Damian Strobel
Gründer und CEO
Schwachstellenscans betrachte ich als absolutes Basic - definitiv besser, als nichts zu machen.
Was macht den Schwachstellenscan von DSecured so besonders?
Wir nutzen nicht nur eine Softwarelösung, scannen ein Mal, prüfen auf die Schnelle und übergeben Ihnen im Grunde einen mehr oder weniger automatisch generierten Bericht. Es gibt keine perfekte Softwarelösung - jedes Tool hat seine Vor- und Nachteile - diese muss man kennen. So kann Tool A sehr gut im Fall von Web Applikationen sein - es ist aber weniger geeignet allgemeine Scans gegen interne oder externe Netzwerke durchzuführen. Tool B kann das wiederum besser, kommt aber allgemein schlecht mit Authentifizierung klar - so dass im Grunde eine App nicht wirklich gescannt wird.
Wir scannen daher mit diversen Tools - das reicht von bekannten öffentlichen sowie kommerziellen Lösungen, hin zu unseren Eigenentwicklungen, die spezielle Probleme besser lösen. So können Sie von einer maximalen Effizienz unserer Schwachstellenscans ausgehen. Vor dem eigentlichen Scan schaut sich ein Experte das Ziel manuell an, um die Tools optimal zu konfigurieren. Der gesamte Prozess wird von einem Menschen überwacht, um sicher zu gehen, dass auch wirklich alles gescannt wird.
Die Ergebnisse werden zusammengefasst, bewertet und auf False Positives geprüft. Das Ergebnis ist ein sauberer Bericht mit klaren Handlungsempfehlungen. Die Funde sind nach Kritikalität sortiert und mit einer Risikobewertung versehen.
Was ist ein Schwachstellenscan?
Ganz allgemein gesagt ist ein Schwachstellenscan eine automatisierte Prüfung von digitalen Systemen, wie etwa IT-Netzwerken, Websites, SPAs oder API auf Sicherheitslücken. Hierbei wird versucht, bekannte Schwachstellen im Ziel zu identifizieren. Das bedeutet, dass der Schwachstellenscan in der Regel Bestandteil eines Web App Penetrationstests sowie Bestandteil eines Netzwerk Penetrationstests ist.
Wie genau ist ein Schwachstellenscan?
Moderne Schwachstellenscanner sind in der Lage, diverse Sicherheitslücken zu entdecken, hierbei gehen sie allerdings recht oberflächlich vor. Automatisierte Methoden haben oft Probleme beim Verstehen des Ziels und so können Kleinigkeiten dazu führen, dass die Effektivität des Scans dramatisch abnimmt. Letzteres ist ein Grund, warum geschultes Personal den Test vorbereiten und durchführen sollte. Allgemein ist ein Schwachstellenscan ein wichtiger, jedoch sehr grober Bestandteil von IT-Sicherheitsstrategien. Einen echten Angreifer, der kreativ ist und sich in das Ziel einarbeitet, kann ein Schwachstellenscanner nicht ersetzen.
Schützen Sie sich vor Cyberangriffen und lassen Sie einen Schwachstellenscan durchführen.
Was kostet ein Schwachstellenscan?
Kleine Schwachstellenscans können ab 400 Euro durchgeführt werden. Der Preis hängt von der Größe des Ziels ab. Je größer und komplexer das Ziel ist, desto größer sind die Kosten. Ein Scan eines großen internen und externen Netzwerks, das diverse Dienste, Applikationen und Anwendungen beherbergt, darf vom Aufwand her nicht unterschätzt werden. Hier stehen wir gerne mit einem individuellen Angebot zur Verfügung.
Wie oft sollte man einen Schwachstellenscan wiederholen?
Wie bei fast allen Maßnahmen in der IT-Sicherheit lautet die Antwort: Es kommt darauf an. Wir empfehlen es mindestens ein Mal pro Jahr durchführen zu lassen. Bei kritischen Systemen oder bei signifikanten Änderungen des Quellcodes oder des Netzaufbaus, sollte man ggf. darüber nachdenken den Scan häufiger durchzuführen.
Software, die wir für Schwachstellenscans verwenden
DSecured verwendet neben OpenVAS und nmap (samt diverser Skripte) auch unsere eASM-Lösung Argos (Management der externen Angriffsoberfläche/Perimeter), um unbekannte Sicherheitslücken und Probleme zu finden. Letzteres bietet tiefe Einblicke in den Perimeter eines Unternehmens.
Als automatisierte Scanner-Lösungen verwenden wir primär Burp Suite sowie Nessus. Diese decken klassische Sicherheitslücken gut ab. Burp Suite wird außerdem zur Validierung von Funden verwendet. Innerhalb von Burp lassen wir außerdem eigene Plugins laufen.
DSecured entwickelt immer wieder spezielle Scanner mit primär Golang oder Python - diese werden auch verwendet, um ein noch besseres Bild der Lage zu bekommen. Beispiele sind hier unsere Tools für Path Traversals, SSRFs und XSS.
Gibt es Unterschiede zwischen einem Schwachstellenscan und einem Penetrationstest?
Ein ganz klares JA. Bei einem Schwachstellenscan handelt es sich um einen Automatismus, um innerhalb einer sehr kurzen Zeit möglichst viele Schwachstellen zu finden - hierbei handelt es sich oft um triviale Dinge. Beispiele sind schlechte Verschlüsselungen, zu schwache Passwörter oder Standardpasswörter, veraltete Systeme, vergessene Updates. Zwar sind Schwachstellenscans aus moderne IT nicht wegzudenken, ihre Limits sollten den Verantwortlichen jedoch bewusst sein.
Bei einem Penetrationstest gibt es einen hoch qualifizierten ethischen Hacker, der sehr tief in die Funktionsweise von Anwendungen und Netzwerken geht, sie versucht zu verstehen und die Zusammenhänge erfasst. Das erlaubt ihm in der Regel deutlich mehr Sicherheitslücken zu finden als es ein Scanner je könnte. Ein Penetrationstester ist vom Verhalten und Ergebnis viel näher an einem echten Angreifer dran, daher werden Pentests oft gegen besonders schützenswerte Systeme durchgeführt.
Wie läuft ein Schwachstellenscan ab?
Nach einem Kick Off-Meeting mit dem Kunden wird das Ziel definiert. Im besten Fall wissen Sie schon, was genau gescannt werden muss. Es werden wichtige Dinge besprochen und beispielsweise geklärt, wann die Scans laufen sollen, um den Regelbetrieb nicht zu stören. Zwar sind unsere Scans in der Regel so konfiguriert, dass sie keine Auswirkungen auf den Betrieb haben sollten, da wir eher langsam scannen, trotzdem muss so etwas vorher besprochen werden. Im Fall von internen Schwachstellenscans müssen ggf. Zugänge geklärt werden, gleiches gilt für alle Anwendungen im externen Netzwerk. Ansprechpartner sowie Kommunikationswege müssen festgelegt werden. Auch vertragliches gehört dazu. Im Anschluss wird gescannt, dies kann Minuten, Stunden oder gar Tage dauern. Ein Bericht wird verfasst, der später dem Kunden übergeben wird. Auf Wunsch findet eine Präsentation statt.
Einige Unternehmen, denen wir bisher helfen konnten
Weitere Fragen samt Antworten zum Thema
"Schwachstellenscans"
Wie oft sollten wir Schwachstellen-Scans durchführen, um optimale Sicherheit zu gewährleisten?
Das Scannen auf Schwachstellen ist die absolute Grundlage der IT-Sicherheit. Es ist auch hochverfügbar - wir empfehlen immer, Ihre Systeme mindestens einmal alle 6 Monate zu scannen. Wenn Sie eine stark frequentierte Website oder viele Änderungen in Ihrem Netzwerk haben, sollten Sie einen häufigeren Scan in Betracht ziehen.
Was kann man von einem Bericht über eine Schwachstellenüberprüfung erwarten?
Ganz einfach: eine Liste von Problemen - bereinigt um falsch-positive Ergebnisse.
Kann das Scannen auf Sicherheitslücken unseren täglichen Betrieb stören?
Das sollte nicht der Fall sein. In der Regel passen wir die Einstellungen eines Schwachstellen-Scanners so an, dass er Ihre täglichen Abläufe nicht beeinträchtigt.
Wie werden Sicherheitsprobleme während eines Scans identifiziert?
Der Schwachstellen-Scanner versucht, Injektionspunkte zu erkennen und injiziert verschiedene Arten von Nutzdaten. Anhand der Reaktion des Angriffssystems lässt sich feststellen, ob dieses System verwundbar ist oder nicht.
Kann ich einen gezielten Sscan für einen bestimmten Teil unseres Netzwerks anfordern?
Ja, das ist kein Problem. Wir können unsere Scanner so einrichten, dass sie nur die Teile Ihres Netzwerks scannen, die Sie gescannt haben möchten.
Wie lange dauert ein Schwachstellen-Scan im Durchschnitt?
Das hängt von der Größe Ihres Netzwerks ab. Ein kleines Netzwerk kann in ein paar Stunden gescannt werden, während ein großes Netzwerk bis zu ein paar Tagen dauern kann.
Schwachstellenscan anfragen