Die besten Tools fürs Schwachstellen-Management – ein Vergleich

Ein kurzer Blick auf die Kandidaten

Beyond Security bietet sein Produkt Automated Vulnerability Detection System (AVDS) entweder als On-Premise-Appliance oder als Cloud-basierte Lösung an; die Cloud-Lösung scannt externe IP-Adressen und Websites. Critical Watch offeriert FusionVM als Suite von Appliances sowie als Software-as-a-Service (SaaS); auch eine hybride Lösung ist erhältlich. Core Insight von Core Security verfügt über eine eigene Scan-Engine, arbeitet aber auch mit externen Scannern etwa von Qualys Tenable oder Tripwire zusammen, um eine umfassende Übersicht der Schwachstellen des Netzwerkes zu gewährleisten.

Qualys war unter den ausgewählten Herstellern der erste Anbieter von Cloud-basierten Schwachstellen-Management-Tools. Das Produkt, die Qualys Cloud Suite, gibt es in drei Versionen: Enterprise Edition, Express Edition für mittelgroße Unternehmen und Express Lite Edition für kleine Unternehmen. Rapid7 NeXpose für Schwachstellen-Management integriert Metasploit für die genaue Untersuchung und Nutzung von Schwachstellen, um Prioritäten zu bestimmen, sowie für Testzwecke. Kunden können für das Scannen ihres Perimeters eine lokale Appliance oder einen Cloud-basierten Dienst wählen.

Die SAINT Security Suite ist als eigenständiges Softwarepaket oder als vorkonfigurierte Hardware-Appliance erhältlich. Tenable Network Security bietet mit Nessus eines der am weitesten verbreiteten Schwachstellen-Management-Tools an. Es ist als Software (für Endkunden), vorkonfigurierte virtuelle Maschine, vorkonfigurierte Hardware-Appliance und als Cloud Service verfügbar. Tripwire stellt drei Vulnerability-Management-Produkte bereit: den kostenlosen Scanner SecureScan, PureCloud und die Appliance IP360.

Zusätzliche Funktionen

Umfassendere Tools für Schwachstellen-Management bieten über ihre Kernfunktionen hinaus zusätzliche Funktionen. Sie überwachen IT-Umgebungen kontinuierlich, führen Penetrationstests durch, identifizieren Schwachstellen für die Bewertung und scannen das interne Netzwerk und den Netzwerk-Perimeter.

Tripwire IP360 zielt als Sicherheitsrisiko-Management-System auf große, verteilte Netzwerke ab. Es integriert Schwachstellen- und Risiko-Management in die Geschäftsprozesse und IT-Systeme eines Unternehmens, darunter SIEM, IDS / IPS und andere Sicherheitsprodukte. Tripwire PureCloud richtet sich ebenfalls an große Unternehmen, bietet kontinuierliches Monitoring und Scannen des Netzwerk-Perimeters sowie Reporting und Analyse im Hinblick auf Audits und Risikobewertungen.

Qualys prüft und beurteilt Cloud-basierte Perimeter-Geräte; dazu gehört auch die Identifizierung von Endgeräten mit Internetzugang. Zusätzliche Appliances hinter der Firewall ermöglichen zudem die kontinuierliche Überwachung der internen Komponenten. Ein praktisches Feature der Qualys Cloud Suite ist eine interaktive Netzwerkkarte, die sowohl die Geräte am Perimeter sowie die internen Geräte zeigt. Das Produkt erkennt zudem alle Arten von Malware auf Basis einer ständig aktualisierten Zero-Day-Datenbank.

Auch Core Security ist eine umfassend ausgestattete Schwachstellen-Management-Lösung für komplexe Umgebungen. Sie bietet einige einzigartige Eigenschaften wie die Arbeit mit Scannern von externen Anbietern und die einheitliche Sicht auf Schwachstellen. Core Security kann auch Angriffswege modellieren, indem es über eine Karte der Netzwerk-Topologie zeigt, wie Angreifer über die komplette Infrastruktur hinweg Schwachstellen ausnutzen und Zugriff auf wichtige Komponenten erhalten. Über das Produkt Core Impact sind auch Penetrationstests verfügbar.

Tenable und Rapid7 bieten in ihren Produkten ebenfalls Penetrationstests an. Rapid7 integriert NeXpose mit Metasploit, so dass Nutzer Angriffe simulieren und Schwachstellen ausnutzen können, um die Risiken genauer zu priorisieren. Rapid7 erkennt zudem Sicherheitsvorfälle (Incident Detection) und reagiert darauf.

