Beim Schwachstellen-Scanning handelt es sich um einen automatisierten Prozess, der dazu dient, potenziell ausnutzbare Schwachstellen innerhalb einer Anwendung zu identifizieren. Wenn neue Schwachstellen entdeckt und öffentlich bekannt gegeben werden, werden für diese Schwachstellen neue Signaturen erstellt. Ein Schwachstelle-Scanner testet eine Anwendung anhand seiner Signaturliste und identifiziert alle Schwachstellen, die eine Anwendung möglicherweise enthält.
Schwachstellenbewertungsprozess
Schwachstellen werden in der Anwendung häufig entdeckt, sobald sie für die Produktion freigegeben wurden, und Unternehmen müssen diese Schwachstellen verwalten, um sich vor Ausbeutung zu schützen.
Um dies effektiv zu erreichen, müssen Organisationen die folgenden Schritte unternehmen:
- Scannen: Durch das Scannen von Schwachstellen kann ein Unternehmen Schwachstellen in einer Anwendung identifizieren, die behoben werden müssen.
- Analysieren: In der Analysephase führt ein SOC-Analyst ( Security Operation Center ) Untersuchungen und Triage durch, um die Bedeutung einer bestimmten Schwachstelle zu ermitteln, was zu ihrer Behebung erforderlich ist und ob (falls erforderlich) ein Patch verfügbar ist.
- Behebung/Patch: Verschiedene Schwachstellen können unterschiedliche Behebungsschritte erfordern. In einigen Fällen kann eine Schwachstelle durch ein Konfigurationsproblem verursacht werden, beispielsweise durch die Verwendung eines standardmäßigen oder schwachen Benutzernamens oder Passworts. In anderen Fällen erfordert die Schwachstelle möglicherweise die Installation eines Patches oder Updates, um einen Design- oder Implementierungsfehler im Code zu beheben.
- Überprüfen: Eine Behebung oder ein Patch ist nur dann wirksam, wenn die Schwachstelle tatsächlich behoben wird. Nach dem Versuch der Behebung sollte eine Anwendung erneut gescannt werden, um sicherzustellen, dass das Problem behoben wurde und keine weiteren Probleme entstanden sind.
Dieser Prozess sollte kontinuierlich angewendet werden. Jeden Tag werden neue Schwachstellen entdeckt. Daher ist es eine gute Idee, den Schwachstellen-Scanvorgang zu automatisieren, damit ein Sicherheitsteam darüber informiert wird und Maßnahmen ergreifen kann, um kritische Schwachstellen so schnell wie möglich zu beheben.
Arten des Schwachstellen-Scannens
Das Scannen von Schwachstellen kann auf verschiedene Arten durchgeführt werden, die sich auf die Ergebnisse und die Wirksamkeit auswirken:
- Extern vs. intern: Externe und interne Schwachstelle-Scans sind darauf ausgelegt, unterschiedliche Angriffsszenarien abzudecken. Ein externer Scan hilft dabei, Schwachstellen zu erkennen, die von einem externen Angreifer ausgenutzt werden könnten, während interne Scans Insider-Bedrohungsszenarien modellieren.
- Authentifiziert vs. nicht authentifiziert: Bei vielen Cyberangriffen ist es das Hauptziel eines Angreifers, Zugriff auf Benutzeranmeldeinformationen zu erhalten. Ein authentifizierter Scan testet die Schwachstelle, die für einen Angreifer mit Zugriff auf ein Benutzerkonto zugänglich sein könnte, während nicht authentifizierte Scans einen Angreifer nachahmen, der diese Zugriffsebene nicht erlangt hat.
Es empfiehlt sich, verschiedene Scans mit jeder der vier möglichen Kombinationen durchzuführen, um sicherzustellen, dass alle potenziellen Schwachstellen erkannt werden. Und durch die Identifizierung dieser Schwachstellen mittels Schwachstelle-Scanning kann ein Unternehmen diese Sicherheitslücken schließen und so sein Cyberrisiko verringern.
Schwachstelle-Scanning vs. Penetrationstests
Schwachstelle-Scanning und Penetrationstests sind beides Methoden, mit denen das Sicherheitsteam eines Unternehmens Schwachstellen in seiner Cybersicherheit finden kann. Allerdings sind diese beiden Methoden sehr unterschiedlich.
Ein Schwachstellen-Scan ist eine automatisierte Suche nach bekannten Schwachstellen. Es gibt eine Reihe verschiedener Schwachstelle-Scanner, die nach Signaturen bekannter Schwachstellen oder häufigen Sicherheitsfehlern (z. B. der Verwendung schwacher Passwörter) suchen. Diese Scans dienen in der Regel dazu, schwerwiegende Schwachstellen in der Anwendungs- und IT-Infrastruktur eines Unternehmens zu finden.
Ein Penetrationstest ist eine Bewertung der Cybersicherheit einer Organisation durch einen menschlichen Bediener oder ein Team. Dies ermöglicht eine tiefergehende Beurteilung, da die Penetrationstester identifizierte Schwachstellen tatsächlich ausnutzen und so zusätzlichen Zugriff auf das Zielnetzwerk erhalten und interne Probleme im Netzwerk identifizieren können. Darüber hinaus können Penetrationstester potenzielle Angriffsvektoren außerhalb des Rahmens einer Schwachstelle-Bewertung testen, beispielsweise Social Engineering und Phishing-Angriffe.
Die Rolle des Schwachstellen-Scannings im Bedrohungsmanagement
Cyberkriminelle nutzen Botnetze , um mit dem Internet verbundene Anwendungen kontinuierlich nach ausnutzbaren Schwachstellen zu durchsuchen. Und wenn solche Schwachstellen gefunden werden, können sie automatisch ausgenutzt werden, wodurch möglicherweise sensible Daten verloren gehen oder Zugriff auf das Netzwerk der Organisation gewährt wird.
Als wesentlicher Bestandteil des Bedrohungsmanagementprogramms eines Unternehmens nutzt das Schwachstellen-Scanning viele der gleichen Tools, die Cyberkriminelle bei ihren Scans verwenden würden, und ermöglicht es einem Unternehmen, diese Schwachstellen zu identifizieren und zu beheben, bevor sie von einem Angreifer ausgenutzt werden können. Um mehr über das Schwachstelle-Management zu erfahren und wie Check Point Ihr Bedrohungsmanagementprogramm unterstützen kann, zögern Sie nicht, eine Demonstration anzufordern.
Feedback