Kein Administrator wünscht, dass sein Netzwerk zur Zielscheibe von Personen mit bösen Absichten wird, die darauf aus sind, Firmendaten zu entwenden oder dem Unternehmen Schaden zuzufügen. Um das zu verhindern, müssen Wege gefunden werden, die das Eindringen möglichst erschweren. Dies erreicht man unter anderem, indem jede Schwachstelle im Netzwerk bekannt ist, angegangen und behoben wird. Für Schwachstellen, die nicht behoben werden können, müssen Maßnahmen zur Risikominderung getroffen werden. Der erste Schritt ist die Suche nach Schwachstellen im Netzwerk. Diese Aufgabe übernimmt eine spezielle Software, die als Schwachstellen-Scan-Tool bezeichnet wird. Wir stellen heute die 6 besten Tools und Softwarelösungen für die Schwachstellenanalyse vor.
Beginnen wir mit der Definition von Netzwerkschwachstellen – oder einfach Schwachstellen. Anschließend betrachten wir die Tools zur Schwachstellensuche, deren Notwendigkeit und Anwendungsbereiche. Ein Schwachstellenscanner ist zwar eine wichtige, aber nur eine Komponente eines umfassenden Schwachstellenmanagements. Daher gehen wir auch darauf ein. Wir werden auch die Funktionsweise von Schwachstellenscannern untersuchen. Obwohl sie sich in Details unterscheiden, haben sie im Kern oft mehr Gemeinsamkeiten als Unterschiede. Bevor wir die besten Tools und Software zur Schwachstellenanalyse vorstellen, werden wir ihre Hauptmerkmale beleuchten.
Einführung in die Schwachstelle
Computersysteme und Netzwerke haben eine beispiellose Komplexität erreicht. Ein typischer Server führt Hunderte von Prozessen gleichzeitig aus. Jeder dieser Prozesse ist ein Computerprogramm, von denen einige umfangreich sind und Tausende von Zeilen Quellcode umfassen. In diesem Code können – und höchstwahrscheinlich existieren – unerwartete Situationen auftreten. Ein Entwickler hat möglicherweise während des Debugging-Prozesses eine Hintertürfunktion hinzugefügt. Diese Funktion ist dann versehentlich in der endgültigen Version verblieben. Fehler bei der Eingabeüberprüfung können unter bestimmten Umständen auch zu unbeabsichtigten – und unerwünschten – Ergebnissen führen.
Jede dieser Situationen kann genutzt werden, um sich Zugriff auf Systeme und Daten zu verschaffen. Es gibt eine große Anzahl von Personen, die nichts Besseres zu tun haben, als diese Lücken zu finden und auszunutzen, um Ihre Systeme anzugreifen. Diese Lücken nennen wir Schwachstellen. Unbehandelt können Schwachstellen von böswilligen Benutzern genutzt werden, um Zugriff auf Ihre Systeme und Daten – oder schlimmer noch, auf die Daten Ihrer Kunden – zu erlangen oder anderweitigen Schaden anzurichten, indem Ihre Systeme beispielsweise unbrauchbar gemacht werden.
Schwachstellen können überall auftreten. Sie befinden sich oft in Software, die auf Ihren Servern oder Betriebssystemen läuft. Sie können aber auch in Netzwerkgeräten wie Switches, Routern und sogar Sicherheitsgeräten wie Firewalls vorhanden sein. Daher ist es unerlässlich, überall danach zu suchen.
Scan-Tools – Was sind sie und wie funktionieren sie?
Schwachstellen-Scan- oder Bewertungstools haben die Hauptfunktion, Schwachstellen in Ihren Systemen, Geräten und Software zu identifizieren. Sie werden Scanner genannt, weil sie normalerweise Ihre Geräte durchsuchen, um bekannte Schwachstellen zu finden.
Aber wie erkennen Schwachstellen-Scan-Tools Schwachstellen, die normalerweise nicht sichtbar sind? Wenn sie so offensichtlich wären, hätten die Entwickler sie vor der Veröffentlichung der Software behoben. Ähnlich wie Antivirensoftware, die Virendefinitionsdatenbanken verwendet, um Computervirensignaturen zu erkennen, verwenden die meisten Schwachstellenscanner Schwachstellendatenbanken, um Systeme nach bestimmten Schwachstellen zu durchsuchen. Diese Schwachstellendatenbanken können von bekannten, unabhängigen Sicherheitsprüflabors bezogen werden, die sich mit der Suche nach Schwachstellen in Software und Hardware beschäftigen, oder es handelt sich um proprietäre Datenbanken des Werkzeugherstellers. Die Erkennungsrate hängt von der Qualität der von Ihrem Tool verwendeten Schwachstellendatenbank ab.
