HTGanzo - stock.adobe.com
Fünf Schwachstellenscanner für Security-Teams
Schwachstellenscanner sind wichtige Werkzeuge, um potenzielle Bedrohungen für die IT aufzuspüren. Die Zahl der angebotenen Tools ist groß. Wir stellen fünf ausgewählte Scanner vor.
Schwachstellenscanner ermöglichen es Unternehmen, bisher unentdeckte Sicherheitslücken in ihrer IT-Umgebung aufzuspüren, bevor durch sie ein Schaden entstehen kann. Die Werkzeuge sind damit unverzichtbar zur Absicherung des Firmennetzes.
Seit diese Art von Tools zum ersten Mal vor etwa 30 Jahren vorgestellt wurde, hat sich jedoch einiges geändert. Anfangs gab es zunächst nur zwei grundsätzliche Arten von Schwachstellenscannern. Die eine Variante scannte das interne Netzwerk nach Hosts, prüfte welche Ports geöffnet waren und versuchte dann etwa einen „Fingerabdruck“ des Hosts auf Basis seines Verhaltens im Netz zu erstellen.
So konnten zum Beispiel auch das verwendete Betriebssystem und seine Version identifiziert werden.
Die zweite Variante wurde dagegen meist gezielt auf bestimmten Hosts eingesetzt, in der Regel mit Admin-Rechten, um ein umfassendes Bild der installierten Software, ihrer Versionen und damit der darin enthaltenen, bereits bekanntgewordenen Sicherheitslücken zu erhalten.
Ebenso wie sich die Art der verfügbaren Schwachstellen-Scans geändert und weiterentwickelt hat, herrscht nun aber auch ein anderes Verständnis vor, was eigentlich eine Sicherheitslücke ist und welche Tools für ihre Entdeckung benötigt werden.
Im Folgenden stellen wir Ihnen die fünf besten Schwachstellen-Scanner vor, aus denen Sie die für Sie passenden Tools selbst auswählen können:
1. Nessus
Nessus wurde 1998 von Renaud Deraison entwickelt, der später das Sicherheitsunternehmen Tenable gründete. Diese Firma kümmert sich bis heute um die Pflege von Nessus. Ursprünglich war das Tool ein freier Schwachstelle-Scanner, der komplett kostenlos genutzt werden konnte.
Mit der Zeit wurde es dann immer beliebter. Auch heute noch gibt es mit Nessus Essentials eine kostenlose Version. Tenable bietet darüber hinaus aber auch die Lösungen Nessus Professional sowie Nessus Expert an, die bekannt anfällige Software-Versionen und schwache oder mangelhafte, aber sicherheitsrelevante Konfigurationen auf nahezu jeder Plattform finden. Dazu zählen mittlerweile auch Cloud-Architekturen und viele IoT-Devices (Internet of Things).
Nessus ist äußerst anpassungsfähig und flexibel. So gibt es bislang schon mehr als 175.000 Plug-ins, um die Lösung zu erweitern und um sie an spezifische Bedürfnisse anzupassen. Lizenzen für Nessus Professional und Nessus Expert sind von Tenable zu unterschiedlichen Staffelungen erhältlich.
2. OpenVAS
Der Open Vulnerability Assessment Scanner oder abgekürzt OpenVAS ist ein Schwachstellenscanner, der von der Sicherheitsfirma Greenbone Networks und einer Community aus Sicherheitsforschern und freien Programmierern als Open-Source-Lösung angeboten und weiterentwickelt wird.
OpenVAS wurde erstmals 2006 vorgestellt. Es basiert auf dem damals noch frei verfügbaren Quellcode von Nessus, also genau als diese Lösung von einer Open-Source-Anwendung zu einem kommerziellen Produkt umgewandelt wurde. OpenVAS bietet daher teilweise ähnliche Scanning- und Konfigurationsmöglichkeiten wie Nessus, um etwa gezielt Schwachstellen auf bestimmten Hosts zu identifizieren. Beim BSI (Bundesamt für Sicherheit in der Informationstechnik) finden sich zudem ausführliche Informationen zu OpenVAS.
