Veröffentlicht: 15. Dezember 2023
Mitwirkende: Matt Kosinski, Amber Forrest
Beim Schwachstellen-Scanning, auch „Schwachstellen-Bewertung“ genannt, werden Netzwerke oder IT-Assets auf Sicherheitslücken untersucht – also auf Fehler oder Schwachstellen, die von externen oder internen Bedrohungsakteuren ausgenutzt werden können. Das Schwachstellen-Scanning ist die erste Phase des umfassenderen Lebenszyklus des Schwachstellen-Managements.
In den meisten Unternehmen werden Schwachstellenscans heutzutage vollständig automatisiert. Sie werden von speziellen Tools für das Schwachstellen-Scanning durchgeführt, die Schwachstellen finden und kennzeichnen, damit das Sicherheitsteam sie überprüfen kann.
Laut dem X-Force Threat Intelligence Index von IBM ist die Ausnutzung von Schwachstellen der zweithäufigste Vektor für Cyberangriffe nach Phishing. Schwachstellen-Scanning hilft Unternehmen, Sicherheitslücken zu erkennen und zu schließen, bevor Cyberkriminelle sie als Waffe einsetzen können. Aus diesem Grund betrachtet das Center for Internet Security (CIS) (Link befindet sich außerhalb von ibm.com) die kontinuierliche Verwaltung von Schwachstellen, einschließlich automatischer Schwachstellenscans, als eine wichtige Praxis der Cybersicherheit.
Eine Sicherheitslücke ist eine Schwachstelle in der Struktur, Funktion oder Implementierung eines IT-Assets oder Netzwerks, die Hacker oder andere Bedrohungsakteure ausnutzen können, um sich unbefugt Zugang zu verschaffen und dem Netzwerk, den Benutzern oder dem Unternehmen Schaden zuzufügen. Zu den häufigsten Schwachstellen gehören:
- Codierungsfehler, z. B. Web-Apps, die aufgrund der Art und Weise, wie sie Benutzereingaben verarbeiten, anfällig für Cross-Site-Scripting, SQL-Injection und andere Injection-Angriffe sind.
- Ungeschützte offene Ports auf Servern, Laptops und anderen Endgeräten, mit denen Hacker Malware verbreiten können.
- Fehlkonfigurationen, z. B. ein Cloud-Speicher-Bucket, der sensible Daten dem öffentlichen Internet zugänglich macht, weil er über ungeeignete Zugriffsberechtigungen verfügt.
- Fehlende Patches, schwache Passwörter oder andere Mängel in der Cybersicherheitshygiene.
Jeden Monat werden Tausende neue Schwachstellen entdeckt. Zwei US-Regierungsbehörden unterhalten durchsuchbare Kataloge bekannter Sicherheitslücken: das National Institute of Standards and Technologies (NIST) und die Cybersecurity and Infrastructure Security Agency (CISA) (Links befinden sich außerhalb von ibm.com).
Leider werden Schwachstellen zwar gründlich dokumentiert, sobald sie entdeckt werden, aber Hacker und andere Bedrohungsakteure finden sie oft zuerst, sodass Unternehmen davon kalt erwischt werden können.
Um angesichts dieser Cyberbedrohungen eine proaktivere Sicherheitshaltung einzunehmen, implementieren IT-Teams Programme für das Schwachstellen-Management. Diese Programme folgen einem kontinuierlichen Prozess, um Sicherheitsrisiken zu identifizieren und zu beheben, bevor Hacker sie ausnutzen können. Schwachstellenscans sind in der Regel der erste Schritt im Prozess des Schwachstellen-Managements und decken die Sicherheitslücken auf, die IT- und Sicherheitsteams beheben müssen.
Viele Sicherheitsteams verwenden Schwachstellenscans auch für die folgenden Zwecke:
Validierung der Sicherheitsmaßnahmen und -kontrollen: Nach der Einführung neuer Kontrollen führen die Teams häufig einen weiteren Scan durch, um zu bestätigen, dass die identifizierten Schwachstellen geschlossen wurden und dass die Abhilfemaßnahmen keine neuen Probleme verursacht haben.
Einhaltung von Vorschriften: Einige Vorschriften verlangen ausdrücklich Schwachstellenscans. Der Payment Card Industry Data Security Standard (PCI-DSS) schreibt beispielsweise vor, dass Unternehmen, die Daten von Karteninhabern verarbeiten, vierteljährliche Scans durchführen müssen (Link befindet sich außerhalb von ibm.com).
Angesichts von Cloud- und lokalen Apps, mobilen und IoT-Geräten, Laptops und anderen traditionellen Endgeräten enthalten moderne Unternehmensnetzwerke zu viele Assets für manuelle Schwachstellenscans. Stattdessen verwenden Sicherheitsteams Schwachstellenscanner, um regelmäßig automatisierte Scans durchzuführen.