Scan-Tools – Wer braucht sie?
Die kurze Antwort auf diese Frage lautet: jeder! Niemand, der bei Verstand ist, würde heutzutage in Erwägung ziehen, einen Computer ohne Virenschutz zu betreiben. Ebenso wenig sollte ein Netzwerkadministrator auf eine Form der Schwachstellenanalyse verzichten. Angriffe können von überall her kommen und Sie dort treffen, wo Sie es am wenigsten erwarten. Sie müssen sich Ihres Gefährdungspotenzials bewusst sein.
Theoretisch könnte man das manuell erledigen. In der Praxis ist es jedoch eine fast unmögliche Aufgabe. Allein das Auffinden von Informationen über Schwachstellen und das anschließende Scannen Ihrer Systeme auf deren Vorhandensein kann eine enorme Menge an Ressourcen erfordern. Einige Organisationen beschäftigen sich ausschließlich mit der Suche nach Schwachstellen und haben oft Hunderte oder sogar Tausende von Mitarbeitern.
Jeder, der mehrere Computersysteme oder Geräte verwaltet, würde von der Verwendung eines Schwachstellen-Scan-Tools stark profitieren. Darüber hinaus wird die Einhaltung gesetzlicher Standards wie SOX oder PCI-DSS oft die Anwendung solcher Tools voraussetzen. Selbst wenn sie nicht obligatorisch sind, kann die Einhaltung durch den Nachweis des Schwachstellen-Scans Ihres Netzwerks oft leichter erbracht werden.
Schwachstellenmanagement auf den Punkt gebracht
Die Erkennung von Schwachstellen durch Softwaretools ist unerlässlich. Es ist der erste Schritt zum Schutz vor Angriffen. Ohne einen umfassenden Schwachstellenmanagementprozess ist dieser Schritt jedoch nutzlos. Intrusion Detection Systems sind keine Intrusion Prevention Systems. In ähnlicher Weise erkennen Tools zum Scannen von Netzwerkschwachstellen – oder zumindest die meisten von ihnen – Schwachstellen lediglich und weisen Sie auf deren Vorhandensein hin.
Es liegt dann an Ihnen, dem Administrator, einen Prozess einzurichten, um die erkannten Schwachstellen zu beheben. Das erste, was nach der Entdeckung zu tun ist, ist die Schwachstellen zu bewerten. Sie müssen sicherstellen, dass die erkannten Schwachstellen echt sind. Tools zum Scannen von Sicherheitslücken neigen dazu, lieber auf Nummer sicher zu gehen, und melden daher oft eine Reihe von falsch positiven Ergebnissen. Selbst wenn es sich um echte Schwachstellen handelt, sind sie möglicherweise kein echtes Problem. Beispielsweise ist ein nicht verwendeter offener IP-Port auf einem Server möglicherweise kein Problem, wenn er sich direkt hinter einer Firewall befindet, die diesen Port blockiert.
Sobald die Schwachstellen bewertet sind, ist es an der Zeit zu entscheiden, wie sie behandelt und behoben werden sollen. Wenn sie in einer Software gefunden wurden, die Ihr Unternehmen kaum oder gar nicht verwendet, ist es möglicherweise am besten, die anfällige Software zu entfernen und durch eine andere mit ähnlichen Funktionen zu ersetzen. In anderen Fällen kann das Beheben von Schwachstellen so einfach sein, wie das Einspielen eines Patches des Softwareherstellers oder ein Upgrade auf die neueste Version. Viele Schwachstellen-Scan-Tools erkennen verfügbare Korrekturen für die gefundenen Schwachstellen. Andere Schwachstellen können einfach durch Änderungen in den Konfigurationseinstellungen behoben werden. Dies gilt insbesondere für Netzwerkgeräte, aber auch für Software auf Computern.
Hauptmerkmale von Vulnerability Scanning Tools
Bei der Auswahl eines Vulnerability-Scanning-Tools sind viele Aspekte zu berücksichtigen. Einer der wichtigsten Aspekte ist die Auswahl der Geräte, die gescannt werden können. Sie brauchen ein Tool, mit dem Sie alle Ihre Geräte scannen können. Wenn Sie beispielsweise viele Linux-Server haben, sollten Sie ein Tool wählen, das diese scannen kann, und nicht eines, das nur Windows-Geräte behandelt. Sie sollten auch einen Scanner auswählen, der in Ihrer Umgebung so genau wie möglich ist. Sie möchten nicht in nutzlosen Benachrichtigungen und Fehlalarmen ertrinken.
