Was ist Schwachstellen-Scanning?

In den meisten Unternehmen werden Schwachstellenscans heutzutage vollständig automatisiert. Spezialisierte Tools für das Schwachstellen-Scanning finden und kennzeichnen Schwachstellen, damit das Sicherheitsteam sie überprüfen kann.

Die Ausbeutung von Schwachstellen ist laut dem X-Force Threat Intelligence Index von IBM einer der häufigsten Vektoren für Cyberangriffe. Schwachstellen-Scanning hilft Unternehmen, Sicherheitslücken zu erkennen und zu schließen, bevor Cyberkriminelle sie als Waffe einsetzen können. Aus diesem Grund betrachtet das Center for Internet Security (CIS) die kontinuierliche Verwaltung von Schwachstellen, einschließlich automatischer Schwachstellenscans, als eine wichtige Praxis der Cybersicherheit.

Eine Sicherheitslücke ist eine Schwachstelle in der Struktur, Funktion oder Implementierung eines IT-Assets oder Netzwerks. Hacker oder andere Bedrohungsakteure können diese Schwachstelle ausnutzen, um sich unbefugt Zugang zu verschaffen und dem Netzwerk, den Benutzern oder dem Unternehmen Schaden zuzufügen. Zu den häufigsten Schwachstellen gehören:

• Codierungsfehler, z. B. Web-Apps, die aufgrund der Art und Weise, wie sie Benutzereingaben verarbeiten, anfällig für Cross-Site-Scripting, SQL-Injection und andere Injection-Angriffe sind.
  
  
• Ungeschützte offene Ports auf Servern, Laptops und anderen Endgeräten, mit denen Hacker Malware verbreiten können.
  
  
• Fehlkonfigurationen, wie z. B. ein Cloud-Speicher-Bucket mit ungeeigneten Zugriffsberechtigungen, die sensible Daten dem öffentlichen Internet aussetzen.
• Fehlende Patches, schwache Passwörter oder andere Mängel in der Cybersicherheitshygiene.
  

Jeden Monat werden Tausende neue Schwachstellen entdeckt. Zwei Regierungsbehörden der Vereinigten Staaten unterhalten durchsuchbare Kataloge bekannter Sicherheitslücken: das National Institute of Standards and Technology (NIST) und das Cybersecurity and Infrastructure Security Agency (CISA).

Leider werden Schwachstellen zwar gründlich dokumentiert, sobald sie entdeckt werden, aber Hacker und andere Bedrohungsakteure finden sie oft zuerst, sodass Unternehmen davon kalt erwischt werden können.

Um angesichts dieser Cyberbedrohungen eine proaktivere Sicherheitshaltung einzunehmen, implementieren IT-Teams Programme für das Schwachstellen-Management. Diese Programme folgen einem kontinuierlichen Prozess, um Sicherheitsrisiken zu identifizieren und zu beheben, bevor Hacker sie ausnutzen können. Schwachstellenscans sind in der Regel der erste Schritt im Prozess des Schwachstellen-Managements und decken die Sicherheitslücken auf, die IT- und Sicherheitsteams beheben müssen.

Viele Sicherheitsteams verwenden Schwachstellenscans auch für die folgenden Zwecke:

• Validierung der Sicherheitsmaßnahmen und -kontrollen – Nach der Einführung neuer Kontrollen führen die Teams häufig einen weiteren Scan durch. Dieser Scan bestätigt, ob die identifizierten Sicherheitslücken behoben sind. Er bestätigt auch, dass die Sanierungsmaßnahmen keine neuen Probleme verursacht haben.
   

• Einhaltung von Vorschriften: Einige Vorschriften verlangen ausdrücklich Schwachstellenscans. Der Payment Card Industry Data Security Standard (PCI-DSS) schreibt beispielsweise vor, dass Unternehmen, die Daten von Karteninhabern verarbeiten,vierteljährliche Scans durchführen müssen).

Angesichts von Cloud- und lokalen Apps, mobilen und IoT-Geräten, Laptops und anderen traditionellen Endgeräten enthalten moderne Unternehmensnetzwerke zu viele Assets für manuelle Schwachstellenscans. Stattdessen verwenden Sicherheitsteams Schwachstellenscanner, um regelmäßig automatisierte Scans durchzuführen.

