Niemand möchte, dass das von ihm verwaltete Netzwerk zum Ziel böswilliger Benutzer wird, die versuchen, Unternehmensdaten zu stehlen oder der Organisation Schaden zuzufügen. Um dies zu verhindern, müssen Sie Wege finden, um sicherzustellen, dass es für sie so wenige Möglichkeiten wie möglich gibt, einzudringen. Dies wird zum Teil dadurch erreicht, dass sichergestellt wird, dass jede einzelne Schwachstelle in Ihrem Netzwerk bekannt ist, adressiert und behoben wird. Und für die Schwachstellen, die nicht behoben werden können, ist etwas vorhanden, um sie zu mindern. Der erste Schritt ist offensichtlich; Es dient dazu, Ihr Netzwerk auf diese Schwachstellen zu scannen. Dies ist die Aufgabe einer bestimmten Art von Software, die als Vulnerability Scanning Tools bezeichnet wird. Heute stellen wir die 6 besten Tools und Software zum Scannen von Sicherheitslücken vor.
Beginnen wir damit, über Netzwerkschwachstellen zu sprechen – oder sollten wir Schwachstellen sagen – und versuchen zu erklären, was sie sind. Als Nächstes besprechen wir Tools zum Scannen von Sicherheitslücken. Wir beschreiben, wer sie braucht und warum. Und da ein Schwachstellen-Scanner nur eine Komponente eines Schwachstellen-Management-Prozesses ist – wenn auch eine wichtige – werden wir als Nächstes darüber sprechen. Dann sehen wir uns an, wie Schwachstellen-Scanner normalerweise funktionieren. Alle sind etwas anders, aber im Kern gibt es oft mehr Gemeinsamkeiten als Unterschiede. Und bevor wir die besten Schwachstellen-Scan-Tools und -Software überprüfen, werden wir ihre Hauptmerkmale besprechen.
Inhaltsverzeichnis
Eine Einführung in die Schwachstelle
Computersysteme und Netzwerke haben ein höheres Maß an Komplexität erreicht als je zuvor. Auf einem heutigen durchschnittlichen Server können normalerweise Hunderte von Prozessen ausgeführt werden. Jeder dieser Prozesse ist ein Computerprogramm, einige von ihnen sind große Programme, die aus Tausenden von Zeilen Quellcode bestehen. Und innerhalb dieses Codes könnte es – wahrscheinlich gibt es – alle möglichen unerwarteten Dinge geben. Ein Entwickler hat möglicherweise irgendwann eine Backdoor-Funktion hinzugefügt, um das Debugging zu vereinfachen. Und später könnte es diese Funktion fälschlicherweise in die endgültige Version geschafft haben. Es können auch einige Fehler bei der Eingabevalidierung auftreten, die unter bestimmten Umständen zu unerwarteten – und unerwünschten – Ergebnissen führen.
Jede davon kann verwendet werden, um zu versuchen, Zugang zu Systemen und Daten zu erhalten. Es gibt eine riesige Gemeinschaft von Leuten da draußen, die nichts Besseres zu tun haben, als diese Löcher zu finden und sie auszunutzen, um Ihre Systeme anzugreifen. Sicherheitslücken nennen wir diese Löcher. Unbeachtet können Schwachstellen von böswilligen Benutzern genutzt werden, um sich Zugang zu Ihren Systemen und Daten zu verschaffen – oder schlimmer noch, zu den Daten Ihres Kunden – oder um anderweitig Schaden anzurichten, wie z. B. die Unbrauchbarkeit Ihrer Systeme.
Schwachstellen können überall sein. Sie sind häufig in Software zu finden, die auf Ihren Servern oder deren Betriebssystemen ausgeführt wird, aber sie existieren auch in Netzwerkgeräten wie Switches, Routern und sogar Sicherheitsgeräten wie Firewalls. Man muss sie wirklich überall suchen.
