اسکنر نسوس

پویشگر آسیپ‌پذیری NESSUS

شناسایی و ارزیابی نقاط آسیب‌پذیر سیستم‌ها

ضرورت استفاده از پویشگر آسیب‌پذیری Nessus

هر روزه و بلافاصله بعد از انتشار تعدادی آسیب‌پذیری جدید شناسایی شده توسط محققان امنیت و شرکت‌های تولید کننده محصولات حوزه فناوری اطلاعات، و درج آن در پا‌یگاه‌داده‌های آسیب‌پذیری‌ همچون OSVDB مهاجمین‌ به‌دنبال یافتن راه‌هایی برای بهره‌برداری (Exploit) از این آسیب‌پذیری‌ها با نوشتن کدهای مخرب و اعمال آن بر روی سیستم‌های مورد نظرشان هستند.

لذا هر گونه تاخیر در شناسایی و برطرف کردن آسیب‌پذیری نرم‌افزارها، فرصت کافی به مهاجمین‌ برای نفوذ و تسخیر ماشین‌های آسیب‌پذیر و دسترسی به اطلاعات ارزشمند آن‌ها می‌دهد. در نتیجه در صورت عدم پویش مستمر آسیپ‌پذیری‌ها و برطرف کردن آن‌ها، سازمان با احتمال بیشتری در معرض تهدید‌های خارجی قرار خواهد گرفت.

پویش آسیب‌پذیری‌ها به عنوان یکی از کنترل‌های امنیتی با درجه اهمیت بسیار زیاد در جلوگیری از حملات در ۲۰ کنترل امنیتی کلیدی SANS قرار دارد. خروجی این کنترل امنیتی، یعنی خروجی پویشگر، به عنوان ورودی به فاز تست نفوذ  (Penetration testing) که خود یکی از کنترل‌های امنیتی کلیدی محسوب می‌شود می‌تواند مورد استفاده قرار گیرد.

 

ویژگی‌های پویشگر آسیب‌پذیری Nessus

قابلیت‌های پویشگر آسیب‌پذیری Nessus

 • امکان انتخاب یک یا چند ماشین، یا یک یا چند زیرشبکه‌ی هدف بر اساس آدرس IP برای پویش
 • پویش درگاه‌ها
 • بررسی یک آسیب‌پذیری خاص تنها در صورتی که سرویس و سیستم‌عامل مرتبط در ماشین هدف موجود باشد

افزونه‌های پویشگر آسیب‌پذیری Nessus

 • دارا بودن پایگاه ‌داده‌ی به روز از افزونه‌ها برای پویش آسیب‌پذیری‌های شناخته‌شده.
 • دسته بندی مناسب افزونه‌ها به منظور راحتی در به کار گرفتن آنها
 • امکان انتخاب زیر مجموعه‌ای از افزونه‌ها بر حسب خانواده برای پویش ماشین‌های شبکه
 • قابلیت بروز کردن پایگاه‌ داده محلی (افزونه‌های بارگذاری شده) با پایگاه‌ داده Nessus
 • امکان نوشتن، تغییر دادن و اضافه‌ کردن افزونه‌ها برای سنجش یک آسیب‌پذیری‌ خاص در صورت نیاز

گزارش‌های پویشگر آسیب‌پذیری Nessus

 • ایجاد گزارش بعد از پویش در فرمت‌های مختلف (HTML, PDF,…)
 • امکان فیلترکردن گزارشات بر اساس درجه بحرانی ‌آسیب‌پذیری‌های یافت شده
 • امکان تهیه گزارش بر اساس دسته‌بندی بر پایه افزونه‌ها یا بر پایه سیستم‌ها
 • امکان ارسال گزارش پویش به عنوان ورودی به بسته‌ی Metasploit جهت اتوماسیون و انجام تست نفوذ با توجه به آسیب‌پذیری‌های شناسایی شده