Best Practices für Netzwerkscanner

Netzwerk-Scans sind ein wichtiges Instrument zur Absicherung Ihrer Angriffsfläche. Es hilft Ihnen, Geräte, offene Ports, Schwachstellen und Fehlkonfigurationen zu entdecken, die Einstiegspunkte für Angreifer sein könnten. 

Ohne häufige und gründliche Scans laufen Sie Gefahr, neue Bedrohungen, nicht autorisierte Geräte oder veraltete Software mit ausnutzbaren Schwachstellen zu übersehen.

Wird ein Netzwerkscan jedoch falsch durchgeführt, kann er Störungen wie eine Verlangsamung des Netzwerks verursachen oder Fehlalarme auslösen, die Ihrem Team viel Zeit kosten. 

Im Folgenden finden Sie einige bewährte Verfahren für das Scannen von Netzwerken, die Sie berücksichtigen sollten:

Richten Sie regelmäßige Scans ein, um neue Geräte und Schwachstellen zu finden, sobald sie in Ihrem Netzwerk auftauchen. 

Kontinuierliches Monitoring hält Angreifer davon ab, unbekannte oder übersehene Schwachstellen auszunutzen.

Richten Sie Ihre Scans so ein, dass sie automatisch in ruhigen Zeiten, wie nachts oder am Wochenende, durchgeführt werden, wenn Ihr Unternehmen das Netzwerk nicht so stark nutzt, um Verlangsamungen oder Unterbrechungen des Geschäftsbetriebs zu vermeiden. 

In manchen Fällen kann das Scannen einer stark frequentierten Datenbank während der Arbeitszeit dazu führen, dass Anwendungen nicht mehr funktionieren oder die Benutzer frustriert sind.

Wie oft Sie scannen, hängt von der Kritikalität der Assets, der Risikotoleranz und den Compliance-Anforderungen ab. 

Als Ausgangsbasis:

• Externe Systeme mit Internetanbindung: Scannen Sie mindestens wöchentlich, da sie am stärksten gefährdet sind.
• Interne Produktionsserver: Führen Sie authentifizierte Scans wöchentlich oder zweiwöchentlich durch.
• Endpoints und Benutzergeräte: Scannen Sie monatlich oder im Rahmen von routinemäßigen Patch-Zyklen.
• Compliance-Mandate: Einhaltung der vorgeschriebenen Zeitpläne, z. B. vierteljährliche externe Scans für PCI DSS.

Für hochdynamische Umgebungen, wie z. B. Cloud Workloads oder Container, sollten Sie zu kontinuierlichen Scans übergehen. Netzwerk-Scanning-Tools können Assets nahezu in Echtzeit überwachen und so sofort erkennen, wenn neue Schwachstellen auftauchen.

Eine umfassende Scan-Strategie nutzt zwei sich ergänzende Methoden: aktives und passives Scannen.

Beim aktiven Scannen werden Abfragen an Geräte gesendet, um offene Ports, Dienste und Schwachstellen zu ermitteln. 

Dies verschafft Ihnen zwar tiefe Einblicke, kann aber gelegentlich empfindliche Systeme stören. 

So können aggressive Scans manchmal dazu führen, dass ältere Drucker, VoIP-Telefone oder empfindliche OT-Geräte abstürzen oder sich unvorhersehbar verhalten.

Kombinieren Sie aktives Scannen mit passivem Scannen, um diese Unterbrechungen zu vermeiden und vollständige Transparenz zu erhalten. Diese Methode überwacht kontinuierlich den Netzwerkverkehr, um Assets und Schwachstellen zu identifizieren, ohne direkt mit Geräten zu interagieren.

Passives Scannen ist besonders wertvoll für die Erkennung von temporären Geräten (wie Gast-Laptops) und Schatten-IT (nicht autorisierte Software und Hardware), die geplante aktive Scans oft übersehen.

Beides zusammen liefert Ihnen ein vollständiges Echtzeit-Bild Ihres Netzwerks, sodass Sie bekannte und neu aufkommende Bedrohungen erkennen können, ohne kritische Betriebsabläufe zu beeinträchtigen.

