DragonImages - Fotolia
Die Tools zur Schwachstellen-Analyse richtig einsetzen
Viele Admins setzen normale Schwachstellenscanner ein, um eigene Websites und -applikationen auf ihre Sicherheit zu testen. Dabei sind viele Tools für diese Aufgabe nicht geeignet.
Das frühzeitige Testen und Überprüfen von Sicherheitsmaßnahmen hat einen großen Einfluss auf das Auftreten von Security-Vorfällen und Datendiebstählen. Richtig durchgeführte, auf das Web ausgerichtete Schwachstellen- und Penetrationstests können dafür sorgen, die Risiken beim Betrieb von Webseiten niedrig zu halten.
So wichtig es auch ist, noch immer wird das Thema IT-Sicherheit nicht ernst genug genommen. Es ist beispielsweise so einfach, andere für Vorfälle verantwortlich zu machen. Gerne genannte „Schuldige“ sind die Unternehmenskultur, regulatorische Vorgaben oder – vermutlich am beliebtesten – die lieben Vorgesetzten. Sie alle werden schnell verantwortlich gemacht, wenn IT-Mitarbeiter über zu wenig Unterstützung klagen, um Schwachstellen in den eigenen Webseiten und -applikationen zu finden. Nicht selten stimmt das auch. Verkrustete Strukturen können wirklich für Probleme sorgen, wenn es um solide durchgeführte Sicherheitstests geht. Aber es gibt noch mehr Bereiche, die in diesem Umfeld zu beachten sind.
Wenn Unternehmen die wirklich gefährlichen Schwachstellen in ihren Webanwendungen aufspüren wollen, dann gilt es genau zu wissen, wie die geeigneten Analyse-Tools dafür eingesetzt werden müssen. Schicke bunte Oberflächen und eine einfache Mausbedienung genügen da in der Regel nicht. Folgende Punkte sind bei Schwachstellenscans und der Suche nach Schwachstellen von Webanwendungen von Bedeutung.
Dedizierte Scanner für Webschwachstellen einsetzen
So gibt es einen wichtigen Unterschied zwischen traditionellen Scannern, die nach allgemeinen Schwachstellen im Netzwerk suchen und die auch für das Web eingesetzt werden können, sowie dedizierten Scannern für Sicherheitslücken im Web. Mit ersteren lassen sich natürlich auch Konfigurationsfehler in Webservern und möglicherweise auch einige spezielle Anfälligkeiten wie Cross Site Scripting finden. Aber mehr ist damit in der Regel nicht möglich.
Dedizierte Schwachstellenscanner für Lücken in Webseiten und -Applikationen finden ebenfalls diese Schwachstellen – aber auch noch weit mehr. Beispiele dafür sind SQL Injection, die Manipulation von Parametern und die Umleitung von HTTP-Anfragen. Dazu kommt, dass webzentrierte Tools meist über zusätzliche nützliche Werkzeuge verfügen. Dazu gehören etwa HTTP-Editoren, Proxies und Funktionen, um automatisch Exploits zu entdecken. All dies ist nicht Teil traditioneller Scanner.
Außerdem genügt es nicht, nur einen einzigen Web-Vulnerability-Scanner einzusetzen. Auch wenn es das Budget belasten mag und den Prozess komplizierter macht, trifft dieser Punkt doch in den meisten Fällen zu. Natürlich kommt es dadurch bei den Funktionen zu Überschneidungen. Unterschiedliche Web-Vulnerability-Scanner finden meist aber auch unterschiedliche Schwachstellen.
Manche Scanner erledigen bestimmte Aufgaben besser als andere. Zum Beispiel finden einige Produkte praktisch alle Cross-Site-Scripting-Lücken, während andere hervorragende Ergebnisse beim Thema SQL Injection oder gar beim Testen von .NET-basierten Anwendungen erzielen. Wieder andere Scanner sind besser beim Aufspüren von Sicherheitslöchern in Java oder in PHP-basierten Systemen. Weil sie alle ihre individuellen Stärken haben, sollten Sie verschiedene Scanner ausprobieren, um so die am besten zu Ihrer Umgebung passenden Lösungen zu finden.
