Über den Einsatz von Cookies auf dieser Website Unsere Websites benötigen einige Cookies, um ordnungsgemäß zu funktionieren (erforderlich). Darüber hinaus können mit Ihrer Zustimmung weitere Cookies verwendet werden, um die Nutzung der Website zu analysieren, die Benutzerfreundlichkeit zu verbessern und Werbung zu schalten. Weitere Informationen finden Sie in Ihren. Durch den Besuch unserer Website erklären Sie sich mit der Verarbeitung von Informationen einverstanden, wie in der IBMDatenschutzbestimmung beschrieben. Um eine reibungslose Navigation zu ermöglichen, werden Ihre Cookie-Präferenzen über die hier aufgeführten IBM Web-Domains hinweg gemeinsam genutzt.
Was ist Schwachstellen-Scanning?
Veröffentlicht: 15. Dezember 2023
Mitwirkende: Matt Kosinski, Amber Forrest
Beim Schwachstellen-Scanning, auch „Schwachstellen-Bewertung“ genannt, werden Netzwerke oder IT-Assets auf Sicherheitslücken untersucht – also auf Fehler oder Schwachstellen, die von externen oder internen Bedrohungsakteuren ausgenutzt werden können. Das Schwachstellen-Scanning ist die erste Phase des umfassenderen Lebenszyklus des Schwachstellen-Managements.
In den meisten Unternehmen werden Schwachstellenscans heutzutage vollständig automatisiert. Sie werden von speziellen Tools für das Schwachstellen-Scanning durchgeführt, die Schwachstellen finden und kennzeichnen, damit das Sicherheitsteam sie überprüfen kann.
Die Ausnutzung von Schwachstellen ist der zweithäufigste Cyberangriffsvektor hinter Phishing, so der X-Force Threat Intelligence Index von IBM. Schwachstellen-Scanning hilft Unternehmen, Sicherheitslücken zu erkennen und zu schließen, bevor Cyberkriminelle sie als Waffe einsetzen können. Aus diesem Grund betrachtet das Center for Internet Security (CIS) (Link befindet sich außerhalb von ibm.com) die kontinuierliche Verwaltung von Schwachstellen, einschließlich automatischer Schwachstellen-Scans, als eine kritische Praxis der Cybersicherheit.
Eine Sicherheitslücke ist eine Schwachstelle in der Struktur, Funktion oder Implementierung eines IT-Assets oder Netzwerks. Hacker oder andere Bedrohungsakteure können diese Schwachstelle ausnutzen, um sich unbefugt Zugang zu verschaffen und dem Netzwerk, den Benutzern oder dem Unternehmen Schaden zuzufügen. Zu den häufigsten Schwachstellen gehören:
- Codierungsfehler, z. B. Web-Apps, die aufgrund der Art und Weise, wie sie Benutzereingaben verarbeiten, anfällig für Cross-Site-Scripting, SQL-Injection und andere Injection-Angriffe sind.
- Ungeschützte offene Ports auf Servern, Laptops und anderen Endgeräten, mit denen Hacker Malware verbreiten können.
- Fehlkonfigurationen, z. B. ein Cloud-Speicher-Bucket, der sensible Daten dem öffentlichen Internet zugänglich macht, weil er über ungeeignete Zugriffsberechtigungen verfügt.
- Fehlende Patches, schwache Passwörter oder andere Mängel in der Cybersicherheitshygiene.
Jeden Monat werden Tausende neue Schwachstellen entdeckt. Zwei US-Regierungsbehörden unterhalten durchsuchbare Kataloge bekannter Sicherheitslücken: das National Institute of Standards and Technology (NIST) und die Cybersecurity and Infrastructure Security Agency (CISA) (Links befinden sich außerhalb von ibm.com).
Leider werden Schwachstellen zwar gründlich dokumentiert, sobald sie entdeckt werden, aber Hacker und andere Bedrohungsakteure finden sie oft zuerst, sodass Unternehmen davon kalt erwischt werden können.