3. Burp Suite
Die Burp Suite ist eine Lösung der britischen Sicherheitsfirma PortSwigger. Die Software ist auf die Suche nach Schwachstellen in Web-Anwendungen und Webseiten ausgerichtet. Sie unterstützt sowohl statische als auch dynamische Tests, um verborgene Sicherheitslücken zu identifizieren. Ebenso wie Nessus und OpenVAS darauf ausgerichtet sind, automatisch in wechselnden Abständen oder auch kontinuierlich gegen Hosts eingesetzt zu werden, erledigt dies die Burp Suite für die Webanwendungen und Webseiten eines Unternehmens.
Die Burp Suite Community Edition kann kostenlos heruntergeladen werden. Die Burp Suite Professional kostet dagegen 449 Euro pro Nutzer und Jahr. Darüber hinaus ist auch eine Burp Suite Enterprise Edition verfügbar, die PortSwigger zu Preisen ab 8395 Euror pro Jahr anbietet.
4. Snyk
Der Schwachstellen-Scanner Snyk enthält mehrere unterschiedliche Werkzeuge, um Gefahren in der Softwareentwicklung und in Supply Chains aufzuspüren. Snyk gibt es in verschiedenen Varianten:
- Snyk Open Source sucht nach Abhängigkeiten zwischen verschiedenen Anwendungen, um darin bereits bekannte Schwachstellen aufzuspüren.
- Snyk Code spürt Sicherheitslücken in Quellcode bei der Entwicklung neuer Software auf.
- Snyk Cloud überprüft Cloud-Umgebungen, um so anfällige Software-Komponenten, sicherheitsrelevante Fehler in der Konfiguration und andere Probleme zu entdecken.
Snyk wird sowohl in kostenlosen als auch kostenpflichtigen Versionen angeboten. Die Kosten hängen von den Erfordernissen des interessierten Unternehmens oder des Entwicklers ab.
5. Intruder
Bei Intruder handelt es sich um einen Cloud-basierten Schwachstellen-Scanner. Das bedeutet aber nicht, dass die Lösung selbst nur Cloud-basierte Ressourcen prüfen kann. Sie scannt sowohl Netzwerke, Server, Clients als auch Cloud-Infrastrukturen und -Webseiten, egal ob rein lokal oder in der Cloud. Wie andere Scanner auch, kann Intruder veraltete Software, sicherheitsrelevante Fehler in Konfigurationen und anderweitige Schwachstellen aufspüren.
Intruder gibt es in einer Pro- und einer Essential-Version. Die Preise hängen davon, wie viele Ziele ein Kunde mit ihnen scannen will.
Den passenden Schwachstellenscanner finden
Jedes der vorgestellten Tools unterscheidet sich einerseits erheblich von den anderen. Es gibt aber auch Überschneidungen bei ihren Fähigkeiten. Das ist auch in Ordnung so. Manchmal ist es sogar ein Vorteil, da zwei verwandte Tools in der Regel mehr Schwachstellen finden als nur eines von ihnen. Das größte Problem beim Einsatz von Schwachstellenscannern sind blinde Stellen, wenn keines der Tools einen bestimmten Host, ein Netzwerk oder eine Anwendung auf Sicherheitslücken kontrolliert.
Trotzdem ergibt es nur wenig Sinn, gleich mehrere Schwachstellenscanner zu erwerben, die mehr oder weniger dieselben Aufgaben erledigen. Jeder Scanner wirkt sich in einem Unternehmen mit Kosten aus und wenn es nur die aufgewendete Zeit zum Prüfen der Ergebnisse und Aussortieren von False Positives ist.
Zusätzlich sollte auch der Aufwand zum Training der mit einem Schwachstellen-Scanner befassten Mitarbeiter in die Überlegungen zu seinem Einsatz mit einbezogen werden. Natürlich kommen dazu auch noch die finanziellen Kosten für Lizenzen und Updates, wenn ein kommerzielles Produkt genutzt werden soll.
Am besten ist es daher, eine Auswahl von Schwachstellenscannern zusammenzustellen, die über alle in Ihrem Unternehmen erforderlichen Fähigkeiten verfügen, ohne dass sie sich zu stark überschneiden.
