Schwachstellenscanner fallen in die Kategorie der Security-Scanner und dienen der Verbesserung der eigenen IT-Sicherheit, indem sie Administratoren durch ihre Scans bekannte Schwachstellen im Netzwerk aufzeigen.
Auch bei Security Audits gehören diese Scanner zum Standard-Repertoire. Das BSI selbst stellte einen Schwachstellenscanner auf der Basis von Nessus zur Verfügung, stellte diesen jedoch zugunsten einer Empfehlung des OpenVAS ein.
Wie wertvoll diese Scanner seien können haben die letzten Jahre bewiesen, als im Zuge der Anforderung, jedes Gerät zu vernetzen, Alt-Geräte und bisher unbeachtete Geräte plötzlich Einfluss auf die Integrität und Sicherheit des gesamten Netzwerks nahmen.
Dabei traten nicht nur Softwarefehler in Erscheinung, die sich ausnutzen ließen, sondern besonders die Benutzung schlechter, beziehungsweise keiner, Passwörter, sowie das Betreiben zu vieler unbenutzter, meist unsicherer Protokolle, die Angreifern den Zutritt erleichterten.
Ganz gleich, ob es Server, Netzwerkdrucker, Router, Desktop-Rechner, Linux, Windows oder Embedded Systems sind, die unter die Lupe genommen werden, Nessus, OpenVAS und Co sammeln die sicherheitsrelevanten Informationen des vorgegebenen Prüfbereichs in der vorgegebenen Tiefe. Hierbei beschränken sie sich nicht nur auf Schwachstellen, die über das Netzwerk erreichbar sind, sondern können – wenn konfiguriert – auch lokal auf den Maschinen prüfen.
Die Konfiguration beider Scanner lässt eine große Freiheit zu und kann so an die Anforderungen des eigenen Netzwerks angepasst werden. Von reinen Präsenzscans über spezifische Protokolle oder Betriebssysteme bis hin zu vollumfänglichen Scans, die sämtliche verfügbaren Checks gebrauchen, angepasst nach angegebenen Zielen, vorgegebnen Zeitplänen und, wenn gewünscht, auch einzeln eingestellten Timeouts für bestimmte Checks.
Diese „Checks“ basieren auf der von Nessus stammenden Skriptsprache NASL (Nessus Attack Scripting Language), welche auch von OpenVAS benutzt wird, da es sich bei OpenVAS um eine Abspaltung von Nessus handelt, als dieser unter proprietäre Lizenz gestellt wurde. Bereitgestellt werden diese Checks über die Hersteller der beiden Scanner, als auch über deren Community, da NASL einem Administrator natürlich auch erlaubt, eigene Checks zuschreiben und einzubinden. Neue Schwachstellen können so im eigenen Netzwerk schnell entdeckt werden beim nächsten Scan und anschließend behoben werden.
Nessus und OpenVAS bieten neben der reinen Anzeige von Schwachstellen, weiterführende Informationen zu diesen, wie zum Beispiel der Wert des Common Vulnerability Scoring System (CVSS), wie sie behoben werden können und weitere Verweise zu Informationen der Hersteller oder Einträgen von IT-Security Spezialisten und Organisationen.
Sie bieten auch eine Möglichkeit zum Delta-Abgleich der vorangegangenen Scans, um so eine Aussage über den Verlauf der auftretenden Schwachstellen vorlegen zu können.
Zusätzlich bieten sie sich als eine weitere Möglichkeit zur Unterstützung der Inventarisierung im Unternehmen an. Zur besseren Auswertung bieten beide Scanner auch die Möglichkeit, die jeweiligen Prüfberichte zu filtern und in unterschiedlichen Formaten zu exportieren.
Um durch die Nutzung von Schwachstellenscannern einen effektiven Gewinn an IT-Sicherheit zu erreichen, bedarf es eines geregelten Prozesses zum Management der identifizierten Schwachstellen. Das Erkennen der vorhandenen Schwachstellen und Risiken ist dabei nur der erste Schritt in diesem Prozess. Grundsätzlich kann dieser Prozess in die folgenden Prozessschritte unterteilt werden:
Scannen des Netzwerks oder Systems auf Schwachstellen und Erstellen eines Reports über die Ergebnisse des Scans.
Behebung der ausgewählten Schwachstellen auf Basis der Planung.
Überprüfung, ob Behebungs-Maßnahmen die Schwachstelle behoben haben und die Risiken nicht mehr vorhanden sind oder verringert wurden.
Wurde dieser Prozess vollständig durchlaufen, beginnt er mit einem erneuten Scan wieder von vorne.
