Vulnerability Scan

Die Aussagekraft von Vulnerability-Scanner vs. Penetrationstests

1 Comment

It is worth mentioning that automated methods are much faster in performing the security analysis.

Alavi, Bessler und Massoth 2018

Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchführung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht dies bei Vulnerability-Scannern rein automatisiert, welche lediglich von einem Anwender konfiguriert und gestartet werden müssen. Wegen den geringeren personellen Ressourcen sollten Kunden beim Einkauf eines Pentests Acht geben, nicht mit einem aufbereiteten Vulnerability-Scan-Report „abgespeist“ zu werden.

Inwieweit die Ergebnisse eines Vulnerability-Scanners mit einem Penetrationstest verglichen werden können, haben zwei BACPPler – Saed Alavi und Niklas Bessler – in ihrem Paper „A Comparative Evaluation of Automated Vulnerability Scans Versus Manual Penetration Tests on False-negative Errors“ gezeigt. Für ihre Analyse haben sie sich die Frage gestellt, wie viele Schwachstellen von einem Vulnerability-Scanner und einem Penetrationstester nicht als solche identifiziert werden, obwohl die Lücken vorhanden sind? Im Wissenschaftsjargon ist hier die Rede von der False-Negative-Rate (FNR). Dazu haben sie eine mit Schwachstellen übersäte IT-Infrastruktur aufgebaut und diese sowohl einem Penetrationstest als auch einem Vulnscan unterzogen. Wie – zugegebenermaßen – zu erwarten war, kamen sie zu dem Schluss, dass Penetrationstests zwar Vulnerablity-Scans beinhalten können, aber mit ihren manuellen Prüfphasen weit darüber hinaus gehen:

„Most importantly, we have seen a remarkable higher false-negative rate in the vulnerability scan, which suggests that automated methods cannot replace manual penetration testing. However, the combination of both methods is a conceivable approach.“

Alavi, Bessler und Massoth 2018

Dennoch ist der Einsatz von Vulnerability-Scannern nicht obsolet: Auch wenn die Fülle an Informationen eines Vulnerability-Scanners erst überblickt, sortiert und ausgewertet werden muss – je nach Scanner kann dies leider selbst einen Fachmann benötigen -, sind sie ein Werkzeug um die eigene IT zu härten.

Newsletter: 83% der Sicherheitsexperten sind beunruhigt, mit Schwachstellenscans nicht alle Bedrohungen zu finden

Leave a Comment

Heute kam ein Newsletter von Tenable in mein Postfach. Betreff: „83% of Security Pros are concerned about missing threats between vulnerability scans.” Jetzt ernsthaft? Und was denken die restlichen 17% der Sicherheitsexperten in der Umfrage? Dass man mit Schwachstellenscans tatsächlich alle Bedrohungen in der IT-Sicherheit findet? Ja ne, ist klar… Der Betreff hätte heißen müssen „100% of Security Pros are thinking that vulnerability scans won’t find all threats.

Schwachstellen/Vulnerability Scan mit Nessus und IPv6

Leave a Comment

Nessus von Tenable Networks Security ist ein bekannter Vulnerability Scanner / Schwachstellen-Scanner zur Analyse eines Netzwerks auf bekannte Schwachstellen. Nessus kann hierbei nicht nur mit gewöhnlichen IPv4-Adressen umgehen, sondern beherrscht auch IPv6.

Grundsätzlich ist es durch die extrem hohe Anzahl von möglichen Adressen bei IPv6 nicht möglich ganze Netze zu scannen. Aber man kann Nessus Listen von IPv6-Adressen übergeben, die er auf mögliche Schwachstellen analysiert. Dabei sollte man die Option „ping scan“ in der eigenen Scan Policy tunlichst deaktivieren. Sobald diese aktiviert ist, scheint Nessus nicht mehr alle übergebenen IPv6-Adressen zu scannen und/oder bricht vorher ab. Die Ursache für das Verhalten ist mir nicht bekannt, ich hatte die Probleme selbst und wurde vom Support darauf aufmerksam gemacht.