Um angesichts dieser Cyberbedrohungen eine proaktivere Sicherheitshaltung einzunehmen, implementieren IT-Teams Programme für das Schwachstellen-Management. Diese Programme folgen einem kontinuierlichen Prozess, um Sicherheitsrisiken zu identifizieren und zu beheben, bevor Hacker sie ausnutzen können. Schwachstellen-Scans sind in der Regel der erste Schritt im Prozess des Schwachstellen-Managements und decken die Sicherheitslücken auf, die IT- und Sicherheitsteams beheben müssen.
Viele Sicherheitsteams verwenden Schwachstellenscans auch für die folgenden Zwecke:
Validierung der Sicherheitsmaßnahmen und -kontrollen – Nach der Einführung neuer Kontrollen führen die Teams häufig einen weiteren Scan durch. Dieser Scan bestätigt, ob die identifizierten Sicherheitslücken behoben sind. Er bestätigt auch, dass die Sanierungsmaßnahmen keine neuen Probleme verursacht haben.
Einhaltung von Vorschriften: Einige Vorschriften verlangen ausdrücklich Schwachstellen-Scans. Der Payment Card Industry Data Security Standard (PCI-DSS) schreibt beispielsweise vor, dass Unternehmen, die Daten von Karteninhabern verarbeiten,vierteljährliche Scans durchführen müssen (Link befindet sich außerhalb von ibm.com).
Wie funktioniert der Prozess des Schwachstellen-Scannings?
Angesichts von Cloud- und lokalen Apps, mobilen und IoT-Geräten, Laptops und anderen traditionellen Endgeräten enthalten moderne Unternehmensnetzwerke zu viele Assets für manuelle Schwachstellenscans. Stattdessen verwenden Sicherheitsteams Schwachstellenscanner, um regelmäßig automatisierte Scans durchzuführen.
Identifizierung von Schwachstellen
Um potenzielle Schwachstellen zu finden, sammeln Scanner zunächst Informationen über IT-Assets. Einige Scanner verwenden Agents, die auf Endgeräten installiert sind, um Daten über Geräte und die darauf laufende Software zu erfassen. Andere Scanner untersuchen Systeme von außen, indem sie offene Ports sondieren, um Details über Gerätekonfigurationen und aktive Dienste zu ermitteln. Einige Scanner führen dynamischere Tests durch, z. B. den Versuch, sich mit den Standard-Anmeldedaten bei einem Gerät anzumelden.
Nachdem der Scanner die Assets gescannt hat, vergleicht er sie mit einer Schwachstellen-Datenbank. In dieser Datenbank werden häufige Schwachstellen und Gefährdungen (CVEs) für verschiedene Hardware- und Softwareversionen erfasst. Einige Scanner verlassen sich auf öffentliche Quellen wie die NIST- und CISA-Datenbanken; andere verwenden proprietäre Datenbanken.
Der Scanner prüft, ob die einzelnen Assets Anzeichen der ihnen zugeordneten Mängel aufweisen. Beispielsweise wird nach Problemen wie einem Fehler im Remote-Desktop-Protokoll eines Betriebssystems gesucht. Dieser Fehler könnte es Hackern ermöglichen, die Kontrolle über das Gerät zu übernehmen. Scanner können auch die Konfigurationen eines Assets mit einer Liste bewährter Sicherheitspraktiken abgleichen, z. B. ob für eine sensible Datenbank ausreichend strenge Authentifizierungskriterien gelten.
Priorisierung und Berichterstellung
Anschließend erstellt der Scanner einen Bericht über die identifizierten Schwachstellen, den das Sicherheitsteam überprüfen kann. In den einfachsten Berichten wird lediglich jedes Sicherheitsproblem aufgeführt, das behoben werden muss. Einige Scanner bieten detaillierte Erklärungen und vergleichen die Scan-Ergebnisse mit früheren Scans, um die Verwaltung der Schwachstellen im Laufe der Zeit nachzuvollziehen.
