Schwachstellenscanner können den IT-Mitarbeitern eines Unternehmens dabei helfen, Schwachstellen im gesamten Netzwerk zu identifizieren, z. B. Ports, auf die nicht autorisierte Benutzer zugreifen können, und Software, denen die neuesten Sicherheitspatches fehlen, und so sicherstellen, dass das Netzwerk die Sicherheitsrichtlinien des Unternehmens einhält. Passive Scanner legen Wert auf die Überwachung der Netzwerkaktivität, während aktive Scanner Angriffe simulieren und Schwachstellen reparieren können. Beide Scannertypen können innerhalb eines Netzwerks nebeneinander existieren und sich gegenseitig ergänzen.
Grundlagen zum Scannen von Sicherheitslücken
Schwachstellenscanner geben Daten zu potenziellen Sicherheitsrisiken zurück, mit denen IT-Mitarbeiter das Netzwerk so anzeigen können, wie es ein potenzieller Hacker tun könnte, und erkennen die potenziellen Möglichkeiten für Denial-of-Service-Angriffe oder das Abrufen von Informationen durch Paket-Sniffing. Schwachstellenscanner priorisieren häufig die entdeckten Schwachstellen und weisen unterschiedliche Werte zu, um den potenziellen Schaden darzustellen, den ein Hacker innerhalb eines Netzwerks durch Ausnutzung einer bestimmten Schwachstelle verursachen könnte. Auf diese Weise können Netzwerkadministratoren Reparaturarbeiten priorisieren, indem sie angeben, welche Knoten die größten Sicherheitsrisiken aufweisen.
Aktive Scanner
Aktive Scanner senden Übertragungen an die Netzwerkknoten und untersuchen die empfangenen Antworten, um festzustellen, ob ein bestimmter Knoten eine Schwachstelle innerhalb des Netzwerks darstellt. Ein Netzwerkadministrator kann auch einen aktiven Scanner verwenden, um einen Angriff auf das Netzwerk zu simulieren, Schwachstellen aufzudecken, die ein potenzieller Hacker erkennen würde, oder einen Knoten nach einem Angriff untersuchen, um festzustellen, wie ein Hacker die Sicherheit verletzt hat. Aktive Scanner können Maßnahmen ergreifen, um Sicherheitsprobleme autonom zu lösen, z. B. das Blockieren einer potenziell gefährlichen IP-Adresse.
Passive Scanner
Passive Scanner identifizieren die aktiven Betriebssysteme, Anwendungen und Ports im gesamten Netzwerk und überwachen die Aktivitäten, um die Schwachstellen des Netzwerks zu ermitteln. Passive Scanner können zwar Informationen zu Schwachstellen bereitstellen, sie können jedoch keine Maßnahmen zur Lösung von Sicherheitsproblemen ergreifen. Diese Scanner können die aktuelle Software und Patch-Versionen auf vernetzten Geräten überprüfen und angeben, welche Geräte Software verwenden, die ein potenzielles Gateway für Hacker- oder Trojaner-Angriffe darstellt, und diese Informationen auf öffentliche Datenbanken mit Listen aktueller Patches verweisen. Ein Netzwerkadministrator kann passive Scanner so einstellen, dass sie kontinuierlich ausgeführt werden oder in bestimmten Intervallen betrieben werden.
Einschränkungen und Mängel beim Scannen von Sicherheitslücken
Während Schwachstellenscanner Netzwerksicherheitsaufgaben erleichtern können, können sie das Fachwissen von geschultem Personal nicht ersetzen. Scanner können falsch positive Ergebnisse zurückgeben, die auf eine Schwäche hinweisen, bei der keine vorhanden ist, und falsch negative Ergebnisse, bei denen der Scanner ein Sicherheitsrisiko übersieht. Qualifiziertes Personal muss die von seinen Scannern zurückgegebenen Daten sorgfältig prüfen, um fehlerhafte Ergebnisse zu erkennen. Die Bedrohungsanalyse eines Scanners basiert ausschließlich auf seiner Datenbank bekannter Exploits. Ein Scanner kann die aufgedeckten Daten nicht extrapolieren, um neue und neuartige Methoden zu entwickeln, mit denen ein Hacker das Netzwerk angreifen kann. Das Scannen von Sicherheitslücken beansprucht auch eine beträchtliche Menge an Bandbreite, was möglicherweise die Netzwerkleistung beeinträchtigt.