What is a Network Vulnerability Scanner?

Netzwerk-Schwachstellen-Scanner vergleichen die endlose Liste der veröffentlichten kritischen Schwachstellen mit der Echtzeitaktivität des Netzwerks eines Unternehmens, ermitteln potenzielle Angriffspfade und optimieren den Schutz in letzter Minute. Sie sind eine Schlüsselkomponente in jedem Sicherheitswerkzeugkasten.

Eine Demo anfordern Weitere Informationen

So funktioniert ein Netzwerk Schwachstelle Scanner

So funktioniert ein Netzwerk Schwachstelle Scanner.

#1: Erstellen Sie ein Asset-Inventar

Die Identifizierung von Assets ist ein grundlegendes Ziel bei der Initiierung eines Scans. Die meisten Tools bieten dies automatisch an, und bei einigen anderen müssen Sie Agenten auf lokalen Geräten installieren, auf die Sie direkten Zugriff haben.

Passive Scan-Techniken sind in der Lage, den Datenverkehr, der über ein bestimmtes Netzwerk übertragen wird, leise zu protokollieren, während aktives Scanning im nächsten Schritt eine größere Rolle spielt.

#2: Angriffsfläche einrichten

Von dort aus beginnt der Scanner der Netzwerk-Schwachstelle, die verschiedenen Apps und Software zu berechnen, die auf den Hosts des Netzwerks laufen. Der Scanner sendet einen Strom spezialisierter Pakete und bewertet sorgfältig, wie jeder Host reagiert. Das Muster der antwortenden Pakete gibt dann Hinweise darauf, welche mit dem Netzwerk verbundene Software installiert ist.

Orientierungspunkte wie die TCP-Optionen, Fenstergrößen und Time-to-Live-Werte werden mit einer internen Datenbank von Metriken verglichen – was schließlich zu einer Schätzung der besten Zuverlässigkeit führt.

Diese Remote-Erkennung eignet sich hervorragend zur Identifizierung von Cloud-basierten Servern und Web-Apps.

Andere aktive Scans funktionieren durch die Installation von Lightweight-Agenten, die dann detailliertere Daten über Programme auf dem Gerät sammeln, auf die möglicherweise nicht sofort über das Netzwerk zugegriffen werden kann. So erhalten Sie im nächsten Schritt ein tieferes Bild für die Sicherheitstools des Scanners.

#3: Identifizieren Sie potenzielle Bedrohungen

Der Scanner des Netzwerks Schwachstelle vergleicht dann alle Assets mit den entsprechenden Schwachstellen-Datenbanken. Dabei handelt es sich häufig um die hauseigene Datenbank eines Anbieters, kann aber auch aus öffentlichen Repositorien wie der Nationalen Schwachstellendatenbank entnommen werden.

Scanner können auch einen etwas anderen Ansatz verfolgen, z. B. die Überprüfung von Softwarekonfigurationen anhand einer Liste von Best Practices – z. B. die korrekten Authentifizierungskriterien, die für eine sensible Datenbank verwendet werden.

Neben Überschneidungen mit bekannten Exploits sollte ein moderner Schwachstellen-Scanner auch nach potenziellen Angriffspfaden suchen. Dadurch werden die potenziellen Bewegungen eines Angreifers in Richtung hochsensibler Ressourcen und Datenbanken abgebildet. Dies ist ein wesentlicher Vorteil für lokale Scans, da sie lokale Fehler erkennen, die für die Rechteausweitung und laterale Bewegung verwendet werden können.

Wenn all dies vorhanden ist, ist der Scanner in der Lage, vollständige oder teilweise Angriffspfade abzubilden.

#4: Berichte erstellen

Nachdem Sie die Breite Ihrer Angriffsfläche bewertet haben, wird jede Schwachstelle und jeder Angriffspfad in einem lesbaren Bericht zusammengefasst. Von hier aus liegt es an Ihrem Sicherheitsteam, die notwendigen Änderungen vorzunehmen.

Die 2 Arten von Netzwerk Schwachstelle Scan-Tools

Schwachstellen-Scans können sowohl von außerhalb als auch innerhalb des zu testenden Netzwerks durchgeführt werden.

Für einen schnellen Überblick eignen sich externe Scans gut, um Angriffspunkte zu ermitteln, auf die über das öffentliche Internet zugegriffen werden kann. Interne Scans hingegen sind in der Lage, Fehler in einem Netzwerk zu finden, die ein Angreifer nutzen könnte, um sich lateral zu bewegen, nachdem er sich Zugang verschafft hat.

Authentifizierte Scans

Authentifizierte oder authentifizierte Scans werden nach gültigen Kontoanmeldeinformationen oder Zugriffsrechten für das Zielsystem benannt. Sie ermöglichen den Analyseprozess unter anderem:

  • Benutzerspezifische Einstellungen
  • Zugangskontrollen
  • Erlaubnisse

Das bedeutet, dass es lokale Malware-Dateien finden und schwache Passwortkonfigurationen erkennen kann. Noch immer gehen zu viele Ärzte davon aus, dass authentifizierte Scans lokal durchgeführt werden müssen.