Um potenzielle Schwachstellen zu finden, sammeln Scanner zunächst Informationen über IT-Assets. Einige Scanner verwenden Agents, die auf Endgeräten installiert sind, um Daten über Geräte und die darauf laufende Software zu erfassen. Andere Scanner untersuchen Systeme von außen, indem sie offene Ports sondieren, um Details über Gerätekonfigurationen und aktive Dienste zu ermitteln. Einige Scanner führen dynamischere Tests durch, z. B. den Versuch, sich mit den Standard-Anmeldedaten bei einem Gerät anzumelden.

Nachdem der Scanner die Assets gescannt hat, vergleicht er sie mit einer Schwachstellen-Datenbank. In dieser Datenbank werden häufige Schwachstellen und Gefährdungen (CVEs) für verschiedene Hardware- und Softwareversionen erfasst. Einige Scanner verlassen sich auf öffentliche Quellen wie die NIST- und CISA-Datenbanken; andere verwenden proprietäre Datenbanken.

Der Scanner prüft, ob die einzelnen Assets Anzeichen der ihnen zugeordneten Mängel aufweisen. Beispielsweise wird nach Problemen wie einem Fehler im Remote-Desktop-Protokoll eines Betriebssystems gesucht. Dieser Fehler könnte es Hackern ermöglichen, die Kontrolle über das Gerät zu übernehmen. Scanner können auch die Konfigurationen eines Assets mit einer Liste bewährter Sicherheitspraktiken abgleichen, z. B. ob für eine sensible Datenbank ausreichend strenge Authentifizierungskriterien gelten.

Anschließend erstellt der Scanner einen Bericht über die identifizierten Schwachstellen, den das Sicherheitsteam überprüfen kann. In den einfachsten Berichten wird lediglich jedes Sicherheitsproblem aufgeführt, das behoben werden muss. Einige Scanner bieten detaillierte Erklärungen und vergleichen die Scan-Ergebnisse mit früheren Scans, um die Verwaltung der Schwachstellen im Laufe der Zeit nachzuvollziehen.

Fortschrittlichere Scanner priorisieren die Schwachstellen auch nach ihrer Kritikalität. Scanner können Open-Source-Threat-Intelligence wie CVSS-Scores (Common Vulnerability Scoring System) verwenden, um die Kritikalität einer Schwachstelle zu beurteilen. Alternativ können sie auch komplexere Algorithmen einsetzen, die die Schwachstelle im einzigartigen Kontext des Unternehmens berücksichtigen. Diese Scanner können auch Empfehlungen zur Behebung und Abschwächung der einzelnen Schwachstellen geben.

Die Sicherheitsrisiken eines Netzwerks ändern sich, wenn neue Assets hinzugefügt und neue Schwachstellen entdeckt werden. Dennoch kann jeder Schwachstellenscan nur einen bestimmten Moment identifizieren. Um mit der sich entwickelnden Cyberbedrohungslandschaft Schritt zu halten, führen Unternehmen regelmäßig Scans durch.

Bei den meisten Schwachstellen-Scans werden nicht alle Netzwerk-Assets auf einmal untersucht, da dies zu ressourcen- und zeitaufwändig ist. Stattdessen gruppieren Sicherheitsteams Assets oft nach Kritikalität und scannen sie in Batches. Die wichtigsten Assets können wöchentlich oder monatlich gescannt werden, während weniger kritische Assets vierteljährlich oder jährlich gescannt werden können.

Sicherheitsteams können auch immer dann Scans durchführen, wenn größere Änderungen am Netzwerk vorgenommen werden, wie z. B. das Hinzufügen neuer Webserver oder das Erstellen einer neuen sensiblen Datenbank.

Einige fortschrittliche Schwachstellenscanner bieten kontinuierliches Scannen an. Diese Tools überwachen Assets in Echtzeit und kennzeichnen neue Schwachstellen, sobald sie auftauchen. Kontinuierliches Scannen ist jedoch nicht immer machbar oder wünschenswert. Intensivere Schwachstellen-Scans können die Netzwerkleistung beeinträchtigen, weshalb manche IT-Teams stattdessen lieber regelmäßige Scans durchführen.

Es gibt viele verschiedene Arten von Scannern, und Sicherheitsteams verwenden häufig eine Kombination verschiedener Tools, um sich ein umfassendes Bild von Netzwerkschwachstellen zu machen.

Einige Scanner konzentrieren sich auf bestimmte Arten von Assets. Cloud-Scanner richten ihren Fokus beispielsweise auf Cloud-Services, während Tools zum Scannen von Webanwendungen nach Schwachstellen in Web-Apps suchen.