Um potenzielle Schwachstellen zu finden, sammeln Scanner zunächst Informationen über IT-Assets. Einige Scanner verwenden Agents, die auf Endgeräten installiert sind, um Daten über Geräte und die darauf laufende Software zu erfassen. Andere Scanner untersuchen Systeme von außen, indem sie offene Ports sondieren, um Details über Gerätekonfigurationen und aktive Dienste zu ermitteln. Einige Scanner führen dynamischere Tests durch, z. B. den Versuch, sich mit den Standard-Anmeldedaten bei einem Gerät anzumelden.
Sobald ein Scanner eine Bestandsaufnahme der Assets durchgeführt hat, vergleicht er diese mit einer Schwachstellendatenbank, die häufige Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) für verschiedene Hardware- und Softwareversionen aufzeichnet. Einige Scanner verlassen sich auf öffentliche Quellen wie die NIST- und CISA-Datenbanken; andere verwenden proprietäre Datenbanken.
Der Scanner prüft, ob die einzelnen Assets Anzeichen für die mit ihnen verbundenen Schwachstellen aufweisen, z. B. ein Betriebssystem, das bekanntermaßen einen Fehler im Remote-Desktop-Protokoll aufweist, der es Hackern ermöglicht, die Kontrolle über das Gerät zu übernehmen. Scanner können auch die Konfigurationen eines Assets mit einer Liste bewährter Sicherheitspraktiken abgleichen, z. B. ob für eine sensible Datenbank ausreichend strenge Authentifizierungskriterien gelten.
Anschließend erstellt der Scanner einen Bericht über die identifizierten Schwachstellen, den das Sicherheitsteam überprüfen kann. In den einfachsten Berichten wird lediglich jedes Sicherheitsproblem aufgeführt, das behoben werden muss. Einige Scanner bieten detaillierte Erklärungen und vergleichen die Scan-Ergebnisse mit früheren Scans, um die Verwaltung der Schwachstellen im Laufe der Zeit nachzuvollziehen.
Fortschrittlichere Scanner priorisieren die Schwachstellen auch nach ihrer Kritikalität. Scanner können Open-Source-Bedrohungsinformationen wie CVSS-Bewertungen (Common Vulnerability Scoring System) verwenden, um zu beurteilen, wie kritisch eine Schwachstelle ist, oder sie können komplexere Algorithmen einsetzen, die die Schwachstelle im einzigartigen Kontext des Unternehmens berücksichtigen. Diese Scanner können auch Empfehlungen zur Behebung und Abschwächung der einzelnen Schwachstellen geben.
Die Sicherheitsrisiken eines Netzwerks ändern sich, wenn neue Assets hinzugefügt und neue Schwachstellen entdeckt werden. Jeder Schwachstellenscan kann jedoch nur einen bestimmten Moment erfassen. Um mit der sich entwickelnden Cyberbedrohungslandschaft Schritt zu halten, führen Unternehmen regelmäßig Scans durch.
Bei den meisten Schwachstellenscans werden nicht alle Netzwerk-Assets auf einmal untersucht, da dies zu ressourcen- und zeitaufwändig wäre. Stattdessen gruppieren Sicherheitsteams Assets oft nach Kritikalität und scannen sie in Batches. Die wichtigsten Assets können wöchentlich oder monatlich gescannt werden, während weniger kritische Assets vierteljährlich oder jährlich gescannt werden können.
Sicherheitsteams können auch immer dann Scans durchführen, wenn größere Änderungen am Netzwerk vorgenommen werden, wie z. B. das Hinzufügen neuer Webserver oder das Erstellen einer neuen sensiblen Datenbank.
Einige fortschrittliche Schwachstellenscanner bieten kontinuierliches Scannen an. Diese Tools überwachen Assets in Echtzeit und kennzeichnen neue Schwachstellen, sobald sie auftauchen. Allerdings ist kontinuierliches Scannen nicht immer machbar oder erwünscht. Intensivere Schwachstellenscans können die Netzwerkleistung beeinträchtigen, weshalb manche IT-Teams stattdessen lieber regelmäßige Scans durchführen.
Es gibt viele verschiedene Arten von Scannern, und Sicherheitsteams verwenden häufig eine Kombination verschiedener Tools, um sich ein umfassendes Bild von Netzwerkschwachstellen zu machen.
Einige Scanner konzentrieren sich auf bestimmte Arten von Assets. Cloud-Scanner richten ihren Fokus beispielsweise auf Cloud-Services, während Tools zum Scannen von Webanwendungen nach Schwachstellen in Web-Apps suchen.
Scanner können lokal installiert oder als Software-as-a-Service (SaaS)-Apps bereitgestellt werden. Sowohl Open-Source-Schwachstellenscanner als auch kostenpflichtige Tools sind weit verbreitet. Einige Unternehmen beauftragen auch Drittanbieter mit dem gesamten Schwachstellen-Scanning.
Obwohl Schwachstellenscanner als Einzellösungen erhältlich sind, bieten Anbieter sie zunehmend als Teil von ganzheitlichen Suites für das Schwachstellen-Management an. Diese Tools kombinieren mehrere Arten von Scannern mit Angriffsflächenmanagement, Asset-Management, Patch-Management und anderen wichtigen Funktionen in einer Lösung.