Die Fernbewertung ist jedoch jetzt in vielen Tools auf dem Markt möglich. Unabhängig davon, ob das Gerät über die IP-Adresse remote angegriffen wird oder die relevanten Windows-Dienste gescannt werden – nach der Konfiguration wird das Zielgerät regelmäßig auf Software-Schwachstellen überprüft.

Diese tiefere Transparenz bedeutet, dass authentifizierte Scans oft längere Schwachstellenlisten erzeugen und ein höheres Risiko für Fehlalarme besteht. Zu wissen, wie man diese in potenzielle Angriffsmuster einfädelt – und damit einen entsprechenden Abhilfeprozess – ist das, was einen guten Schwachstellen-Scanner von den besten unterscheidet.

Nicht authentifizierte Scans

Nicht authentifizierte Scans werden extern durchgeführt und erfordern keine spezifischen Anmeldeinformationen oder Zugriffsrechte. Der Port-Scan-Prozess, den wir bereits angesprochen haben, ist ein Beispiel für nicht authentifiziertes Scannen, ebenso wie das Netzwerk-Mapping.

Dies ist es, das einen Großteil der Schwerstarbeit zum Schutz anfälliger Netzwerke leistet: Es ermöglicht die Erkennung von öffentlich zugänglichen Codierungsfehlern wie:

Im Wesentlichen ermöglichen nicht authentifizierte Scans die Entdeckung von Schwachstellen, die Benutzereingaben aus dem Internet beinhalten.

So maximieren Sie Ihre Schwachstellen-Scans

Durch das Befolgen einer Reihe von Best Practices können Ihre Schwachstellen-Scans deutlich produktiver werden.

#1: Wählen Sie einen hybriden Ansatz

Oberflächlich betrachtet scheinen nicht authentifizierte Scans weitaus nützlicher zu sein. Da sie nur wenig Ressourcen verbrauchen, ist es einfacher, sie häufig auszuführen, insbesondere in Eile.

Für Organisationen, die Identitäts- und Zugriffsverwaltungsanbieter verwenden, kann das Laden von Anmeldeinformationen für authentifizierte Scans jedoch viel schneller erfolgen. Einige marktführende Tools ermöglichen jetzt ein schnelles Onboarding von Anmeldeinformationen – was bedeutet, dass Scans mit Anmeldeinformationen in einem ähnlichen Tempo durchgeführt werden können wie nicht autorisierte.

Dies ermöglicht weitaus tiefergehende interne Netzwerk-Sicherheitstests. Darüber hinaus sind einige Scan-Tools jetzt in der Lage, die Widerstandsfähigkeit des Geräts gegen Credential Stuffing zu testen, indem sie versuchen, sich mit Standard- und risikoreichen Anmeldeinformationen anzumelden.

Da Scans die Grenzen zwischen Schwachstellenerkennung und Penetrationstests verwischen, sollten Sie sich für maximale Effizienz entscheiden.

#2: Wählen Sie die richtige Frequenz

Je mehr Scans durchgeführt werden, desto höher ist die Wahrscheinlichkeit, dass eine Fehlkonfiguration oder Sicherheitsschwachstelle gefunden wird, bevor sie in freier Wildbahn ausgenutzt wird. Zu viele riskieren jedoch Systeminstabilität und höhere Kosten. Aus diesem Grund ist es am besten, geeignete Zeitpunkte für die Ausführung kleinerer, segmentierter Scans zu wählen.

Dies hilft Ihnen auch, Fehlalarme zu erkennen, da bei gezielten Scans weniger Rauschen zu hören ist. Die zeitnahesten Scans werden direkt nach der Implementierung neuer Kontrollen durchgeführt. Dieser sekundäre Scan bestätigt, ob die neuen Steuerelemente und Korrekturen das Problem behoben haben – und stellt sicher, dass keine neuen Probleme eingeführt wurden.

Diese kleineren Scans eignen sich auch ideal für die Bewertung bösartiger Ereignisse bei der Dateizusammenarbeit.

Was die Compliance in der Branche betrifft, so können die spezifischen Anforderungen variieren:

  • Keine vorgegebenen Zeitrahmen: SOC 2 und ISO 27001
  • Vierteljährlich bis einmal jährlich: HIPAA, PCI DSS und DSGVO

Beachten Sie jedoch, dass diese Zeitpunkte nicht unbedingt für jedes Unternehmen richtig sind, sondern von Ihrer eigenen Risikotoleranz und Ihrem Ausgangspunkt abhängen.

Implementieren Sie Ihre Änderungen nach dem Scan mit Check Point Infinity

Check Point Infinity bietet Managed-Service-Support für Netzwerk-Schwachstellen-Bewertungsplattformen in der gesamten Branche: von Microsoft Defender über Tenable One bis hin zu Check Pointeigenen Schwachstellen-Scannern – verlassen Sie sich auf die kontinuierlichen Scans unserer Experten, Verbesserungen der Netzwerk-Sicherheit und monatliche Berichte. Erfahren Sie, wie wir das Schwachstellenmanagement heute optimieren.

Loslegen

Advanced Threat Prevention

IoT-Sicherheit

Next Generation Firewall

Verwandte Themen

Was ist Schwachstellen-Scanning?

Was ist das Security Operations Center (SOC)?

Was ist IPS?

Was ist ein Zero-Day Angriff?

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK