Secrails LogoSECRAILS
Secrails LogoSECRAILS
Autentificare
Înapoi la BlogManagementul Vulnerabilităților

OpenVAS în 2025: Ghidul complet pentru scanarea vulnerabilităților open source

secrails··
openvasvulnerability scanningopen source securitynetwork securityvulnerability management
OpenVAS în 2025: Ghidul complet pentru scanarea vulnerabilităților open source

De ce OpenVAS contează încă într-o piață inundată de scannere plătite

Raportul Tenable Threat Landscape 2024 a identificat peste 26.000 de CVE-uri noi dezvăluite într-un singur an. Scannere comerciale de vulnerabilități precum Qualys, Rapid7 și Tenable Nessus domină contractele enterprise. Dar pentru echipele de securitate cu bugete reduse — sau pentru inginerii de securitate care vor să înțeleagă cu adevărat ce se întâmplă sub capotă — OpenVAS rămâne unul dintre cele mai capabile instrumente de vulnerability management disponibile fără costuri de licență.

A-l numi simplu „alternativa gratuită la Nessus" îi subestimează masiv capacitățile. OpenVAS, acum ambalat ca parte a framework-ului Greenbone Vulnerability Management (GVM), vine cu peste 100.000 de Network Vulnerability Tests (NVT-uri). Suportă scanări autentificate, auditare de conformitate conform CIS Benchmarks și PCI-DSS și produce output structurat care se integrează curat în pipeline-uri SIEM. Nu e o jucărie — e infrastructură.

Acest ghid acoperă ce face OpenVAS cu adevărat bine în 2025, unde rămâne în urmă față de alte instrumente de scanare a vulnerabilităților și cum să construiești un workflow de scanare care produce rezultate acționabile.

Ce este OpenVAS — și ce nu este

OpenVAS a apărut ca fork al Nessus în 2005, când Tenable a trecut la o licență proprietară. Greenbone Networks a preluat administrarea și îl menține de atunci. Arhitectura actuală sub GVM 22.x separă motorul de scanner (OpenVAS Scanner), stratul de management (gvmd) și interfața web (GSA). Acestea comunică prin Greenbone Management Protocol (GMP).

Înțelegerea acestei arhitecturi contează deoarece afectează modul în care automatizezi scanările, direcționezi rezultatele în sisteme de ticketing și integrezi cu platforme de securitate mai largi. API-ul GMP este bine documentat și cu adevărat util — poți declanșa scanări, extrage rezultate și gestiona target-uri programatic.

Ce nu este OpenVAS: un scanner SaaS cloud-nativ. Nu oferă amploarea de descoperire a activelor pe care o au instrumentele de tip Cloud Inventory construite pentru medii dinamice. Nu înțelege nativ straturile de container cum face Trivy și nu oferă context de runtime cum ar face Falco sau o soluție CSPM. Este un scanner de vulnerabilități de rețea și gazdă. În acel domeniu, este excelent.

Deployment în 2025: Calea practică

Deployment bazat pe Docker

Cel mai rapid mod de a pune OpenVAS în funcțiune este prin stack-ul oficial Docker Compose al Greenbone. Sincronizarea inițială a NVT-urilor durează 20-40 de minute. Aceasta nu este opțională — fără un feed actualizat, rezultatele scanărilor tale sunt depășite.

Configurarea scanării: Nu folosi valorile implicite

OpenVAS vine cu mai multe configurații de scanare, de la „Discovery" (ușoară) la „Full and very deep". Abordarea practică: începe cu „Full and fast" pentru baselining inițial, apoi adaugă scanări autentificate. Delta de acoperire CVE între scanările autentificate și cele neautentificate pe un server Linux tipic este adesea 60-70% mai multe findings cu autentificarea activată.

Pentru scanări de conformitate mai profunde, combinarea cu o abordare de Policy-as-Code asigură că remedierea este sistematică, nu ad-hoc.

Interpretarea rezultatelor OpenVAS

OpenVAS folosește un sistem de scoring de severitate bazat pe CVSS. Dar scorurile de bază CVSS singure sunt un mecanism slab de prioritizare. Un RCE CVSS 9.8 pe un server intern izolat este mai puțin urgent decât o vulnerabilitate CVSS 7.2 cu exploit public pe un activ expus internetului. Scorurile EPSS (Exploit Prediction Scoring System) sunt un semnal de prioritizare mai bun combinat cu datele tale de expunere a activelor.