Netzwerkscanner verwenden zwei Arten von Scans: nicht authentifizierte (von außen, z. B. von einem Angreifer) und authentifizierte (Credentialed-Scans). 

Für präzise Ergebnisse benötigen Sie authentifiziertes Scannen. Wenn Sie sich mit gültigen Anmeldedaten bei einem System anmelden, kann der Scanner detaillierte Informationen über die installierte Software, den Patch-Status und die lokalen Konfigurationseinstellungen sammeln.

Dieser tiefere Blick findet Schwachstellen, die man von außen nicht sehen kann, wie fehlende Patches oder riskante Softwareeinstellungen. Durch die direkte Überprüfung der Systeme wird auch die Zahl der Fehlalarme verringert.

Während Credentialed-Scans die Verwaltung von Zugangsdaten erfordern, können Sie dies auf sichere Weise durchführen, indem Sie einen sicheren Tresor verwenden, um Dienstkonten mit Nur-Lese-Berechtigungen bzw. den minimal erforderlichen Berechtigungen auf den Zielsystemen zu speichern.

Ein rohe Scan-Bericht kann überwältigend sein.

Um sich auf das tatsächliche Risiko zu konzentrieren, priorisieren Sie die Behebung mithilfe eines modernen, datengesteuerten Ansatzes, der über den Schweregrad hinausgeht und Threat-Intelligence sowie den Unternehmenskontext mit einbezieht.

Verwenden Sie zunächst das Common Vulnerability Scoring System (CVSS), um den eigentlichen Schweregrad einer Schwachstelle zu ermitteln. Eine hohe CVSS-Bewertung (7.0-10.0) weist auf eine potenziell schädliche Schwachstelle hin, die Sie ernst nehmen sollten.

Als nächstes setzen Sie das Exploit Prediction Scoring System( EPSS) ein. Mit EPSS erhalten Sie einen Wahrscheinlichkeitswert (0-100%), der angibt, wie wahrscheinlich es ist, dass ein Bedrohungsakteur eine Schwachstelle in den nächsten 30 Tagen ausnutzt. Dies hilft Ihnen, zwischen einer schwerwiegenden Schwachstelle, die niemand angreift, und einer unmittelbaren und gegenwärtigen Gefahr zu unterscheiden.

Schließlich ist auch die Bedeutung des Assets zu berücksichtigen. Eine Schwachstelle mit hohem CVSS- und EPSS-Wert in einer kritischen, mit dem Internet verbundenen Produktionsdatenbank hat absolute Priorität. Sie können die gleiche Schwachstelle später auf einem isolierten Testrechner beheben.

Moderne Vulnerabilty Management-Plattformen nutzen die Ergebnisse Ihrer Netzwerk-Scans als Grundlage für eine tiefergehende, KI-gesteuerte Analyse, um diese Priorisierungstheorie in die Praxis umzusetzen. 

Eine Plattform wie Tenable beispielsweise erfasst die Ergebnisse Ihres Scanners und wendet ihr prädiktives Vulnerability Priority Rating (VPR) an, um zu ermitteln, bei welchen der festgestellten Schwachstellen die Wahrscheinlichkeit am größten ist, dass böswillige Akteure sie ausnutzen werden. 

Um den entscheidenden Geschäftskontext hinzuzufügen, wird dann ein Asset Criticality Rating (ACR) für

gescannte Assets hinzugefügt. 

Die fortschrittlichsten Systeme nutzen diese kombinierten Daten sogar, um potenzielle Angriffspfade abzubilden und zu zeigen, wie eine risikoarme Feststellung auf einem Rechner ein kritisches Asset an anderer Stelle gefährden könnte.

Dieser Ansatz verwandelt die Rohdaten Ihres Scanners in einen priorisierten, umsetzbaren Plan.

Ihre Schwachstellenscans sind nur so gut wie Ihr Verständnis dessen, was sich in Ihrem Netzwerk befindet. Angreifer nutzen häufig unautorisierte oder nicht verwaltete Geräte aus, die unbemerkt bleiben. Ein genaues, laufend aktualisiertes Asset-Inventar ist für eine wirksame Sicherheit unerlässlich.