Updates von Schwachstellen-Signaturen

Das Tripwire Adaptive Threat Protection-Netzwerk, das Qualys Vulnerability Research Team und die Qualys Vulnerability und Malware Research Labs sorgen dafür, dass die jeweiligen Produkte der Anbieter in Echtzeit aktualisiert werden. Qualys aktualisiert seine Schwachstellen-Datenbank täglich, wenn neue Sicherheitslücken entdeckt wurden.

Critical Watch nutzt seine ACI-Plattform für Security Intelligence, um FusionVM ständig aktuell zu halten. Die wichtigste Informationsquelle bei Beyond Security ist die hauseigene Schwachstellen-Datenbank SecuriTeam.

Einfache Bedienung

Alle hier vorgestellten Vulnerability-Management-Tools sind relativ einfach zu installieren und anzupassen; die Hardware-Appliances zum Beispiel sind innerhalb von wenigen Minuten betriebsbereit. Die Produkte bieten auch intuitiv zu bedienende Oberflächen mit Dashboard-Ansichten, Checkboxen sowie vorkonfigurierten Richtlinien und Berichten.

Qualys vermarktet sein Cloud-Angebot als „leichtgewichtiges“ Produkt, das einfach zu bedienen sei und ohne Software-Overhead reibungslos laufe.

Auch die AVDS-Appliance von Beyond Security ist einfach zu implementieren und zu bedienen. Da die Produkte von Beyond Security nicht so viele Funktionen wie die Mitbewerber bieten, eignen sie sich vor allem für kleinere Unternehmen, die zuverlässige Scan-Ergebnisse und eine schnelle Bewertung der Risiken benötigen.

Die Produkte von Core Insight sind sehr leistungsfähig, wenn es darum geht, aus einer Liste Tausender – oder in großen IT-Umgebungen sogar Millionen – von Sicherheitslücken diejenigen herauszufiltern, die dringend geschlossen werden müssen.

Cloud und mobile Geräte

Auch wenn die meisten Schwachstellen-Scanner eine Vielzahl von Endpunkten in einem Netzwerk erfassen, stellt das Entdecken und Identifizieren von mobilen Geräten, Cloud-Assets und virtuellen Maschinen oft eine Herausforderung dar. Tenable Nessus lässt sich mit Endpunkt-Agenten implementieren, die Offline-Scanning erlauben und die Scan-Ergebnisse sammeln, wenn sich ein mobiles Gerät erneut mit dem Firmennetz verbindet. Dank der Agenten kann Nessus auch prüfen, ob die Geräte von Malware befallen sind.

Rapid7 NeXpose erfasst und beurteilt sowohl mobile Geräte als auch die Verbindungen von virtuellen und Cloud-Komponenten.

Tripwire erfasst jedes mobile Gerät, das sich über kabelgebundene oder drahtlose Netzwerke verbindet. Die Lösung bietet auch einen automatisierten Workflow, bei dem ein Administrator Regeln für die Kategorisierung der Geräte in physischen und virtuellen Umgebungen definiert.

Enterprise-Funktionen

Ein wichtiges Merkmal von Vulnerability-Management-Tools sind automatisierte Trouble Tickets bei Störungen und Workflows, mit denen die zuständigen Mitarbeiter über kritische Schwachstellen informiert werden. Qualys ermöglicht mit Hilfe des Produkts BMC Bladelogic die Erstellung von Tickets und Workflows, bietet darüber hinaus Scans der IT-Umgebung gemäß der Compliance-Richtlinien sowie Sicherheit von Webanwendungen. Tripwire stellt ebenfalls automatisierte Workflows zur Verfügung.

Auch Critical Watch und SAINT bieten Ticketing auf Enterprise-Niveau. Darüber hinaus lassen sich die Scan-Ergebnisse der SAINT Security Suite in die IBM QRadar SIEM-Plattform importieren. SAINT ist zudem kompatibel mit dem Cisco FireSIGHT Management Center, ehemals Sourcefire, für die Sicherheits-Analyse des Netzwerks. SAINT stellt größeren Unternehmen bei Bedarf auch mehrere Scanner  bereit oder nutzt verteiltes Scannen mit Load Balancing; zudem bietet SAINT Ticketing für die Behebung von Schwachstellen.

Zum Portfolio von Tenable gehören neben Schwachstellen-Management auch kontinuierliches Monitoring, Risiko-Management und die Netzwerk-Verhaltensanalyse.