Scan-Tools – Was sind sie und wie funktionieren sie?
Schwachstellen-Scanning- oder Bewertungs-Tools haben eine Hauptfunktion: das Identifizieren von Schwachstellen in Ihren Systemen, Geräten, Anlagen und Software. Sie werden Scanner genannt, weil sie normalerweise Ihre Geräte scannen, um nach bekannten Schwachstellen zu suchen.
Aber wie finden Schwachstellen-Scan-Tools Schwachstellen, die normalerweise nicht sichtbar sind? Wenn sie so offensichtlich wären, hätten sich die Entwickler vor der Veröffentlichung der Software darum gekümmert. Ähnlich wie Virenschutzsoftware, die Virendefinitionsdatenbanken verwendet, um Computervirensignaturen zu erkennen, verlassen sich die meisten Schwachstellenscanner auf Schwachstellendatenbanken und scannen Systeme nach bestimmten Schwachstellen. Diese Schwachstellendatenbanken können von bekannten unabhängigen Sicherheitstestlabors bezogen werden, die sich der Suche nach Schwachstellen in Software und Hardware verschrieben haben, oder sie können proprietäre Datenbanken des Werkzeugherstellers sein. Wie zu erwarten, ist das Erkennungsniveau, das Sie erhalten, nur so gut wie die Schwachstellendatenbank, die Ihr Tool verwendet.
Scan-Tools – wer braucht sie?
Die Ein-Wort-Antwort auf diese Frage ist ziemlich offensichtlich: Jeder! Niemand, der bei klarem Verstand ist, würde heutzutage daran denken, einen Computer ohne Virenschutz zu betreiben. Ebenso sollte kein Netzwerkadministrator auf mindestens eine Form der Schwachstellenerkennung verzichten. Angriffe könnten von überall kommen und Sie dort treffen, wo Sie sie am wenigsten erwarten. Sie müssen sich Ihres Expositionsrisikos bewusst sein.
Dies ist möglicherweise etwas, das theoretisch manuell durchgeführt werden könnte. Praktisch ist dies jedoch eine fast unmögliche Aufgabe. Allein das Finden von Informationen über Schwachstellen, geschweige denn das Scannen Ihrer Systeme auf deren Vorhandensein, kann eine enorme Menge an Ressourcen in Anspruch nehmen. Einige Organisationen widmen sich der Suche nach Schwachstellen und beschäftigen oft Hunderte, wenn nicht Tausende von Mitarbeitern.
Jeder, der mehrere Computersysteme oder Geräte verwaltet, würde stark von der Verwendung eines Schwachstellen-Scanning-Tools profitieren. Darüber hinaus wird die Einhaltung gesetzlicher Standards wie SOX oder PCI-DSS häufig dazu führen, dass Sie dies tun. Und selbst wenn sie es nicht verlangen, lässt sich die Einhaltung oft leichter nachweisen, wenn Sie nachweisen können, dass Sie Ihr Netzwerk auf Schwachstellen scannen.
Schwachstellenmanagement auf den Punkt gebracht
Das Erkennen von Schwachstellen mit einer Art Software-Tool ist unerlässlich. Dies ist der erste Schritt zum Schutz vor Angriffen. Aber es ist irgendwie nutzlos, wenn es nicht Teil eines vollständigen Vulnerability-Management-Prozesses ist. Intrusion Detection-Systeme sind keine Intrusion Prevention-Systeme, und ebenso erkennen Tools zum Scannen von Netzwerkschwachstellen – oder zumindest die meisten von ihnen – nur Schwachstellen und warnen Sie vor deren Vorhandensein.
Es liegt dann an Ihnen, dem Administrator, einen Prozess einzurichten, um erkannte Schwachstellen zu beheben. Das erste, was nach ihrer Entdeckung zu tun ist, ist die Schwachstellen zu bewerten. Sie möchten sicherstellen, dass erkannte Schwachstellen echt sind. Tools zum Scannen von Sicherheitslücken neigen dazu, lieber auf Nummer sicher zu gehen, und viele melden eine bestimmte Anzahl falsch positiver Ergebnisse. Und wenn es sich um echte Schwachstellen handelt, sind sie möglicherweise kein wirkliches Problem. Beispielsweise ist ein ungenutzter offener IP-Port auf einem Server möglicherweise kein Problem, wenn er sich direkt hinter einer Firewall befindet, die diesen Port blockiert.
Sobald die Schwachstellen bewertet sind, ist es an der Zeit, zu entscheiden, wie sie behandelt und behoben werden sollen. Wenn sie in einer Software gefunden wurden, die Ihr Unternehmen kaum oder gar nicht verwendet, besteht Ihre beste Vorgehensweise möglicherweise darin, die anfällige Software zu entfernen und durch eine andere zu ersetzen, die ähnliche Funktionen bietet. In anderen Fällen ist das Beheben von Schwachstellen so einfach wie das Anwenden eines Patches vom Softwarehersteller oder das Upgrade auf die neueste Version. Viele Schwachstellen-Scan-Tools identifizieren verfügbare Korrekturen für die gefundenen Schwachstellen. Andere Schwachstellen können einfach durch Ändern einiger Konfigurationseinstellungen behoben werden. Dies gilt insbesondere für Netzwerkgeräte, aber auch für Software, die auf Computern ausgeführt wird.
Hauptmerkmale von Vulnerability Scanning Tools
Es gibt viele Dinge, die man bei der Auswahl eines Vulnerability-Scanning-Tools beachten sollte. Einer der wichtigsten Aspekte dieser Tools ist die Auswahl an Geräten, die sie scannen können. Sie möchten ein Tool, mit dem Sie alle Ihre Geräte scannen können. Wenn Sie beispielsweise viele Linus-Server haben, sollten Sie ein Tool wählen, das sie scannen kann, und nicht eines, das nur Windows-Geräte behandelt. Sie möchten auch einen Scanner wählen, der in Ihrer Umgebung so genau wie möglich ist. Sie möchten nicht in nutzlosen Benachrichtigungen und Fehlalarmen ertrinken.
Ein weiteres wichtiges Unterscheidungsmerkmal ist die Schwachstellendatenbank des Tools. Wird es vom Anbieter gepflegt oder stammt es von einer unabhängigen Organisation? Wie regelmäßig wird sie aktualisiert? Wird es lokal oder in der Cloud gespeichert? Müssen Sie zusätzliche Gebühren zahlen, um die Schwachstellendatenbank zu nutzen oder Updates zu erhalten? Dies sind alles Dinge, die Sie wissen sollten, bevor Sie Ihr Werkzeug auswählen.
Einige Schwachstellenscanner verwenden eine aufdringlichere Scanmethode, die möglicherweise die Systemleistung beeinträchtigen könnte. Dies ist nicht unbedingt eine schlechte Sache, da die aufdringlichsten oft die besten Scanner sind, aber wenn sie die Systemleistung beeinträchtigen, sollten Sie darüber Bescheid wissen und Ihre Scans entsprechend planen. Übrigens ist die Zeitplanung ein weiterer wichtiger Aspekt von Netzwerk-Schwachstellen-Scan-Tools. Einige Tools haben nicht einmal geplante Scans und müssen manuell gestartet werden.
Es gibt mindestens zwei weitere wichtige Funktionen von Schwachstellen-Scan-Tools: Warnungen und Berichte. Was passiert, wenn eine Schwachstelle gefunden wird? Ist die Benachrichtigung klar und leicht verständlich? Wie wird es wiedergegeben? Ist es ein Popup auf dem Bildschirm, eine E-Mail, eine Textnachricht? Und was noch wichtiger ist: Bietet das Tool einen Einblick, wie die identifizierten Schwachstellen behoben werden können? Einige Tools tun dies und andere nicht. Einige haben sogar eine automatische Behebung bestimmter Schwachstellen. Andere Tools lassen sich in Patch-Management-Software integrieren, da Patchen oft der beste Weg ist, Schwachstellen zu beheben.