Fortschrittlichere Scanner priorisieren die Schwachstellen auch nach ihrer Kritikalität. Scanner können Open-Source-Threat-Intelligence wie CVSS-Scores (Common Vulnerability Scoring System) verwenden, um die Kritikalität einer Schwachstelle zu beurteilen. Alternativ können sie auch komplexere Algorithmen einsetzen, die die Schwachstelle im einzigartigen Kontext des Unternehmens berücksichtigen. Diese Scanner können auch Empfehlungen zur Behebung und Abschwächung der einzelnen Schwachstellen geben.
Planung von Scans
Die Sicherheitsrisiken eines Netzwerks ändern sich, wenn neue Assets hinzugefügt und neue Schwachstellen entdeckt werden. Jeder Schwachstellenscan kann jedoch nur einen bestimmten Moment erfassen. Um mit der sich entwickelnden Cyberbedrohungslandschaft Schritt zu halten, führen Unternehmen regelmäßig Scans durch.
Bei den meisten Schwachstellen-Scans werden nicht alle Netzwerk-Assets auf einmal untersucht, da dies zu ressourcen- und zeitaufwändig ist. Stattdessen gruppieren Sicherheitsteams Assets oft nach Kritikalität und scannen sie in Batches. Die wichtigsten Assets können wöchentlich oder monatlich gescannt werden, während weniger kritische Assets vierteljährlich oder jährlich gescannt werden können.
Sicherheitsteams können auch immer dann Scans durchführen, wenn größere Änderungen am Netzwerk vorgenommen werden, wie z. B. das Hinzufügen neuer Webserver oder das Erstellen einer neuen sensiblen Datenbank.
Einige fortschrittliche Schwachstellen-Scanner bieten kontinuierliches Scannen an. Diese Tools überwachen Assets in Echtzeit und kennzeichnen neue Schwachstellen, sobald sie auftauchen. Allerdings ist kontinuierliches Scannen nicht immer machbar oder erwünscht. Intensivere Schwachstellen-Scans können die Netzwerkleistung beeinträchtigen, weshalb manche IT-Teams stattdessen lieber regelmäßige Scans durchführen.
Es gibt viele verschiedene Arten von Scannern, und Sicherheitsteams verwenden häufig eine Kombination verschiedener Tools, um sich ein umfassendes Bild von Netzwerkschwachstellen zu machen.
Einige Scanner konzentrieren sich auf bestimmte Arten von Assets. Cloud-Scanner richten ihren Fokus beispielsweise auf Cloud-Services, während Tools zum Scannen von Webanwendungen nach Schwachstellen in Web-Apps suchen.
Scanner können lokal installiert oder als Software-as-a-Service (SaaS) -Apps bereitgestellt werden. Sowohl Open-Source-Schwachstellen-Scanner als auch kostenpflichtige Tools sind weit verbreitet. Einige Unternehmen beauftragen auch Drittanbieter mit dem gesamten Schwachstellen-Scanning.
Obwohl Schwachstellen-Scanner als Einzellösungen erhältlich sind, bieten Anbieter sie zunehmend als Teil von ganzheitlichen Suites für das Schwachstellen-Management an. Diese Tools kombinieren mehrere Arten von Scannern mit Angriffsflächenmanagement, Asset-Management, Patch-Management und anderen wichtigen Funktionen in einer Lösung.
Viele Scanner unterstützen Integrationen mit anderen Cybersicherheitstools wie SIEMs (Security Information and Event Management Systems) und Endpoint Detection and Response (EDR).
Sicherheitsteams können je nach Bedarf verschiedene Arten von Scans durchführen. Zu den häufigsten Arten von Schwachstellenscans gehören:
Externe Schwachstellenscans betrachten das Netzwerk von außen. Sie konzentrieren sich auf Schwachstellen in internetbasierten Assets wie Web-Apps und testen Perimeterkontrollen wie Firewalls. Diese Scans zeigen, wie ein externer Hacker in ein Netzwerk eindringen könnte.
Interne Schwachstellen-Scans untersuchen Schwachstellen innerhalb des Netzwerks. Sie geben Aufschluss darüber, was ein Hacker tun könnte, wenn er in das System eindringt, wie er sich seitlich bewegen könnte und welche sensiblen Informationen er bei einer Datenschutzverletzung stehlen könnte.
Authentifizierte Scans, auch „Scans mit Anmeldedaten“ genannt, erfordern die Zugriffsrechte eines autorisierten Benutzers. Anstatt eine Anwendung nur von außen zu betrachten, kann der Scanner sehen, was ein angemeldeter Benutzer sehen würde. Diese Scans veranschaulichen, was ein Hacker mit einem gestohlenen Konto tun könnte oder wie eine Insider-Bedrohung Schaden anrichten könnte.
Unauthentifizierte Scans, auch „Scans ohne Anmeldedaten“ genannt, haben keine Zugriffsberechtigungen oder Privilegien. Sie sehen die Assets nur aus der Perspektive eines Außenstehenden. Sicherheitsteams können sowohl interne als auch externe unauthentifizierte Scans durchführen.
Zwar hat jede Art von Scan ihre eigenen Anwendungsfälle, aber es gibt einige Überschneidungen, und sie können kombiniert werden, um verschiedene Zwecke zu erfüllen. Ein authentifizierter interner Scan würde zum Beispiel die Perspektive einer Insider-Bedrohung zeigen. Im Gegensatz dazu würde ein nicht authentifizierter interner Scan zeigen, was ein böswilliger Hacker sehen würde, wenn er in das Netzwerk eindringen würde.
Sicherheitslücken-Scanning vs. Penetrationsprüfung
Schwachstellen-Scanning und Penetrationstests sind unterschiedliche, aber verwandte Formen von Netzwerksicherheitstests . Obwohl sie unterschiedliche Funktionen haben, nutzen viele Sicherheitsteams beide als gegenseitige Ergänzung.
Bei Schwachstellenscans handelt es sich um automatisierte, umfassende Scans von Assets. Sie finden Fehler und melden sie dem Sicherheitsteam. Penetrationstests oder Pentests sind ein manueller Prozess. Sogenannte Pentester nutzen ethische Hacking-Skills, um nicht nur Schwachstellen im Netzwerk zu finden, sondern diese auch in simulierten Angriffen auszunutzen.
Schwachstellenscans sind kostengünstiger und einfacher durchzuführen, weshalb Sicherheitsteams sie verwenden, um ein System im Auge zu behalten. Penetrationstest erfordern mehr Ressourcen, können den Sicherheitsteams jedoch helfen, ihre Netzwerkfehlern besser zu verstehen.
In Kombination können Schwachstellenscans und Pentests das Schwachstellen-Management effektiver gestalten. Beispielsweise bieten Schwachstellenscans Pentestern einen nützlichen Ausgangspunkt. In der Zwischenzeit können Penetrationstests den Scan-Ergebnissen mehr Kontext verleihen, indem sie falsch-positive Ergebnisse aufdecken, Ursachen identifizieren und untersuchen, wie Cyberkriminelle Schwachstellen in komplexeren Angriffen miteinander verknüpfen können.
Weiterführende Lösungen
Erhebliche Verbesserung der Erkennungsraten und schnellere Erkennung und Untersuchung von Sicherheitsbedrohungen
Führen Sie ein Programm für das Schwachstellenmanagement ein, das Sicherheitslücken, die Ihre wichtigsten Assets gefährden könnten, identifiziert, priorisiert und deren Behebung verwaltet.
Identifizieren Sie Bedrohungen in wenigen Minuten. Verbessern Sie die Effizienz und vereinfachen Sie die Abläufe mit integrierten Workflows.
Vereinfachen und optimieren Sie Ihr Anwendungsmanagement und Ihren Technologiebetrieb mit generativen KI-gesteuerten Erkenntnissen.
Ressourcen
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.
Lesen Sie, wie Threat Hunting proaktiv bisher unbekannte oder laufende, nicht behobene Bedrohungen im Netzwerk eines Unternehmens identifiziert.
Wenn man gut über eine Bedrohung Bescheid weiß, kann man sie besser bekämpfen. Holen Sie sich umsetzbare Erkenntnisse, die Ihnen Aufschluss darüber geben, wie Bedrohungsakteure Angriffe durchführen und wie Sie Ihr Unternehmen proaktiv schützen können.