Nunca, nunca confie em uma única ferramenta. O Nessus é um bom começo, mas siga com scanners adicionais e ferramentas de auditoria - quanto mais, melhor.
O GFI Languard, o eEye Retina, o Lumension Scan (antes conhecido como Harris STAT) são bons de se ter, embora você tenha que gastar dinheiro para adquiri-los. Eles terão alguma sobreposição, mas cada um também realiza verificações exclusivas, de modo que eles só podem complementar um ao outro para avaliar a vulnerabilidade de uma máquina. É claro que você deve cruzar cada descoberta com bom senso para descartar falsos positivos - várias ferramentas ajudam nisso.Além dos scanners do sistema operacional, se você estiver planejando hospedar bancos de dados, considere escolher o AppDetectivePro. Para sites, confira HP WebInspect ou Paros. Para verificações de senha de rede, Cain & O Abel é ótimo - mas tenha certeza de que você tem permissão para usá-lo, particularmente alguns dos recursos mais avançados.
Eu recomendo verificar algumas das ofertas de ferramentas de código aberto - o nmap é uma excelente maneira de verificar quais portas estão abertas em uma máquina, junto com o netcat para enviar dados arbitrários. Use o Wireshark para detectar o tráfego de rede proveniente do host, seja por meio de uma porta span ou de uma rede, e analisar os resultados - isso geralmente ajuda a identificar redes desnecessárias e inseguras (como telnet, FTP e qualquer versão do SNMP abaixo da v3) protocolos. As cadeias de leitura / gravação SNMP são basicamente senhas - e o SNMP v1 e v2 (ou 2c) são completamente de texto puro. Não os use e elimine-os se você estiver.
Por último, mas provavelmente o mais importante, consulte os guias de configuração do NSA para o sistema operacional relevante (se eles publicarem um), os Guias Técnicos de Implementação da DISA do DoD, bem como os Guias de Segurança da Microsoft para os sistemas operacionais Microsoft. Estes podem ajudá-lo a construir algumas máquinas endurecidas validadas e devem ser um ponto de partida para qualquer construção segura do sistema. Saber qual é a configuração original é muito importante para determinar se um sistema foi comprometido ou até mesmo se uma vulnerabilidade específica afeta seu ambiente.
E apenas uma observação - sempre, sempre faça backup do sistema antes de fazer alterações relacionadas à segurança - especialmente se você usar os guias NSA ou DISA - eles se concentram em segurança, não necessariamente em operações, se você me entende.