Was die Berichterstattung betrifft, so ist dies oft eine Frage der persönlichen Präferenz. Sie müssen jedoch sicherstellen, dass die Informationen, die Sie erwarten und in den Berichten finden müssen, tatsächlich vorhanden sind. Einige Tools haben nur vordefinierte Berichte, andere lassen Sie integrierte Berichte ändern. Und die besten – zumindest aus Sicht der Berichterstattung – lassen Sie benutzerdefinierte Berichte von Grund auf neu erstellen.
Unsere Top 6 Schwachstellen-Scan-Tools
Nachdem wir nun etwas mehr über Tools zum Scannen von Schwachstellen erfahren haben, wollen wir uns einige der besten oder interessantesten Pakete ansehen, die wir finden konnten. Wir haben versucht, eine Mischung aus kostenpflichtigen und kostenlosen Tools anzubieten. Es gibt auch Tools, die in einer kostenlosen und einer kostenpflichtigen Version verfügbar sind.
1. SolarWinds Network Configuration Manager (KOSTENLOSE TESTVERSION)
Falls Sie SolarWinds noch nicht kennen, das Unternehmen stellt seit etwa 20 Jahren einige der besten Netzwerkverwaltungstools her. Zu den besten Tools gehört der SolarWinds Network Performance Monitor, der als eines der besten Tools zur Überwachung der SNMP-Netzwerkbandbreite durchweg hohes Lob und begeisterte Kritiken erhalten hat. Das Unternehmen ist auch für seine kostenlosen Tools bekannt. Dies sind kleinere Tools, die für eine bestimmte Aufgabe des Netzwerkmanagements entwickelt wurden. Zu den bekanntesten dieser kostenlosen Tools gehören ein Subnetzrechner und ein TFTP-Server.
Das Tool, das wir hier vorstellen möchten, ist ein Tool namens SolarWinds Network Configuration Manager. Dies ist jedoch nicht wirklich ein Tool zum Scannen von Sicherheitslücken. Aber es gibt zwei spezifische Gründe, warum wir uns entschieden haben, dieses Tool in unsere Liste aufzunehmen. Das Produkt verfügt über eine Schwachstellenbewertungsfunktion und adressiert eine bestimmte Art von Schwachstelle, die zwar wichtig ist, aber nicht von vielen anderen Tools angegangen wird, nämlich die Fehlkonfiguration von Netzwerkgeräten.
Das primäre Dienstprogramm des SolarWinds Network Configuration Manager als Tool zum Scannen von Sicherheitslücken besteht in der Überprüfung der Konfigurationen von Netzwerkgeräten auf Fehler und Auslassungen. Das Tool kann auch Gerätekonfigurationen regelmäßig auf Änderungen überprüfen. Dies ist auch nützlich, da einige Angriffe gestartet werden, indem einige Gerätenetzwerkkonfigurationen – die oft nicht so sicher sind wie Server – so geändert werden, dass der Zugriff auf andere Systeme erleichtert wird. Das Tool kann Ihnen auch bei der Einhaltung von Standards oder Vorschriften mit seinen automatisierten Netzwerkkonfigurationstools helfen, die standardisierte Konfigurationen bereitstellen, Out-of-Process-Änderungen erkennen, Konfigurationen prüfen und sogar Verstöße korrigieren können.
Die Software lässt sich in die National Vulnerability Database integrieren, wodurch sie es verdient, noch mehr auf unserer Liste zu stehen. Es hat Zugriff auf die aktuellsten CVEs, um Schwachstellen in Ihren Cisco-Geräten zu identifizieren. Es funktioniert mit jedem Cisco-Gerät, auf dem ASA, IOS oder Nexus OS ausgeführt wird. Tatsächlich sind zwei weitere nützliche Tools, Network Insights for ASA und Network Insights for Nexus, direkt in das Produkt integriert.