Scanner können lokal installiert oder als Software-as-a-Service (SaaS) -Apps bereitgestellt werden. Sowohl Open-Source-Schwachstellen-Scanner als auch kostenpflichtige Tools sind weit verbreitet. Einige Unternehmen beauftragen auch Drittanbieter mit dem gesamten Schwachstellen-Scanning.

Obwohl Schwachstellen-Scanner als Einzellösungen erhältlich sind, bieten Anbieter sie zunehmend als Teil von ganzheitlichen Suites für das Schwachstellen-Management an. Diese Tools kombinieren mehrere Arten von Scannern mit Angriffsflächenmanagement, Asset-Management, Patch-Management und anderen wichtigen Funktionen in einer Lösung. 

Viele Scanner unterstützen Integrationen mit anderen Cybersicherheitstools wie SIEMs (Security Information and Event Management Systems) und Endpoint Detection and Response (EDR).

Sicherheitsteams können je nach Bedarf verschiedene Arten von Scans durchführen. Zu den häufigsten Arten von Schwachstellenscans gehören:

• Externe Schwachstellenscans betrachten das Netzwerk von außen. Sie konzentrieren sich auf Schwachstellen in internetbasierten Assets wie Web-Apps und testen Perimeterkontrollen wie Firewalls. Diese Scans zeigen, wie ein externer Hacker in ein Netzwerk eindringen könnte.
   

• Interne Schwachstellen-Scans untersuchen Schwachstellen innerhalb des Netzwerks. Sie geben Aufschluss darüber, was ein Hacker tun könnte, wenn er in das System eindringt, wie er sich seitlich bewegen könnte und welche sensiblen Informationen er bei einer Datenschutzverletzung stehlen könnte.
   

• Authentifizierte Scans, auch „Scans mit Anmeldedaten“ genannt, erfordern die Zugriffsrechte eines autorisierten Benutzers. Anstatt eine Anwendung nur von außen zu betrachten, kann der Scanner sehen, was ein angemeldeter Benutzer sehen würde. Diese Scans veranschaulichen, was ein Hacker mit einem gestohlenen Konto tun könnte oder wie eine Insider-Bedrohung Schaden anrichten könnte.
   

• Unauthentifizierte Scans, auch „Scans ohne Anmeldedaten“ genannt, haben keine Zugriffsberechtigungen oder Privilegien. Sie sehen die Assets nur aus der Perspektive eines Außenstehenden. Sicherheitsteams können sowohl interne als auch externe unauthentifizierte Scans durchführen.

Zwar hat jede Art von Scan ihre eigenen Anwendungsfälle, aber es gibt einige Überschneidungen, und sie können kombiniert werden, um verschiedene Zwecke zu erfüllen. Ein authentifizierter interner Scan würde zum Beispiel die Perspektive einer Insider-Bedrohung zeigen. Im Gegensatz dazu würde ein nicht authentifizierter interner Scan zeigen, was ein böswilliger Hacker sehen würde, wenn er in das Netzwerk eindringen würde.

Schwachstellenscans und Penetrationsprüfungen sind unterschiedliche, aber verwandte Formen von Netzwerksicherheitstests. Obwohl sie unterschiedliche Funktionen haben, nutzen viele Sicherheitsteams beide als gegenseitige Ergänzung.

Bei Schwachstellenscans handelt es sich um automatisierte, umfassende Scans von Assets. Sie finden Fehler und melden sie dem Sicherheitsteam. Penetrationsprüfungen oder Pentests sind ein manueller Prozess. Sogenannte Pentester nutzen ethische Hacking-Skills, um nicht nur Schwachstellen im Netzwerk zu finden, sondern diese auch in simulierten Angriffen auszunutzen.

Schwachstellenscans sind kostengünstiger und einfacher durchzuführen, weshalb Sicherheitsteams sie verwenden, um ein System im Auge zu behalten. Penetrationstest erfordern mehr Ressourcen, können den Sicherheitsteams jedoch helfen, ihre Netzwerkfehlern besser zu verstehen.

In Kombination können Schwachstellenscans und Pentests das Schwachstellen-Management effektiver gestalten. Beispielsweise bieten Schwachstellenscans Pentestern einen nützlichen Ausgangspunkt. In der Zwischenzeit können Penetrationstests den Scan-Ergebnissen mehr Kontext verleihen, indem sie falsch-positive Ergebnisse aufdecken, Ursachen identifizieren und untersuchen, wie Cyberkriminelle Schwachstellen in komplexeren Angriffen miteinander verknüpfen können.