Ein Leitfaden zur Auswahl des passenden Schwachstellen-Scanners

TLDR;

Sehr geringer Aufwand und Fokus auf extern erreichbare Systeme (größtes Risikopotenzial!) machen Offensity nicht nur zum idealen Einsteiger-Produkt, sondern ersparen auch erfahrenen Security-Teams viel Aufwand.

Unternehmen mit hohen Security-Anforderungen - auch in internen Systemen - kommen dennoch an einem Scanner für das interne Netzwerk - wie tenable Nessus oder nexpose - nicht vorbei. Besonders im Web-Entwicklungs-Umfeld oder bei besonders vielen Web-Applikationen lohnt sich auch die Anschaffung eines Web-Scanners wie Qualys oder Acunetix.

Produkt intern/extern Web/Netzwerk Dienstleistung/Software Schnelle Erkennung neuer Schwachstellen Aufwand
Offensity extern Netzwerk Dienstleistung Ja Gering
OpenVAS extern und intern Netzwerk Software Nein Hoch
tenable nessus extern und intern Netzwerk Software oder Dienstleistung Nein Hoch
nexpose extern und intern Netzwerk Software oder Dienstleistung (extern) Nein Hoch
Qualys extern Web Dienstleistung Nein Mittel
Qualys intern Web Hardware Nein Hoch
Acunetix extern Web Software oder Dienstleistung Nein Mittel
Acunetix intern Web Software Nein Hoch



Die Auswahl an Schwachstellen-Scannern ist groß. Anhand welcher Kriterien soll man entscheiden? Und welcher passt am besten zu Ihrem Anwendungsfall? Wir versuchen, Licht ins Dunkel zu bringen.

Intern oder extern?

Systeme, die aus dem Internet erreichbar sind, können von Angreifern aus der ganzen Welt 24 Stunden am Tag, sieben Tage pro Woche attackiert werden. Sie stellen oft das primäre Angriffsziel dar, weil sie ständig verfügbar sind und in Massenangriffen “zufällig” entdeckt werden können.

Interne Netzwerke werden von Angreifern häufig über Schadsoftware erreicht, die Mitarbeiter im Internet herunterladen oder per E-Mail zugestellt bekommen. Die kriminelle Energie eines Angreifers muss bereits besonders ausgeprägt sein, um einen solchen Angriff auszuführen. Oft führt der Angriffspfad auch über extern erreichbare Systeme, über die der Angreifer dann in das interne Netzwerk springen kann.

“Web” oder “Netzwerk”?

Reine Web-Scanner überprüfen nur Web-Applikationen auf Sicherheitslücken. Was nutzt es einem Unternehmen, eine super-sichere Webseite zu haben, wenn die Daten über einen Fileserver (wie FTP) ohne Anmeldung gelesen und verändert werden können? Web-Scanner sind spezialisierte Schwachstellen-Scanner, die sich am ehesten für Software-Hersteller und Firmen mit besonders vielen Web-Anwendungen auszahlt. Dazu gehören etwa die Web-Application-Scanner von Qualys oder Acunetix.

Netzwerk-Scanner prüfen (zumindest in der Theorie) sämtliche über das Netzwerk erreichbare Dienste. Mit ihnen erhält man ein umfassenderes Bild der Schwachstellen in einer IT-Umgebung. Die größten Schwächen haben diese Scanner oftmals im Prüfen von Web-Applikationen (dies ist auch der Grund, warum sich Web-Scanner als spezialisierte Form des Schwachstellen-Scanners durchgesetzt haben). Sie prüfen Web-Applikationen meist nur oberflächlich und ohne Authentifizierung. Netzwerkscanner sind beispielsweise Offensity, OpenVAS, nessus von tenable oder nexpose von Rapid7.

Ein Netzwerk-Scanner bildet meist die beste Grundlage für Schwachstellen-Scans und kann als erster Schritt empfohlen werden. Reichen die Fähigkeiten des Netzwerk-Scanners für komplexe Webseiten nicht mehr aus, kann er durch einen Web-Scanner ergänzt werden. Sehr große Firmen kommen meist nicht umhin, Web- und Netzwerkscanner parallel einzusetzen.

Dienstleistung oder Software?

Manche Schwachstellen-Scanner erhält man als Software, die man auf einem Server installieren muss. Hier muss man beachten, dass Server und Betrieb (laufende Updates, Konfigurationsmanagement, etc) zusätzlich zu den Lizenzen Kosten verursachen. Die Daten verlassen in der Regel das eigene Netzwerk nicht.

Bei einer Dienstleistung (Software-as-a-Service/”SaaS”) stellt der Anbieter in der Regel ein Web-Dashboard zur Verfügung und muss sich um die meisten Einstellungen nicht selbst kümmern.

Photo by Matthew Henry on Unsplash

Wie schnell werden neue Schwachstellen erkannt?

Es dauert nur wenige Stunden bis Tage, bis eine neu veröffentlichte Schwachstelle von Angreifern aktiv ausgenutzt wird, um Zielsysteme zu übernehmen. Wenn jedoch nur in großen Intervallen gescannt wird (z. B. monatlich), vergeht meist viel Zeit von Bekanntwerden bis zur Erkennung von neuen Schwachstellen. Während dies bei internen Systemen meist nicht zu kritisch ist, kann es bei externen (aus dem Internet erreichbaren) Systemen fatal sein.

Die meisten Scanner müssen einen vollständigen Scandurchlauf (zumindest der Abhängigkeiten) durchführen, um eine neue Schwachstelle zu erkennen. Dies kann pro System bis zu mehrere Stunden in Anspruch nehmen. Offensity kann als einziger Schwachstellenscanner auf Daten vergangener Scans zurückgreifen, um neue Schwachstellen rascher zu erkennen. Die Scans werden bei Bekanntwerden neuer Schwachstellen automatisch gestartet und benötigen keine manuelle Interaktion.

Wie aufwändig sind Betreuung und Betrieb?

Die Berichte vieler Schwachstellen-Scanner sind aufgebläht und nur durch eigenes Security-Personal richtig zu interpretieren. Zusätzliche (teure) Personalkosten sind die Folge, sofern man überhaupt qualifiziertes Personal findet. Einfache und übersichtliche Aufbereitung der Ergebnisse sind daher viel wert. Ein Bericht von tenable nessus kann über 100 Seiten haben, redundante Informationen beinhalten und ist für Administratoren schwer zu interpretieren.

Die Berichte von Offensity sind einfach und klar aufbereitet und bieten jedem Administrator genügend Informationen, um Schwachstellen einfach beheben zu können.


Offensity kann man übrigens auch gratis testen. Einfach anmelden und einrichten. Bei wichtigen Schwachstellen gibt es eine automatische Benachrichtigung.