Authentifizierte Analysen durchführen
Das Testen einer Webseite oder einer Applikation aus nur einer Perspektive heraus ist ein gravierender Fehler. Die meisten Hersteller von Schwachstellenscannern für das Web bieten die Möglichkeit, sowohl authentifizierte als auch nicht authentifizierte Analysen durchzuführen. Diese Möglichkeit sollte auch genutzt werden.
Viele Menschen gehen den Weg des geringsten Widerstands und führen nur nicht authentifizierte Tests durch. Das Testen ohne Authentifizierung vom Internet aus ergibt auch durchaus einige Ergebnisse. Das Testen mit Authentifizierung führt jedoch meist zu ganz anderen Ergebnissen. Auch das Testen mit unterschiedlichen Nutzerrechten kann zu völlig anderen Resultaten führen. Wenn Sie sich zudem selbst in Ihrer Firewall, in Ihrem IPS (Intrusion Prevention System) oder in Ihrer Web Application Firewall (WAF) whitelisten, entdecken Sie möglicherweise weitere bislang übersehene Schwachstellen.
Wenn Sie also vorhaben, alle Sicherheitsprobleme aufzuspüren, müssen Sie die Tests Ihrer Webapplikationen auch wirklich von allen denkbaren Seiten aus durchführen. Kriminelle Hacker verwenden sämtliche Tricks, die ihnen zur Verfügung stehen. Das sollten Sie genauso machen.
Schwachstellen richtig bewerten
Ein Problem sind allerdings immer noch False Positives, also Fehler beim Scan. Das lässt sich nicht verhindern. Weder mit Schwachstellenscannern für das Web noch mit anderen Sicherheits-Tools. Selbst bei ganz einfachen Port-Scannern treten sie auf. Nur mit dem Durchführen von Scans können Sie in Anbetracht möglicher False Negatives und übersehener Schwachstellen nie sicher sein, die komplette Situation Ihrer Webapplikationen zu durchschauen. Sie müssen jedoch genau wissen, ob ein bestimmter Vorfall ein Problem darstellt oder nicht oder ob etwas anderes eventuell komplett übersehen wurde.
Zudem lässt es sich nicht vermeiden, dass selbst spezialisierte Schwachstellenscanner für Webapplikationen nicht alle Lücken finden. Manchmal finden sie nicht einmal die Hälfte der vorhandenen Probleme. Dennoch lohnt sich der Einsatz dieser Tools, um Sicherheitslöcher aufzuspüren, die auf andere Weise nicht entdecken würden. Für Bereiche wie Web-Logins, das Management von Accounts oder die Prozesse im Unternehmen sind manuelle und über die Tools hinausgehende Tests meist unvermeidbar.
Die Tools richtig kennen
Sie werden nie genau wissen, was der Scanner wirklich leisten kann, wenn Sie keine tiefergehenden Analysen durchführen. Dazu benötigen Sie jedoch die Unterstützung durch den Hersteller Ihres Scanners. Nützlich sind auch manche Youtube-Channels, Blogs, der technische Support und die gute alte, mittlerweile etwas vernachlässigte Dokumentation. Manche Probleme, die Sie früher teilweise Jahre gekostet haben, um ihnen auf den Grund zu gehen, lassen sich heute Dank der zur Verfügung stehenden Online-Ressourcen in wenigen Stunden klären. Nutzen Sie diese Quellen zu Ihrem Vorteil.
Erst nachdem Sie mehrere umfangreiche Testläufe mit einem Scanner durchgeführt haben, können Sie seine tatsächlichen Vor- und Nachteile abschätzen. Auf diese Weise erfahren Sie zudem, welche Macken das Werkzeug hat, die Sie kennen sollten, um Ihre Ziele trotzdem zu erreichen.
Viele Hersteller schweigen sich zum Thema Feedback aus. Nicht selten sind sie aber dankbar und hören zu, wenn Sie über Probleme berichten und erklären, warum und wie etwas nicht funktioniert hat. Die Chancen stehen nicht schlecht, dass Ihr Feedback in neue Funktionen umgesetzt wird – wenn es um für den Hersteller relevante Bereiche geht.
Probieren Sie unbedingt unterschiedliche Scanner aus. Finden Sie die Werkzeuge, die am besten zu Ihrer Umgebung und Ihren Zielen passen und setzen Sie dann mindestens zwei davon ein.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!