Compartilhar

Tenable Nessus Professional – Licença E Preços – Análise 2021

Review Completa

O que é? Como usar? Por que devo comprar? Onde baixar? Melhor Análise!

Tenable Nessus Professional - Brasil
Tenable Nessus Professional

Análise do scanner de vulnerabilidade Nessus

O Nessus Vulnerability Scanner da Tenable é um desafio crescente no mercado de segurança cibernética. Foi apelidado de líder do setor por alguns analistas de segurança cibernética, mas ainda não é um nome muito conhecido e suas vendas não correspondem às de gigantes do setor, como Trend Micro e Symantec . Descubra mais sobre este pacote de proteção do sistema.

A empresa de pesquisa de mercado de impacto de tecnologia, a Forrester avaliou o Nessus Vulnerability Scanner da Tenable como o gerenciador de risco de vulnerabilidade líder no mundo. Este é o título do relatório Forrester Wave Vulnerability Risk Management para o quarto trimestre de 2019 . Uma pesquisa realizada pelo  Cybersecurity Insiders descobriu que o Nessus era o scanner de vulnerabilidade de aplicativos mais amplamente implantado no mundo . Já foi instalado mais de 2 milhões de vezes e atualmente trabalha para proteger 27.000 empresas em todo o mundo. Ele tem mais de 57.000 Vulnerabilidades e Exposições Comuns (CVE) em seu dicionário e tem a menor taxa de relatórios de falsos positivos do setor.

Com todas essas estatísticas impressionantes sob controle, você provavelmente está se perguntando por que nunca ouviu falar do Nessus Vulnerability Scanner.

Tudo sobre o Nessus Vulnerability Scanner

O Nessus verifica o hardware e o software em busca de vulnerabilidades conhecidas. Ele observa os processos em execução em busca de comportamento anormal e também monitora os padrões de tráfego da rede. O Nessus é uma espécie de sistema de firewall / antivírus, mas não exatamente. Embora tenha procedimentos de correção, não é tão abrangente na seção de soluções como um sistema de proteção de endpoint típico seria.

A Tenable, Inc. iniciou suas operações em 2002, mas o Nessus é muito mais antigo do que isso. Como um produto pode ser mais antigo do que a empresa que o desenvolveu? O sistema Nessus foi desenvolvido por um indivíduo, Renaud Deraison e lançado pela primeira vez em 1998. Na época, Deraison tinha 17 anos. Ele definiu o Nessus como um projeto de código aberto e liderou o desenvolvimento da comunidade de software em tempo parcial enquanto perseguia uma carreira em TI durante o dia.

Controversamente, Deraison configurou Tenable Network Security para gerenciar a possibilidade comercial do software Nessus. Embora o projeto de desenvolvimento fosse conduzido pela comunidade, Deraison detinha os direitos autorais do software. Quando o Nessus 3 foi lançado, o projeto de código aberto foi encerrado, levando o Nessus totalmente para o negócio como um sistema proprietário. Versões anteriores ainda estão disponíveis sob as licenças GNU General Public.

A disponibilidade do código-fonte do Nessus 2 levou à criação de garfos, rivais do sistema Nessus. No entanto, com o Nessus, Deraison inventou o conceito de ‘scanners de vulnerabilidade remotos’. Ele deixou de ser o único scanner de vulnerabilidade do mundo e se tornou o principal scanner de vulnerabilidade. A mudança para propriedade proprietária evitou que o Nessus ficasse completamente bloqueado por cópias renomeadas de seu próprio código.

A Tenable está tranquila sobre a existência contínua do código Nessus 2 e a presença de quase cópias no mercado. Sob o sistema de licenciamento GNU, essas cópias não podem ser vendidas comercialmente, apenas distribuídas. Ao investir no desenvolvimento privado do Nessus, a Tenable garantiu que se manterá à frente de seus rivais, tanto gratuitos quanto pagos.

O Nessus 3 é um avanço considerável em relação às versões anteriores e os amadores que produziram forks do código não têm os recursos para competir totalmente com a Tenable.

História sustentável

A Tenable foi formada em 2002, mas não surgiu com uma versão paga do Nessus até 2005. A mudança para colocar uma capa comercial em um produto de código aberto gratuito não é incomum. Muitos projetos de código aberto têm uma alternativa paga.

A lógica comercial por trás da criação de uma versão paga de software livre é que a maioria dos projetos de código aberto não atrai usuários corporativos. As empresas não se preocupam com o preço do software – é apenas uma despesa e pode ser deduzido dos impostos.

A principal necessidade das empresas ao considerar a aquisição de software é que ele seja confiável e com suporte. É aqui que ganha a estrutura de cobrança de um serviço comercial adicionado ao software de código aberto.

Ao criar um provedor de serviços de cobrança que é o proprietário definitivo do Nessus, a Deraison garantiu a aceitação do Nessus Vulnerability Scanner pela comunidade empresarial. O software pode ser gratuito, mas as empresas não irão tocá-lo a menos que seja totalmente compatível. Oferecer um pacote de suporte torna o Nessus atraente.

Portanto, havia uma boa fonte de renda esperando para ser resgatada, sem remover o compromisso de manter o Nessus gratuito. O próximo passo lógico ao longo do caminho para a comercialização era investir em uma equipe de desenvolvimento em tempo integral. Os desenvolvedores da comunidade são muito bons na produção de software para seu próprio uso, mas são cegos para suas falhas e não desejam reformulá-lo diante de solicitações de usuários de negócios.

O software, embora seja gratuito, pode logo se tornar um risco de usar, porque os exploits descobertos pelos hackers não são encerrados durante o desenvolvimento e os testes. A falta de um orçamento de desenvolvimento teria deixado o Deraison incapaz de fechar exploits, ironicamente tornando-o um scanner de vulnerabilidades com vulnerabilidades.

A Tenable honra o espírito de suas origens de código aberto, disponibilizando uma versão gratuita. Aqueles que gostaram de ter um Nessus gratuito, sem suporte profissional, ainda o têm. As grandes empresas que estão preparadas para pagar por qualidade agora têm isso à disposição.

Nessus gratuito e pago - Brasil
Nessus gratuito e pago

Nessus gratuito e pago

A história do Nessus e a existência de uma versão gratuita explicam porque o software faz tanto sucesso sem ter muita visibilidade. São 2 milhões de downloads em grande parte devido à sua longevidade e sua versão gratuita. Veja os números: dois milhões de downloads, mas apenas 27.000 empresas o utilizam.

O benefício de todos esses usuários gratuitos é que o software foi exaustivamente testado em situações do mundo real. Isso explica sua taxa de sucesso muito alta em precisão. Portanto, a versão gratuita ajuda a testar o sistema e também cria familiaridade. É uma ferramenta acessível para alunos sem um tostão em tecnologia de rede. Quando se formam e entram no mercado de trabalho, eles levam sua familiaridade com a marca Nessus para as empresas que os contratam. Você não verá o nome Nessus em outdoors porque a Tenable não precisa de um orçamento de marketing – seu estagiário irá informá-lo sobre isso, baixá-lo e configurá-lo para você.

As três versões do Nessus Vulnerability Scanner são:

  • Nessus Essentials
  • Nessus Professional
  • Tenable.io

Leia mais sobre cada opção abaixo.

Nessus Essentials

O Nessus Essentials é a versão gratuita do scanner. Sua varredura é limitada a 16 endereços IP e a ferramenta é destinada a estudantes de tecnologia de rede. O site da Tenable disponibiliza fichas de treinamento para novos usuários do sistema. Portanto, mesmo se você for um usuário empresarial que pretende optar pela versão paga, pode começar com o Essentials para ter certeza de que entendeu o sistema antes de recomendá-lo ao seu chefe. A Tenable não restringe a distribuição do Nessus Essentials para uso doméstico – não há problema em usá-lo para negócios.

Também existe um fórum de usuários do Nessus, onde você pode obter dicas de outros usuários. O Nessus pode ser estendido por plug-ins. A maioria deles é cobrada, mas você pode obter plug-ins gratuitos na comunidade.

Nessus Professional

O Nessus Professional é a versão local das duas versões pagas do scanner de vulnerabilidade. Este acordo oferece suporte total, mas o software que você usa é o mesmo que as versões gratuitas, mas sem o limite de espaço de 16 endereços IP.

Você precisa pular para uma das versões pagas para obter verificações de conformidade para PCI , CIS , FDCC e NIST e auditorias de conteúdo . O Nessus Professional fornece resultados ao vivo no painel e as varreduras do sistema podem ser agendadas e executadas repetidamente. Você tem a opção de acessar os fóruns da comunidade para obter suporte ou pode enviar consultas de suporte para o help desk da Tenable por e-mail.

O Nessus Professional é cobrado por assinatura. No entanto, esta é uma taxa anual e não há um plano de pagamento mensal. Você pode comprar uma assinatura de vários anos para obter taxas de desconto. A licença está disponível em uma assinatura de 1, 2 ou 3 anos. Cada período está disponível com um plano de suporte padrão ou avançado. As opções avançadas permitem que você entre em contato com os técnicos de suporte por chat ao vivo e telefone.

Tenable.io

Esta é a versão baseada em nuvem do Nessus Pro . Ele só vem com o pacote de suporte avançado e sua estrutura de carregamento é um pouco diferente da versão local. O Nessus Professional tem o mesmo preço, não importa quantos nós você deseja varrer em sua rede. Tenable.io começa com um preço base para 65 nós, mas o preço aumenta com o número de nós acima disso.

Requisitos do sistema Nessus

O Nessus Essential e o Nessus Pro são executados em Windows, Windows Server, Mac OS, BSD Unix gratuito, Debian, SUSE, Ubuntu, RHEL, Fedora e Amazon Linux. Infelizmente, a versão do Windows só funciona em um sistema de 32 bits. Não existe uma versão do Nessus para sistemas de 64 bits.

Os usuários locais têm várias liberações para escolher, sendo a mais recente a 8.7.2.

Concorrentes e alternativas do Nessus Vulnerability Scanner

O Nessus encontra-se numa posição peculiar porque ocupa um nicho de mercado que ele próprio inventou. Essencialmente, os scanners de vulnerabilidade fazem parte do mercado de segurança cibernética, portanto, os verdadeiros concorrentes desse software não são apenas sistemas que se identificam diretamente como scanners de vulnerabilidade. Por exemplo, a maioria dos sistemas AV de última geração modernos incluem avaliação de risco de vulnerabilidade e, portanto, se qualificam como concorrentes do Nessus.

Se você não tiver certeza se o Nessus atende às suas necessidades, verifique as ofertas de demonstração e avaliação a seguir:

  1. Netsparker (DEMO GRATUITO) Este scanner de vulnerabilidade baseado em nuvem é especializado em varredura de aplicativos da Web e é uma boa escolha para automação de teste de pipeline de CI / CD. Pode ser baixado para instalação em Windows e Windows Server.
  2. Acunetix (DEMO GRATUITO) Este scanner de vulnerabilidade é oferecido em três versões que são adequadas para varredura sob demanda, varreduras programadas, varreduras de aplicativos da Web, varredura de rede e verificação de módulo DevOps. Disponível como um pacote SaaS hospedado ou para instalação em Windows, macOS ou Linux.
  3. ManageEngine Vulnerability Manager Plus (FREE TRIAL) – Um scanner de vulnerabilidade para sistemas operacionais, software e sites. Instala no Windows e no Windows Server.
  4. Syxsense Secure (FREE TRIAL) Uma coleção de medidas de segurança do sistema que inclui um scanner de vulnerabilidade. Este é um serviço baseado em nuvem.
  5. Crowdstrike Falcon, um sistema de proteção de endpoint baseado em IA baseado em nuvem que inclui avaliação de vulnerabilidade.
  6. OpenVAS O fork principal do Nessus, que ainda é gratuito e ilimitado.
  7. Metasploit Um verificador de vulnerabilidade do sistema de código aberto em versões gratuitas e pagas.
  8. Intruder Um scanner de vulnerabilidade e serviço de segurança para sistemas voltados para a Internet.
  9. Probely, um scanner de vulnerabilidade baseado em nuvem para sites.

Embora o Nessus seja excelente para detectar vulnerabilidades, não é tão bom para corrigi-las. Existem outras ferramentas mais abrangentes no mercado que representam grandes desafios para o domínio do Nessus em seu nicho de mercado.

Netsparker

Este scanner de vulnerabilidade é uma ferramenta especializada para avaliações de vulnerabilidade da web. O Netsparker fará a varredura de sites em busca de vulnerabilidades conhecidas e também pode examinar os módulos que estão por trás das APIs. Este sistema é amplamente usado para um ambiente de teste contínuo em pipelines DevOps CI / CD . Também está disponível como uma ferramenta de varredura de vulnerabilidade sob demanda. O sistema Netsparker pode ser acessado como um serviço SaaS e também existe a opção de instalá-lo como um pacote de software para Windows e Windows Server.

Acunetix

Acunetix é adequado para uso em uma ampla gama de cenários porque é apresentado em três edições, cada uma das quais feita sob medida para atender a diferentes propósitos. Todas as três versões executam a varredura de vulnerabilidade para uma lista de 7.000 pontos fracos, incluindo o OWASP Top 10. A Standard Edition oferece apenas varredura de vulnerabilidade sob demanda e é uma boa escolha para testadores de penetração. A Premium Edition é útil para fortalecer a segurança do sistema porque também realiza varredura de vulnerabilidade de rede, com uma lista de 50.000 pontos fracos conhecidos. The Enterprise Editioné uma boa opção para testes contínuos em cenários de DevOps. Esta ferramenta está disponível como uma plataforma SaaS e também pode ser instalada em seus próprios hosts executando Windows, macOS ou Linux.

ManageEngine Vulnerability Manager Plus

Um scanner de vulnerabilidade que vem com ferramentas que automatizam as etapas necessárias para eliminar os pontos fracos que o scanner identifica. É capaz de examinar dispositivos locais e o software que eles executam e também os serviços que contribuem para a operação e distribuição de sites. Como o Nessus, o Vulnerability Manager Plus tem uma edição gratuita . Embora esta seja uma versão restrita do pacote que irá gerenciar apenas até 25 dispositivos. As duas versões pagas, profissional e empresarial, podem ser experimentadas em avaliações gratuitas de 30 dias.

Syxsense Secure

Syxsense Secure é um serviço baseado em nuvem que inclui um pacote de gerenciamento de sistema e recursos de segurança. Entre esse grupo de serviços está um gerenciador de vulnerabilidade . Como os sistemas operacionais e softwares desatualizados são pontos fracos de segurança, o pacote também inclui um gerenciador de patches automatizado. O serviço mantém uma verificação constante da segurança do seu sistema por meio de um módulo de detecção e resposta de endpoint (EDR) . Este é um serviço de assinatura que gerencia servidores e desktops executando Windows, Linux e macOS. Ele também protege dispositivos IoT. Você pode obter o serviço Syxsense Secure em um teste gratuito de 14 dias.

Crowdstrike Falcon

Um exemplo de sistema mais abrangente que engloba a funcionalidade do Nessus é o Crowdstrike Falcon . Este sistema online crowdsources vulnerabilidade e dados de ataque a fim de saber qual fraqueza procurar ao fazer a varredura de um sistema. Ele cobre vulnerabilidades de hardware e software e inclui procedimentos de correção muito abrangentes que excedem em muito as capacidades do Nessus. Embora não haja uma versão gratuita do Falcon, Crowdstrike oferece um teste gratuito de 15 dias.

OpenVAS

O OpenVAS é um concorrente muito próximo do Nessus e se manteve fiel às suas origens. Uma bifurcação do código original do Nessus, ele permaneceu gratuito e de código aberto. O OpenVAS evita as armadilhas da maioria dos projetos de código aberto porque é controlado e gerenciado profissionalmente por Software de Interesse Público . O compromisso desta organização sem fins lucrativos evita que o esforço de desenvolvimento de software para OpenVAS estagnou.

Metasploit

Metasploit é outro projeto de código aberto que se tornou comercial quando foi adquirido pelo Rapid7 . Esta é uma ferramenta de teste de penetração muito popular e amplamente utilizada na indústria de segurança cibernética. Como o Nessus, ele permaneceu fiel às suas raízes, mantendo uma versão gratuita com suporte da comunidade. Na verdade, existem duas versões gratuitas: Metasploit Framework Edition , que é um utilitário de linha de comando e é empacotado com Zenmap, e Metasploit Community Edition, que tem uma interface web decente, modelada na versão paga, mas com recursos limitados. Rapid7 produz duas versões pagas do sistema, chamadas Metasploit Express e Metasploit Pro.

Intruder

O Intruder e o Probely estão focados na proteção de sites e outras redes voltadas para a Internet. O Intruder é elogiado por sua facilidade de uso e excelente exposição à vulnerabilidade. É baseado na nuvem e não requer configuração. A varredura opera continuamente, produzindo feedback ao vivo no console online, bem como oferecendo análise de dados históricos. Os gráficos exibidos no painel são simples, elegantes e atraentes. Existem três planos de serviço para o Intruder e nenhum deles é gratuito. No entanto, você pode obter um teste gratuito de 30 dias .

Probely

Probely é outro scanner de vulnerabilidade baseado em nuvem que visa especificamente avaliar serviços da web. Este serviço de assinatura baseado em nuvem tem quatro planos de serviço, incluindo uma versão gratuita. Você também pode obter um teste gratuito de 14 dias .

Embora o Nessus fosse o scanner de vulnerabilidade original, não é o único disponível. Confira os rivais e decida qual é o melhor para você.

Nessus Professional