OpenVAS nu afișează nativ scorurile EPSS. Pentru o soluție completă, SECRAILS Vulnerability Management integrează prioritizarea riscurilor cu îmbogățire de context, astfel încât echipa ta se concentrează pe remedierea care contează cu adevărat.

Limitări reale pe care trebuie să le cunoști

OpenVAS are puncte slabe reale. Scanarea aplicațiilor web este superficială — nu este un instrument DAST. Performanța scanării la scară mare este o provocare; ediția community este în esență single-node. Rata de fals pozitive este reală și necesită tuning activ.

Pentru medii cloud-native, OpenVAS atinge limitele sale. Tooling-ul de Cloud Security s-a evoluat separat față de scannerele de rețea tradiționale dintr-un motiv întemeiat. Răspunsul corect pentru majoritatea organizațiilor nu este OpenVAS sau scanarea cloud-nativă — ci ambele, aplicate la scope-ul corespunzător. Dacă construiești un program de securitate cuprinzător, SECRAILS acoperă ambii vectori.

CTA: Du-ți vulnerability management-ul mai departe

OpenVAS este un punct de plecare puternic, dar vulnerability management la scară necesită mai mult decât un scanner. SECRAILS Vulnerability Management integrează findings-urile în întreaga ta infrastructură cloud, containere, cod și rețea — oferindu-ți context unificat de risc și workflow-uri de remediere care închid cu adevărat tichetele. Explorează platforma noastră VM Scans și construiește un program continuu de vulnerability management.

Frequently Asked Questions

OpenVAS este cu adevărat gratuit pentru utilizare în producție?

Da, Greenbone Community Edition a OpenVAS este complet gratuită și open source sub licența GPL. Nu există limite de IP, nu există paywall-uri pentru funcționalitatea de scanare de bază și nu există restricții de timp. Greenbone oferă appliance-uri enterprise plătite și contracte de suport pentru organizațiile care necesită SLA-uri și suport dedicat.

Cât de des ar trebui să actualizez feed-ul NVT în OpenVAS?

Actualizările zilnice sunt recomandarea standard. Greenbone publică continuu actualizări NVT pe măsură ce sunt dezvăluite noi vulnerabilități. Rularea unui scanner pe un feed vechi de o săptămână înseamnă că poți rata CVE-uri de severitate ridicată recent dezvăluite. Automatizează sincronizarea feed-ului ca parte din rutina zilnică de întreținere a scannerului.

Poate OpenVAS scana infrastructura cloud precum AWS sau Azure?

OpenVAS poate scana instanțe cloud ca target-uri de rețea dacă sunt accesibile. Cu toate acestea, OpenVAS nu utilizează API-urile furnizorilor cloud pentru descoperirea activelor, deci instanțele efemere sau auto-scalate pot fi omise. Pentru vulnerability management cloud complet, combinarea OpenVAS cu instrumente cloud-native este puternic recomandată.

Care sunt diferențele principale dintre OpenVAS și scannerele comerciale?

Scannerele comerciale precum Qualys, Rapid7 și Tenable oferă descoperire bazată pe agent, evaluare a posturii cloud prin conector, workflow-uri integrate de ticketing, urmărire SLA și contracte de suport dedicat. OpenVAS nu oferă nimic din acestea out-of-the-box. Dar pentru organizațiile aflate în stadii anterioare de maturitate în securitate sau care construiesc un proof-of-concept, OpenVAS oferă semnal real fără cicluri de achiziție.

Care sunt cerințele de sistem pentru rularea OpenVAS prin Docker?

Greenbone recomandă minimum 4 nuclee CPU, 8 GB RAM și 20 GB spațiu pe disc pentru stack-ul Docker Community Edition. În practică, baza de date PostgreSQL pentru stocarea rezultatelor scanărilor crește semnificativ în timp, deci alocarea a 50-100 GB este mai realistă pentru utilizarea în producție. Stocarea SSD este puternic preferată față de discul tradițional.