Fotolia
Mehr Sicherheit durch authentifizierte Schwachstellen-Scans
Ein Schwachstellen-Scanner, der sich an einem Host oder bei einem Dienst anmeldet, hat weit mehr Möglichkeiten, Sicherheitslücken zu finden als ohne Zugangsdaten laufende Tools.
Was man nicht kennt, kann man auch nicht absichern. Dieser Satz ist zwar nicht unbedingt ein Mantra der IT-Security, er bewahrheitet sich jedoch beispielsweise immer dann, wenn Sie sich mit der Suche nach Schwachstellen in Ihrem Netzwerk aus der Perspektive eines „vertrauenswürdigen“ Anwenders beschäftigen. In anderen Worten gesagt, ist es ein Fehler, nach Schwachstellen zu suchen, ohne dabei auch Authentifizierung einzusetzen.
Wenn Sie Ihre Schwachstellen-Scanner so konfigurieren, dass sie sich auf den Hosts einloggen können, die Sie testen wollen, werden Sie schnell erfahren, warum das so ist. Dieser Bereich wird häufig vernachlässigt, weil er als zu komplex gilt oder aus Zeit- beziehungsweise Kostengründen. Authentifiziertes Schwachstellen-Scanning benötigt tatsächlich mehr Zeit. Auf der anderen Seite entdecken Sie dadurch jedoch weit mehr Sicherheitslücken, die ansonsten unbemerkt bleiben würden. Unterm Strich lohnt sich der Aufwand also tatsächlich.
Authentifizierte Schwachstellen-Scans durchführen
Die folgenden fünf Punkte fassen zusammen, wie Sie authentifizierte Schwachstellen-Scans vorbereiten, durchführen und wie Sie die besten Ergebnisse damit erzielen können.
1. Finden Sie im Vorfeld heraus, welche Systeme Sie mit Authentifizierung überprüfen wollen. Das können entweder alle Windows- oder auch alle Linux-Clients sein oder auch nur ein kleinerer Teil Ihrer IT (zum Beispiel nur Server oder nur Workstations). Ziehen Sie auch Webapplikationen, Datenbanken und alle anderen Netzwerk-Hosts mit in Ihre Überlegungen mit ein, die Authentifizierung erlauben beziehungsweise voraussetzen. Dafür häufig verwendete Protokolle sind Telnet, FTP, Secure Shell und SNMP (Simple Network Management Protocol). Viele kommerzielle Schwachstellen-Scanner bieten mehrere Möglichkeiten, um genau festzulegen, was gescannt werden soll. Auch viele Kriminelle setzen mittlerweile auf die gezielte Suche nach Schwachstellen, nachdem sie die dabei von ihnen verwendeten Tools authentifiziert haben. Ihr Unternehmen sollte es aus diesem Grund genauso machen.
2. Legen Sie dann fest, mit welchen Gruppen und welchen Rechten Sie scannen wollen. Empfehlenswert ist es, dazu auf jeden Fall auch Admin- oder root-Rechte zu verwenden. So lassen sich die meisten Fehler finden. Aber auch Scans mit anderen Nutzerrollen auf zum Beispiel der Ebene von Führungskräften oder der von einfachen Mitarbeitern sind sinnvoll, da sich auf diese Weise herausfinden lässt, was jede Nutzergruppe sehen und möglicherweise missbrauchen kann. Je mehr Scans mit unterschiedlichen Nutzerrollen Sie durchspielen, desto bessere Ergebnisse erzielen Sie. Allerdings gibt es Einschränkungen. Irgendwann tritt das „Gesetz des abnehmenden Ertrags“ in Kraft. Sie wissen, dass weitere Tests keinen Erfolg mehr versprechen, wenn sich die Scan-Ergebnisse nicht mehr anhand der verwendeten Rechte unterscheiden.
3. Achten Sie darauf, die zum Scannen verwendeten Nutzer-Accounts so anzulegen, dass beim ersten Login kein Passwort-Wechsel erforderlich ist. In vielen Active-Directory-Umgebungen und manchen Webapplikationen ist dies in der Regel der Fall. Wenn Sie diesen Punkt vergessen, sieht Ihr Scanner beim ersten Durchlauf nur ein Fenster, in dem er aufgefordert wird, sein Passwort zu ändern. Was er natürlich nicht kann. Möglicherweise fällt Ihnen das nicht auf und Sie fahren trotzdem mit dem Scan fort. Erst einige Minuten oder gar Stunden später wird Ihnen dann bewusst, dass die Authentifizierung des Scanners nicht funktioniert hat und dass Sie mit den Scans deswegen von vorne beginnen müssen. Wenn Sie Schwachstellen-Scanner für Webapplikationen einsetzen, werden Sie wahrscheinlich ein eigenes Login-Makro erstellen müssen, mit dem Sie den Ablauf testen können. Aus nicht bekannten Gründen bietet kaum ein Schwachstellen-Scanner eine Möglichkeit, die Authentifizierung vor dem eigentlichen Scan zu testen.
4. Schwachstellen-Scans von Netzwerk-Hosts mit Authentifizierung sind im Prinzip gutartig. In Produktionsumgebungen können die Scans jedoch problematisch sein, insbesondere wenn es sich um Webanwendungen handelt. Aber gleichgültig, was Sie scannen, allein der Vorgang hat einen Einfluss auf CPUs, Speichermedien und das Netzwerk. Außerdem füllen sich Protokolldateien und Datenbanken, Nutzer-Accounts können gesperrt werden und andere negative Auswirkungen treten auf. Es empfiehlt sich deswegen, dass Sie Ihre authentifizierten Scans zunächst auf ein oder zwei Systemen in Ruhe testen, um mehr über die Nebeneffekte zu erfahren. Erst danach sollten Sie hunderte oder gar tausende Systeme auf einmal überprüfen.
5. Die Zahl der bei den Scans aufgespürten Schwachstellen kann auf den ersten Blick erschlagend wirken. Das trifft vor allem zu, wenn Sie dazu traditionelle PDF-Reports verwenden. Meiner Erfahrung nach sind Berichte im HTML- oder Excel-Format weit besser geeignet, weil sich die Ergebnisse darin leichter nach gefundenen Schwachstellen sortieren lassen. Durch diese einfachere Darstellung können Sie viel Zeit einsparen. Zum Beispiel indem Sie sich anzeigen lassen, welche Hosts oder Webseiten überhaupt von einer bestimmten Sicherheitslücke betroffen sind. Außerdem lassen sich so abschließende Berichte oder Aktionspläne leichter erstellen als wenn Sie sich mühsam durch die Ergebnisse für jeweils nur einen einzigen Host kämpfen müssen.
Das Durchführen von authentifizierten Schwachstellen-Scans funktioniert im Prinzip ähnlich wie der Einsatz einer Digitalkamera, mit der sich Fotos machen lassen. Jeder kann es besitzen, aber das bedeutet noch nicht, dass er es richtig einsetzen kann, um damit gute Ergebnisse zu erzielen.
Je mehr authentifizierte Scans Sie durchführen, desto mehr Tricks lernen Sie, um sie effektiver und effizienter zu machen. So steigt auch Ihre Fähigkeit, Schwachstellen in immer kürzerer Zeit zu finden und so die Risiken für Ihr Unternehmen zu senken. Letztlich gewinnt dadurch jeder.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!