações remotas. 

Em resumo, se você está procurando se manter atualizado frente às vulnerabilidades mais recentes, talvez a varredura baseada em agente ou autenticada seja a abordagem correta para você. Por outro lado, se está focado apenas no que um invasor pode ver na Internet, talvez o OpenVAS seja uma boa alternativa. Como o foco principal deste artigo é, especificamente, verificações remotas, então a resposta é clara. Quando se trata de priorização de verificações remotas ao invés de verificações locais, o OpenVAS claramente vence.

Conclusão

Comparamos as soluções de varredura de vulnerabilidade do OpenVAS (com o feed da comunidade do Greenbone) e do Nessus, utilizando as seguintes categorias:

  • Número bruto de CVEs verificados (vitória do Nessus)
  • Número de verificações de CVEs por classificação de risco (vitória do Nessus)
  • Número de CVEs verificados utilizando verificações remotas (vitória do Nessus)
  • Priorização de verificação remota vs. Local / Autenticada (vitórias do OpenVAS)
  • Tempo de processamento para publicação de verificações (empatado)

Alguns de vocês podem ter esperado este tipo de resultado, visto que o Nessus é uma oferta comercial incumbente. No entanto, percebemos que o OpenVAS não fica muito para trás e oferece uma cobertura muito similar enquanto não custa nada, ao contrário do Nessus que é cobrado em dólar, o que não ajuda nada em terras tupiniquins. Fica claro que ambos os scanners têm seu lugar no mercado, bem como seus próprios casos de uso específicos.

No fim das contas, o OpenVAS acaba sendo uma excelente alternativa para quem está começando ou tem um orçamento curto, e o Nessus é a opção comercial mais interessante, que deveria ser considerada logo em seguida. No entanto, fica claro que, em um mundo ideal, a utilização das duas ferramentas em conjunto oferece a maior cobertura, uma vez que existe grande sobreposição entre elas mas, também, uma grande quantidade de CVEs que são cobertos apenas por uma ou outra ferramenta e o fato de uma ser melhor em varreduras autenticadas e outra em varreduras remotas. Como sempre, uma boa caixa de ferramentas deve ter mais que apenas uma chave de fenda e um martelo.

Integrando scanners a uma gestão de riscos estruturada com plataformas integradas

Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre planos projetos. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core

Por meio de integrações nativas, é possível importar informações vindas das principais ferramentas de varredura disponíveis no mercado, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão.

GAT Core já inclui checklists de conformidade em cibersegurança e proteção de dados como CIS Controls V8NISTOWASP ASVSISO 27701LGPD e outros, facilitando os processos e gerando economia significativa de custos. Para entender como funciona, solicite uma demonstração para obter uma visão integrada da gestão dos processos de conformidade. Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos