{"id":2893,"date":"2019-07-02T13:39:16","date_gmt":"2019-07-02T11:39:16","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=2893"},"modified":"2019-07-07T13:34:58","modified_gmt":"2019-07-07T11:34:58","slug":"aussagekraft-von-vulnerability-scanner-vs-penetrationstests","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pentest\/aussagekraft-von-vulnerability-scanner-vs-penetrationstests\/","title":{"rendered":"Die Aussagekraft von Vulnerability-Scanner vs. Penetrationstests"},"content":{"rendered":"\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>It is worth mentioning that automated methods are much faster in performing the security analysis.<\/p><cite><a href=\"http:\/\/thinkmind.org\/index.php?view=article&amp;articleid=cyber_2018_1_10_80034\">Alavi, Bessler und Massoth 2018<\/a><\/cite><\/blockquote>\n\n\n\n<p>Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchf\u00fchrung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht dies bei Vulnerability-Scannern rein automatisiert, welche lediglich von einem Anwender konfiguriert und gestartet werden m\u00fcssen. Wegen den geringeren personellen Ressourcen sollten Kunden beim Einkauf eines Pentests Acht geben, nicht mit einem aufbereiteten Vulnerability-Scan-Report &#8222;abgespeist&#8220; zu werden.<\/p>\n\n\n\n<p>Inwieweit die Ergebnisse eines Vulnerability-Scanners mit einem Penetrationstest verglichen werden k\u00f6nnen, haben zwei BACPPler &#8211; <a href=\"https:\/\/www.xing.com\/profile\/Saed_Alavi\">Saed Alavi<\/a> und <a href=\"https:\/\/nbessler.de\/\">Niklas Bessler<\/a> &#8211; in ihrem Paper &#8222;<a href=\"https:\/\/security.sauer.ninja\/files\/cyber_2018_1_10_80034.pdf\">A Comparative Evaluation of Automated Vulnerability Scans Versus Manual Penetration Tests on False-negative Errors<\/a>&#8220; gezeigt. F\u00fcr ihre Analyse haben sie sich die Frage gestellt, wie viele Schwachstellen von einem Vulnerability-Scanner und einem Penetrationstester nicht als solche identifiziert werden, obwohl die L\u00fccken vorhanden sind? Im Wissenschaftsjargon ist hier die Rede von der False-Negative-Rate (FNR). Dazu haben sie eine mit Schwachstellen \u00fcbers\u00e4te IT-Infrastruktur aufgebaut und diese sowohl einem Penetrationstest als auch einem Vulnscan unterzogen. Wie &#8211; zugegebenerma\u00dfen &#8211; zu erwarten war, kamen sie zu dem Schluss, dass Penetrationstests zwar Vulnerablity-Scans beinhalten k\u00f6nnen, aber mit ihren manuellen Pr\u00fcfphasen weit dar\u00fcber hinaus gehen:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>&#8222;Most importantly, we have seen a remarkable higher false-negative rate in the vulnerability scan, which suggests that automated methods cannot replace manual penetration testing. However, the combination of both methods is a conceivable approach.&#8220;<\/p><cite><a href=\"http:\/\/thinkmind.org\/index.php?view=article&amp;articleid=cyber_2018_1_10_80034\">Alavi, Bessler und Massoth 2018<\/a><\/cite><\/blockquote>\n\n\n\n<p>Dennoch ist der Einsatz von Vulnerability-Scannern nicht obsolet: Auch wenn die F\u00fclle an Informationen eines Vulnerability-Scanners erst \u00fcberblickt, sortiert und ausgewertet werden muss &#8211; je nach Scanner kann dies leider selbst einen Fachmann ben\u00f6tigen -, sind sie ein Werkzeug um die eigene IT zu h\u00e4rten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>It is worth mentioning that automated methods are much faster in performing the security analysis. Alavi, Bessler und Massoth 2018 Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchf\u00fchrung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pentest\/aussagekraft-von-vulnerability-scanner-vs-penetrationstests\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[75,140],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-dsauer","4":"post-2893","6":"format-standard","7":"category-pentest","8":"post_tag-penetration-testing","9":"post_tag-vulnerability-scan"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=2893"}],"version-history":[{"count":9,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2893\/revisions"}],"predecessor-version":[{"id":2905,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2893\/revisions\/2905"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=2893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=2893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=2893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}