Preise und Lizenzierung

Bei rein softwarebasierten Vulnerability-Management-Tools entstehen neben den Anschaffungskosten jährliche Gebühren für die Verlängerung der Lizenz; sie stehen aber auch als Abonnements zur Verfügung. Tenable bietet seine Nessus-Professional-Software im Jahresabonnement für 2.160 US-Dollar an. Im Preis enthalten sind tägliche Schwachstellen-Updates für einen einzelnen Nessus-Scanner, herunterladbare Compliance- und Audit-Dateien, Software-Updates und eine virtuelle Appliance.

Die Preise für vorkonfigurierte Geräte unterscheiden sich deutlich. Core Security verlangt rund 10.000 US-Dollar pro Appliance und bis zu 70.000 US-Dollar für die virtuelle Maschine mit bis zu 1.000 Komponenten. Darüber hinaus berechnet das Unternehmen zusätzlich etwa 20 Prozent der Kaufsumme jährlich für einen Support-Vertrag. Die vorkonfigurierte Hardware-Appliance der SAINT Security Suite kostet etwa 13.000 US-Dollar, der Preis für die physische Appliance Rapid7 NeXpose mit Management-Software beginnt bei etwa 14.000 US-Dollar. Die vorkonfigurierte IP360 Appliance von Tripwire ist ab etwa 20.000 US-Dollar erhätlich.

Cloud-Hosting-Services wie von Beyond Security und Qualys sind im Jahresabonnement erhältlich. Die Lizenzierung von Beyond Security basiert auf der Zahl der aktiven IP-Adressen. Das heißt: Die Kunden können eine beliebige Anzahl von IP-Adressen scannen, bezahlen aber nur für diejenigen IP-Adressen, die gerade genutzt werden. Die Preise von Qualys basieren auf der Anzahl der IP-Adressen, Scanner und Agenten. Kleine Unternehmen legen für Qualys Express Lite weniger als 1.000 US-Dollar pro Jahr auf den Tisch. Der Preis für Qualys Express beginnt bei 2.500 US-Dollar pro Jahr und steigt dann stufenweise je nach Umgebung weiter an.

Tenable bietet die On-Premise-Appliance Nessus Manager und Nessus Cloud zum identischen Preis als Abonnement an. Ein Abonnement mit bis zu 128 Hosts /Agenten kostet weniger als 3.000 US-Dollar pro Jahr; die Kosten steigen auf etwa 4.800 US-Dollar pro Jahr für bis zu 256 Hosts / Agenten.

Support

Der kostenlose Support von Qualys umfasst Telefon-, E-Mail- und 24/7-Online-Support sowie einen eigenen technischen Account Manager als persönlicher Ansprechpartner des Kunden. Scanner, die sich hinter der Firewall befinden, verwalten die Mitarbeiter von Qualys aus der Ferne via Remote-Zugriff. Das Unternehmen bietet auch kostenlose Produktschulungen.

Rapid7 offeriert Service-Level-Agreements, Support per Telefon und E-Mail rund um die Uhr sowie Reaktion auf Sicherheitsvorfälle. Im Rahmen eines zusätzlichen Super-Support-Plans erhalten Kunden einen zugeordneten Account Manager, höhere Priorität bei schwierigen Fällen, Risikominderung und mehr.

Die anderen Unternehmen bieten kostenlosen Support per Telefon und E-Mail während der typischen Geschäftszeiten sowie Wissensdatenbanken auf ihren Websites. Die Kunden von Core Security erhalten kostenlose webbasierte Schulungen sowie kostenlose Produkt-Upgrades. SAINT bietet seinen Kunden kostenlosen Software-Support mit einer vierstündigen Reaktionszeit sowie kostenlose Hardwarewartung.

Fazit

Core Security, Qualys und Tripwire bieten insgesamt die umfassendsten Produkte für Schwachstellen-Management; die Lösung von Core Security ist am teuersten – aber die Kunden bekommen dafür auch die entsprechende Leistung. Große Unternehmen sollten die einzelnen Anbieter nach Referenzen fragen und sich für einen Hersteller entscheiden, der bereits Erfahrungen mit ähnlich umfangreichen Installationen nachweisen kann.

Mittelgroße Unternehmen sollten sich zwischen Qualys, Beyond Security, Rapid7 und SAINT entscheiden, kleineren Unternehmen sind Qualys Express oder Express Lite, SAINT und Beyond Security zu empfehlen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!