Die Preise für den SolarWinds Network Configuration Manager beginnen bei 2.895 US-Dollar für bis zu 50 verwaltete Knoten und variieren je nach Anzahl der Knoten. Wenn Sie dieses Tool ausprobieren möchten, können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.
2. Microsoft Baseline Security Analyzer (MBSA)
Der Microsoft Baseline Security Analyzer, kurz MBSA, ist ein etwas älteres Tool von Microsoft. Obwohl das Tool für große Organisationen keine ideale Option ist, könnte es für kleinere Unternehmen gut geeignet sein, die nur über eine Handvoll Server verfügen. Dies ist ein Microsoft-Tool, also erwarten Sie besser nicht, dass Sie nach Microsoft-Produkten suchen, sonst werden Sie enttäuscht sein. Es scannt jedoch das Windows-Betriebssystem sowie einige Dienste wie die Windows-Firewall, SQL Server, IIS und Microsoft Office-Anwendungen.
Dieses Tool scannt jedoch nicht nach bestimmten Schwachstellen, wie es andere Schwachstellen-Scanner tun. Es sucht nach fehlenden Patches, Service Packs und Sicherheitsupdates und scannt Systeme auf administrative Probleme. Die Reporting-Engine des MBSA lässt Sie eine Liste fehlender Updates und Fehlkonfigurationen erhalten.
Als altes Tool von Microsoft ist MBSA nicht vollständig mit Windows 10 kompatibel. Version 2.3 funktioniert mit der neuesten Version von Windows, könnte jedoch einige Anpassungen erfordern, um Fehlalarme zu bereinigen und Prüfungen zu beheben, die nicht abgeschlossen werden können. Dieses Tool meldet beispielsweise fälschlicherweise, dass Windows Update unter Windows 10 nicht aktiviert ist. Ein weiterer Nachteil dieses Produkts besteht darin, dass es keine nicht von Microsoft stammenden Schwachstellen oder komplexe Schwachstellen erkennt. Dieses Tool ist einfach zu bedienen und macht seine Arbeit gut. Es könnte sehr gut das perfekte Tool für eine kleinere Organisation mit nur wenigen Windows-Computern sein.
3. Offenes Vulnerability Assessment System (OpenVAS)
Unser nächstes Tool heißt Open Vulnerability Assessment System oder OpenVAS. Es ist ein Framework aus mehreren Diensten und Tools. Sie alle zusammen machen es zu einem umfassenden und leistungsstarken Tool zum Scannen von Sicherheitslücken. Das Framework hinter OpenVAS ist Teil der Vulnerability-Management-Lösung von Greenbone Networks, aus der seit etwa zehn Jahren Elemente in die Community eingebracht werden. Das System ist völlig kostenlos und die meisten seiner Komponenten sind Open Source, einige jedoch nicht. Der OpenVAS-Scanner enthält über fünfzigtausend Netzwerk-Schwachstellentests, die regelmäßig aktualisiert werden.
OpenVAS besteht aus zwei Hauptkomponenten. Die erste Komponente ist der OpenVAS-Scanner. Wie der Name schon sagt, ist es für das eigentliche Scannen von Zielcomputern verantwortlich. Die zweite Komponente ist der OpenVAS-Manager, der alles andere übernimmt, wie die Steuerung des Scanners, die Konsolidierung der Ergebnisse und deren Speicherung in einer zentralen SQL-Datenbank. Das System umfasst sowohl Browser-basierte als auch Befehlszeilen-Benutzeroberflächen. Eine weitere Komponente des Systems ist die Network Vulnerability Tests-Datenbank. Diese Datenbank kann ihre Aktualisierungen entweder aus dem kostenlosen Greenborne Community Feed oder dem kostenpflichtigen Greenborne Security Feed beziehen.