Ein weiteres wichtiges Unterscheidungsmerkmal ist die Schwachstellendatenbank des Tools. Wird sie vom Anbieter gepflegt oder stammt sie von einer unabhängigen Organisation? Wie regelmäßig wird sie aktualisiert? Wird sie lokal oder in der Cloud gespeichert? Müssen Sie zusätzliche Gebühren zahlen, um die Schwachstellendatenbank zu nutzen oder Updates zu erhalten? Das sind wichtige Fragen, die Sie vor der Auswahl Ihres Tools klären sollten.
Einige Schwachstellenscanner verwenden eine aufdringlichere Scanmethode, die die Systemleistung beeinträchtigen könnte. Das muss nicht unbedingt schlecht sein, da die aufdringlichsten Scanner oft die besten sind. Wenn diese jedoch die Systemleistung beeinträchtigen, sollten Sie sich dessen bewusst sein und Ihre Scans entsprechend planen. Die Planung ist ein weiterer wichtiger Aspekt von Schwachstellen-Scan-Tools. Einige Tools verfügen nicht einmal über geplante Scans und müssen manuell gestartet werden.
Zwei weitere wichtige Funktionen von Schwachstellen-Scan-Tools sind Warnungen und Berichte. Was geschieht, wenn eine Schwachstelle gefunden wird? Ist die Benachrichtigung klar und leicht verständlich? Wie wird sie angezeigt? Ist es ein Popup auf dem Bildschirm, eine E-Mail, eine Textnachricht? Und was noch wichtiger ist: Bietet das Tool Einblick, wie die identifizierten Schwachstellen behoben werden können? Einige Tools können das, andere nicht. Einige haben sogar eine automatische Behebung für bestimmte Schwachstellen. Andere Tools lassen sich in Patch-Management-Software integrieren, da Patches oft der beste Weg sind, um Schwachstellen zu beheben.
Die Berichterstellung ist oft eine Frage der persönlichen Vorliebe. Sie sollten jedoch sicherstellen, dass die Informationen, die Sie erwarten und in den Berichten benötigen, auch tatsächlich vorhanden sind. Einige Tools haben nur vordefinierte Berichte, andere erlauben Ihnen, integrierte Berichte zu ändern. Die besten – zumindest aus Sicht der Berichterstellung – lassen Sie benutzerdefinierte Berichte von Grund auf neu erstellen.
Unsere Top 6 Schwachstellen-Scan-Tools
Nachdem wir nun mehr über Tools zur Schwachstellenanalyse erfahren haben, sehen wir uns einige der besten oder interessantesten Pakete an, die wir finden konnten. Wir haben versucht, eine Mischung aus kostenpflichtigen und kostenlosen Tools anzubieten. Einige Tools sind auch in einer kostenlosen und einer kostenpflichtigen Version erhältlich.
1. SolarWinds Network Configuration Manager (KOSTENLOSE TESTVERSION)
SolarWinds ist ein Unternehmen, das seit etwa 20 Jahren einige der besten Netzwerkmanagement-Tools entwickelt. Zu den besten Tools gehört der SolarWinds Network Performance Monitor, der durchweg positives Feedback als eines der besten Tools zur Überwachung der SNMP-Netzwerkbandbreite erhält. Das Unternehmen ist auch für seine kostenlosen Tools bekannt. Dies sind kleinere Tools, die für bestimmte Netzwerkmanagementaufgaben entwickelt wurden. Zu den bekanntesten dieser kostenlosen Tools gehören ein Subnetzrechner und ein TFTP-Server.
Das Tool, das wir hier vorstellen möchten, ist der SolarWinds Network Configuration Manager. Es handelt sich dabei jedoch nicht um ein Tool zur Schwachstellenanalyse im herkömmlichen Sinne. Wir haben uns jedoch aus zwei Gründen entschieden, dieses Tool in unsere Liste aufzunehmen. Das Produkt verfügt über eine Funktion zur Schwachstellenbewertung und adressiert eine bestimmte Art von Schwachstelle, die zwar wichtig ist, aber von vielen anderen Tools nicht angegangen wird, nämlich die Fehlkonfiguration von Netzwerkgeräten.
Die primäre Funktion des SolarWinds Network Configuration Manager als Tool zur Schwachstellenanalyse besteht in der Überprüfung der Konfigurationen von Netzwerkgeräten auf Fehler und Auslassungen. Das Tool kann Gerätekonfigurationen auch regelmäßig auf Änderungen überprüfen. Das ist insofern nützlich, als einige Angriffe gestartet werden, indem einige Gerätenetzwerkkonfigurationen – die oft nicht so sicher sind wie Server – so geändert werden, dass der Zugriff auf andere Systeme erleichtert wird. Das Tool kann Ihnen auch bei der Einhaltung von Standards oder Vorschriften helfen, mit automatisierten Tools, die standardisierte Konfigurationen bereitstellen, unerwartete Änderungen erkennen, Konfigurationen überprüfen und sogar Abweichungen beheben können.
Die Software lässt sich in die National Vulnerability Database integrieren, was sie noch empfehlenswerter macht. Sie hat Zugriff auf die aktuellsten CVEs, um Schwachstellen in Ihren Cisco-Geräten zu identifizieren. Sie funktioniert mit jedem Cisco-Gerät, das ASA, IOS oder Nexus OS ausführt. Tatsächlich sind zwei weitere nützliche Tools, Network Insights for ASA und Network Insights for Nexus, direkt in das Produkt integriert.
Die Preise für den SolarWinds Network Configuration Manager beginnen bei 2.895 US-Dollar für bis zu 50 verwaltete Knoten und variieren je nach Anzahl der Knoten. Wenn Sie dieses Tool ausprobieren möchten, können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.
2. Microsoft Baseline Security Analyzer (MBSA)
Der Microsoft Baseline Security Analyzer, kurz MBSA, ist ein etwas älteres Tool von Microsoft. Obwohl das Tool für große Organisationen keine ideale Option ist, könnte es für kleinere Unternehmen gut geeignet sein, die nur über eine Handvoll Server verfügen. Da es sich um ein Microsoft-Tool handelt, sollten Sie keine umfangreiche Suche nach Nicht-Microsoft-Produkten erwarten, sonst werden Sie enttäuscht sein. Es scannt jedoch das Windows-Betriebssystem sowie einige Dienste wie die Windows-Firewall, SQL Server, IIS und Microsoft Office-Anwendungen.
Dieses Tool scannt jedoch nicht nach bestimmten Schwachstellen, wie es andere Schwachstellen-Scanner tun. Es sucht nach fehlenden Patches, Service Packs und Sicherheitsupdates und scannt Systeme auf administrative Probleme. Die Reporting-Engine des MBSA liefert eine Liste fehlender Updates und Fehlkonfigurationen.
Als älteres Tool von Microsoft ist MBSA nicht vollständig mit Windows 10 kompatibel. Version 2.3 funktioniert zwar mit der neuesten Windows-Version, aber es kann einige Anpassungen erfordern, um Fehlalarme zu bereinigen und Überprüfungen zu korrigieren, die nicht abgeschlossen werden können. Das Tool meldet beispielsweise fälschlicherweise, dass Windows Update unter Windows 10 nicht aktiviert ist. Ein weiterer Nachteil dieses Produkts besteht darin, dass es keine Nicht-Microsoft-Schwachstellen oder komplexen Schwachstellen erkennt. Dieses Tool ist einfach zu bedienen und macht seine Arbeit gut. Es könnte für eine kleinere Organisation mit nur wenigen Windows-Computern genau das richtige sein.
3. Offenes Vulnerability Assessment System (OpenVAS)
Unser nächstes Tool heißt Open Vulnerability Assessment System oder OpenVAS. Es ist ein Framework aus mehreren Diensten und Tools. Gemeinsam bilden sie ein umfassendes und leistungsstarkes Werkzeug zur Schwachstellenanalyse. Das Framework hinter OpenVAS ist Teil der Vulnerability-Management-Lösung von Greenbone Networks, aus der seit etwa zehn Jahren Elemente in die Community eingebracht werden. Das System ist völlig kostenlos und die meisten seiner Komponenten sind Open Source, einige jedoch nicht. Der OpenVAS-Scanner enthält über fünfzigtausend Netzwerk-Schwachstellentests, die regelmäßig aktualisiert werden.