Viele Scanner unterstützen Integrationen mit anderen Cybersicherheitstools wie SIEMs (Security Information and Event Management Systems) und Endpoint Detection and Response (EDR).
Sicherheitsteams können je nach Bedarf verschiedene Arten von Scans durchführen. Zu den häufigsten Arten von Schwachstellenscans gehören:
Externe Schwachstellenscans betrachten das Netzwerk von außen. Sie konzentrieren sich auf Schwachstellen in internetbasierten Assets wie Web-Apps und testen Perimeterkontrollen wie Firewalls. Diese Scans zeigen, wie ein externer Hacker in ein Netzwerk eindringen könnte.
Interne Schwachstellenscans untersuchen Schwachstellen innerhalb des Netzwerks. Sie geben Aufschluss darüber, was ein Hacker tun könnte, wenn er in das System eindringt, wie er sich seitlich bewegen könnte und welche sensiblen Informationen er bei einer Datenschutzverletzung stehlen könnte.
Authentifizierte Scans, auch „Scans mit Anmeldedaten“ genannt, erfordern die Zugriffsrechte eines autorisierten Benutzers. Anstatt eine Anwendung nur von außen zu betrachten, kann der Scanner sehen, was ein angemeldeter Benutzer sehen würde. Diese Scans veranschaulichen, was ein Hacker mit einem gestohlenen Konto tun könnte oder wie eine Insider-Bedrohung Schaden anrichten könnte.
Unauthentifizierte Scans, auch „Scans ohne Anmeldedaten“ genannt, haben keine Zugriffsberechtigungen oder Privilegien. Sie sehen die Assets nur aus der Perspektive eines Außenstehenden. Sicherheitsteams können sowohl interne als auch externe unauthentifizierte Scans durchführen.
Zwar hat jede Art von Scan ihre eigenen Anwendungsfälle, aber es gibt einige Überschneidungen, und sie können kombiniert werden, um verschiedene Zwecke zu erfüllen. Ein authentifizierter interner Scan würde zum Beispiel die Perspektive einer Insider-Bedrohung zeigen. Im Gegensatz dazu würde ein nicht authentifizierter interner Scan zeigen, was ein böswilliger Hacker sehen würde, wenn er in das Netzwerk eindringen würde.
Schwachstellenscans und Penetrationstests sind unterschiedliche, aber verwandte Formen von Netzwerksicherheitstests. Obwohl sie unterschiedliche Funktionen haben, nutzen viele Sicherheitsteams beide als gegenseitige Ergänzung.
Bei Schwachstellenscans handelt es sich um automatisierte, umfassende Scans von Assets. Sie finden Fehler und melden sie dem Sicherheitsteam. Penetrationstests oder Pentests sind ein manueller Prozess. Sogenannte Pentester nutzen ethische Hacking-Skills, um nicht nur Schwachstellen im Netzwerk zu finden, sondern diese auch in simulierten Angriffen auszunutzen.
Schwachstellenscans sind kostengünstiger und einfacher durchzuführen, weshalb Sicherheitsteams sie verwenden, um ein System im Auge zu behalten. Penetrationstest erfordern mehr Ressourcen, können den Sicherheitsteams jedoch helfen, ihre Netzwerkfehlern besser zu verstehen.
In Kombination können Schwachstellenscans und Pentests das Schwachstellen-Management effektiver gestalten. Beispielsweise bieten Schwachstellenscans Pentestern einen nützlichen Ausgangspunkt. In der Zwischenzeit können Penetrationstests den Scan-Ergebnissen mehr Kontext verleihen, indem sie falsch-positive Ergebnisse aufdecken, Ursachen identifizieren und untersuchen, wie Cyberkriminelle Schwachstellen in komplexeren Angriffen miteinander verknüpfen können.
Erhebliche Verbesserung der Erkennungsraten und schnellere Erkennung und Untersuchung von Sicherheitsbedrohungen
Führen Sie ein Programm für das Schwachstellenmanagement ein, das Sicherheitslücken, die Ihre wichtigsten Assets gefährden könnten, identifiziert, priorisiert und deren Behebung verwaltet.
Identifizieren Sie Bedrohungen in wenigen Minuten. Verbessern Sie die Effizienz und vereinfachen Sie die Abläufe mit integrierten Workflows.
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.
Die Bedrohungsjagd ist ein proaktiver Ansatz zur Identifizierung bisher unbekannter oder laufender, nicht beseitigter Bedrohungen im Netzwerk eines Unternehmens.
Wenn man gut über eine Bedrohung Bescheid weiß, kann man sie besser bekämpfen. Holen Sie sich umsetzbare Erkenntnisse, die Ihnen Aufschluss darüber geben, wie Bedrohungsakteure Angriffe durchführen und wie Sie Ihr Unternehmen proaktiv schützen können.