4. Retina-Netzwerk-Community
Retina Network Community ist die kostenlose Version des Retina Network Security Scanners von AboveTrust, einem der bekanntesten Schwachstellen-Scanner. Dieser umfassende Schwachstellen-Scanner ist vollgepackt mit Funktionen. Das Tool kann eine gründliche Schwachstellenbewertung von fehlenden Patches, Zero-Day-Schwachstellen und unsicheren Konfigurationen durchführen. Es verfügt auch über Benutzerprofile, die auf Jobfunktionen abgestimmt sind, wodurch die Systembedienung vereinfacht wird. Dieses Produkt verfügt über eine intuitive GUI im Metro-Stil, die eine optimierte Bedienung des Systems ermöglicht.
Die Retina Network Community verwendet dieselbe Schwachstellendatenbank wie ihr kostenpflichtiger Bruder. Es handelt sich um eine umfangreiche Datenbank mit Netzwerkschwachstellen, Konfigurationsproblemen und fehlenden Patches, die automatisch aktualisiert wird und eine breite Palette von Betriebssystemen, Geräten, Anwendungen und virtuellen Umgebungen abdeckt. Zu diesem Thema unterstützt dieses Produkt vollständig VMware-Umgebungen und umfasst das Online- und Offline-Scannen virtueller Images, das Scannen virtueller Anwendungen und die Integration mit vCenter.
Die Retina Network Community hat jedoch einen großen Nachteil. Das Tool ist auf das Scannen von 256 IP-Adressen beschränkt. Dies sieht vielleicht nicht nach viel aus, wenn Sie ein großes Netzwerk verwalten, aber es könnte für viele kleinere Organisationen mehr als genug sein. Wenn Ihre Umgebung größer ist, gilt alles, was wir gerade über dieses Produkt gesagt haben, auch für seinen großen Bruder, den Retina Network Security Scanner, der in den Editionen Standard und Unlimited erhältlich ist. Beide Editionen verfügen im Vergleich zum Retina Network Community-Scanner über dieselben erweiterten Funktionen.
5. Nexpose Community Edition
Es ist vielleicht nicht ganz so beliebt wie Retina, aber Nexpose von Rapid7 ist ein weiterer bekannter Schwachstellen-Scanner. Und die Nexpose Community Edition ist eine leicht abgespeckte Version des umfassenden Schwachstellen-Scanners von Rapid7. Die Einschränkungen des Produkts sind jedoch wichtig. Beispielsweise können Sie mit dem Produkt nur maximal 32 IP-Adressen scannen. Dies macht es nur für die kleinsten Netzwerke zu einer guten Option. Außerdem kann das Produkt nur ein Jahr lang verwendet werden. Wenn man mit dem Produkt leben kann, ist es ausgezeichnet.
Die Nexpose Community Edition läuft auf physischen Computern, auf denen entweder Windows oder Linux ausgeführt wird. Es ist auch als virtuelle Appliance verfügbar. Seine umfangreichen Scanfunktionen werden Netzwerke, Betriebssysteme, Webanwendungen, Datenbanken und virtuelle Umgebungen handhaben. Nexpose Community Edition verwendet adaptive Sicherheit, die neue Geräte und neue Schwachstellen automatisch erkennen und bewerten kann, sobald sie auf Ihr Netzwerk zugreifen. Diese Funktion funktioniert in Verbindung mit dynamischen Verbindungen zu VMware und AWS. Dieses Tool lässt sich auch in das Sonar-Forschungsprojekt integrieren, um eine echte Live-Überwachung zu ermöglichen. Die Nexpose Community Edition bietet integriertes Richtlinien-Scannen, um die Einhaltung gängiger Standards wie CIS und NIST zu unterstützen. Und nicht zuletzt geben Ihnen die intuitiven Korrekturberichte des Tools Schritt-für-Schritt-Anweisungen zu Korrekturmaßnahmen.