Vulnerability Scans sind essenzielle Werkzeuge, um Schwachstellen aufzudecken und potenzielle Angriffsflächen zu minimieren.
Was ist ein Vulnerability Scan oder Schwachsetellenscan?
Ein Vulnerability Scan prüft Software oder Betriebssysteme und identifiziert Fehlkonfigurationen oder Sicherheitslücken, mithilfe einer Signiture Database – eine Liste von über 70.000 bekannten und dokumentierten Schwachstellen z. B. fehlende Sicherheitspatches. Um „False Positives“ zu vermeiden sollten die automatisierten Prozesse auch kontrolliert und bestätigt werden.
Ein Schwachsetellenscan ist nur ein Teil des „Vulnerability Management Lifecycle“!
Planung und Zieldefinition
Bevor der eigentliche Scan beginnt, ist eine klare Planung und Zielsetzung (Scope) entscheidend. Es muss festgelegt werden, welche Systeme, Netzwerke oder Anwendungen gescannt werden sollen. Auch die Anzahl der zu scannenden IP-Adressen sollte vorher definiert werden. Eine genaue Definition des Umfangs hilft dabei, den Scan effizient und zielgerichtet durchzuführen.
Um die Vorbereitungszeit zu verkürzen, wird empfohlen eine Liste der DNS Einträge für die Hauptdomain mitzuliefern um sicher zu gehen, dass alle erreichbaren Assests geprüft werden können.
Permission to Attack (PtA)
Insbesondere wenn externe Systeme oder Cloud-Dienste gescannt werden sollen, ist es wichtig, alle erforderlichen Genehmigungen einzuholen. Ohne die entsprechenden Berechtigungen könnten Scans als unautorisierte Zugriffsversuche interpretiert werden, was rechtliche Konsequenzen nach sich ziehen kann.
Auswahl und Konfiguration der Tools
Die Wahl des richtigen Vulnerability-Scanners ist entscheidend für den Erfolg des Scans. Beliebte Tools wie Nessus, OpenVAS oder Qualys bieten unterschiedliche Funktionen und sollten basierend auf den spezifischen Anforderungen ausgewählt werden. Nach der Auswahl des Tools folgt die Konfiguration. Hierbei werden Einstellungen wie der zu scannende IP-Bereich, die Scan-Tiefe und die zu prüfende Dienste festgelegt. Eine korrekte Konfiguration stellt sicher, dass der Scan alle relevanten Bereiche abdeckt.
Durchführung des Scans
Mit der Planung und Konfiguration abgeschlossen, wird der Scanner gestartet. Er beginnt damit, die definierten Systeme auf bekannte Schwachstellen zu überprüfen. Während des Scans identifiziert das Tool offene Ports, unsichere Konfigurationen, veraltete Software und andere Sicherheitslücken. Alle identifizierten Schwachstellen werden protokolliert und im Scan-Report gespeichert. Diese Daten bilden die Grundlage für die anschließende Analyse und Maßnahmenplanung.
Analyse der Ergebnisse
Nach Abschluss des Scans werden die Ergebnisse sorgfältig gesichtet und analysiert. Ziel ist es, die gefundenen Sicherheitslücken zu verstehen und ihre Auswirkungen zu bewerten. Jede Schwachstelle wird nach ihrem Schweregrad eingestuft, häufig basierend auf dem CVSS-Score (Common Vulnerability Scoring System) Diese Risiko-Bewertung hilft dabei, die Dringlichkeit der Behebung zu bestimmen. Basierend auf der Risiko-Bewertung werden die Schwachstellen nach ihrer Kritikalität und dem potenziellen Risiko priorisiert. Kritische Lücken, die leicht ausgenutzt werden können, erhalten höchste Priorität.
Dokumentation und Abschlussbericht
Es wird ein detaillierter Bericht mit Empfehlungen zur Behebung erstellt, der festlegt, welche Schwachstellen behoben werden sollen und welche Schritte dafür erforderlich sind. Dieser kann das Einspielen von Patches, das Aktualisieren von Software oder das Anpassen von Sicherheitskonfigurationen beinhalten.
Zum Abschluss wird ein umfassender Abschlussbericht erstellt. Dieser dokumentiert den gesamten Scan-Prozess, die identifizierten Schwachstellen, die durchgeführten Maßnahmen und den aktuellen Sicherheitsstatus. Es werden oft zwei Berichte mitgeliefert – einen für die technische Seite und einen für das Management
Ein Scan ist erst der Anfang. Genauso entscheidend sind die Fehlerbehebung, die regelmäßige Sensibilisierung der Mitarbeiter:innen und die regelmäßige Aktualisierung der Netzwerkumgebung. Diese Maßnahmen sollten fortlaufend überprüft werden, um nachhaltige Sicherheit zu gewährleisten.
Hilfreiche Ressourcen bezüglich bekannter Vulberabilities
https://owasp.org/www-community/vulnerabilities
https://www.cisa.gov/known-exploited-vulnerabilities-catalog