OpenVAS besteht aus zwei Hauptkomponenten. Die erste Komponente ist der OpenVAS-Scanner. Wie der Name schon sagt, ist er für das eigentliche Scannen von Zielcomputern zuständig. Die zweite Komponente ist der OpenVAS-Manager, der alles andere übernimmt, z. B. die Steuerung des Scanners, die Konsolidierung der Ergebnisse und deren Speicherung in einer zentralen SQL-Datenbank. Das System umfasst sowohl browserbasierte als auch Befehlszeilen-Benutzeroberflächen. Eine weitere Komponente des Systems ist die Network Vulnerability Tests-Datenbank. Diese Datenbank kann ihre Aktualisierungen entweder aus dem kostenlosen Greenborne Community Feed oder dem kostenpflichtigen Greenborne Security Feed beziehen.
4. Retina-Netzwerk-Community
Retina Network Community ist die kostenlose Version des Retina Network Security Scanners von AboveTrust, einem der bekanntesten Schwachstellen-Scanner. Dieser umfassende Schwachstellen-Scanner ist vollgepackt mit Funktionen. Das Tool kann eine gründliche Schwachstellenbewertung fehlender Patches, Zero-Day-Schwachstellen und unsicherer Konfigurationen durchführen. Es verfügt auch über Benutzerprofile, die auf Jobfunktionen zugeschnitten sind, wodurch die Systembedienung vereinfacht wird. Dieses Produkt verfügt über eine intuitive GUI im Metro-Stil, die eine optimierte Bedienung des Systems ermöglicht.
Die Retina Network Community verwendet dieselbe Schwachstellendatenbank wie ihr kostenpflichtiger Bruder. Es handelt sich um eine umfangreiche Datenbank mit Netzwerkschwachstellen, Konfigurationsproblemen und fehlenden Patches, die automatisch aktualisiert wird und eine breite Palette von Betriebssystemen, Geräten, Anwendungen und virtuellen Umgebungen abdeckt. In diesem Zusammenhang unterstützt dieses Produkt VMware-Umgebungen vollständig und umfasst das Online- und Offline-Scannen virtueller Images, das Scannen virtueller Anwendungen und die Integration mit vCenter.
Die Retina Network Community hat jedoch einen großen Nachteil. Das Tool ist auf das Scannen von 256 IP-Adressen beschränkt. Das mag nicht viel sein, wenn Sie ein großes Netzwerk verwalten, aber es könnte für viele kleinere Organisationen mehr als genug sein. Wenn Ihre Umgebung größer ist, gilt alles, was wir gerade über dieses Produkt gesagt haben, auch für seinen großen Bruder, den Retina Network Security Scanner, der in den Editionen Standard und Unlimited erhältlich ist. Beide Editionen verfügen im Vergleich zum Retina Network Community-Scanner über dieselben erweiterten Funktionen.
5. Nexpose Community Edition
Nexpose von Rapid7 ist zwar nicht so beliebt wie Retina, aber dennoch ein weiterer bekannter Schwachstellen-Scanner. Die Nexpose Community Edition ist eine leicht abgespeckte Version des umfassenden Schwachstellen-Scanners von Rapid7. Die Einschränkungen des Produkts sind jedoch erheblich. Beispielsweise können Sie mit dem Produkt maximal 32 IP-Adressen scannen. Das macht es nur für kleinste Netzwerke zu einer guten Option. Außerdem kann das Produkt nur ein Jahr lang verwendet werden. Wenn man diese Einschränkungen akzeptiert, ist es ein ausgezeichnetes Werkzeug.
Die Nexpose Community Edition läuft auf physischen Computern unter Windows oder Linux. Sie ist auch als virtuelle Appliance verfügbar. Ihre umfangreichen Scanfunktionen umfassen Netzwerke, Betriebssysteme, Webanwendungen, Datenbanken und virtuelle Umgebungen. Nexpose Community Edition verwendet eine adaptive Sicherheit, die neue Geräte und neue Schwachstellen automatisch erkennen und bewerten kann, sobald sie auf Ihr Netzwerk zugreifen. Diese Funktion arbeitet in Verbindung mit dynamischen Verbindungen zu VMware und AWS. Das Tool lässt sich auch in das Sonar-Forschungsprojekt integrieren, um eine Echtzeitüberwachung zu ermöglichen. Die Nexpose Community Edition bietet integrierte Richtlinienscans zur Unterstützung der Einhaltung gängiger Standards wie CIS und NIST. Nicht zuletzt bieten die intuitiven Behebungsberichte des Tools Schritt-für-Schritt-Anleitungen zu Korrekturmaßnahmen.