Verwenden Sie Ihre Netzwerk-Scan-Tools, um neue Geräte automatisch zu erkennen, damit Sie immer wissen, welche Geräte verbunden sind. Dies ist besonders wichtig in Umgebungen, in denen Geräte häufig hinzugefügt, entfernt oder verschoben werden, wie z. B. in Büros mit BYOD-Richtlinien oder in Cloud- und Hybrid-Netzwerken.

Ein aktuelles Asset-Inventar unterstützt außerdem Compliance-Berichterstattung und Incident Response, wodurch die Nachverfolgung, Eindämmung und Behebung von Bedrohungen erleichtert wird.

Sie sollten Netzwerkscans in Ihre umfassenderen Sicherheitsvorgänge integrieren, um ein automatisiertes, geschlossenes System für das Management des Schwachstellen-Lebenszyklus zu schaffen, wie z. B. die Verbindung Ihres Schwachstellenscanners mit SOAR- und SIEM-Lösungen.

Dadurch entsteht ein leistungsfähiger Workflow. 

Wenn zum Beispiel ein Scan eine kritische Schwachstelle auf einem wichtigen Server entdeckt, kann er eine Echtzeitwarnung im SIEM auslösen. Das SIEM kann dann ein SOAR-Playbook initiieren, das automatisch ein Ticket mit hoher Priorität in einem System wie Jira oder ServiceNow öffnet, es dem richtigen IT-Administrator zuweist und das Ticket mit allen notwendigen Details zur Behebung ausfüllt. 

Dieser automatisierte Prozess stellt sicher, dass Sie Schwachstellen von der Entdeckung bis zur Behebung mit klaren Metriken für die Compliance nachverfolgen und Ihre Reaktionszeit erheblich verkürzen.

Eine allgemeingültige Scan-Richtlinie ist ineffizient und kann gefährlich sein.

Passen Sie Ihre Scan-Profile an die spezifischen Risiken, Technologien und betrieblichen Anforderungen verschiedener Netzwerksegmente an.

Während Sie für risikoarme Segmente immer weniger intensive und weniger häufige Scan durchführen sollten, müssen Sie diesen besonderen Umgebungen spezielle Aufmerksamkeit widmen:

Cloud (AWS, Azure, GCP): Herkömmliche Netzwerkscanner weisen in Cloud-Umgebungen blinde Flecken auf. Erweitern Sie Ihre Strategie mit nativen Tools. In diesen hochdynamischen Umgebungen, in denen Assets ständig hoch- und runtergefahren werden, sind schlanke, agentenbasierte Scans oft effektiver als periodische netzwerkbasierte Scans.

OT/Industrielle Steuerungssysteme (ICS): In diesen Umgebungen ist äußerste Vorsicht geboten. Führen Sie niemals einen Standard-IT-Netzwerkscan in einem OT-Netzwerk durch. Beginnen Sie immer mit einem rein passiven Scannen, um Assets sicher zu erkennen und zu identifizieren, ohne dass kritische Industrieprozesse unterbrochen werden. Wenn Sie aktives Scannen benötigen, verwenden Sie Richtlinien, die speziell für OT-Umgebungen konzipiert und zertifiziert wurden.

Das Scannen erzeugt riesige Datenmengen, die ohne das entsprechende Fachwissen überwältigend sein können. Schulen Sie Ihre Sicherheits- und IT-Teams darin, Scan-Berichte zu lesen, den Schweregrad von Schwachstellen zu verstehen und Behebungsmaßnahmen zu priorisieren.

Eine angemessene Schulung verhindert, dass Teams Zeit damit verschwenden, risikoarmen Problemen nachzugehen oder Scanergebnisse falsch zu interpretieren. Fördern Sie die Zusammenarbeit zwischen den Sicherheits-, Netzwerk- und Betriebsteams, um die Kommunikation zu verbessern und die Behebung von Schwachstellen zu beschleunigen.

Kontinuierliche Weiterbildung und Kompetenzentwicklung helfen Ihrem Team außerdem, mit sich weiterentwickelnden Bedrohungen, neuen Scantechnologien und Best Practices Schritt zu halten.

Nutzen Sie die Vorteile von Automatisierung wo immer möglich .Automatisieren Sie Scan-Planung, Ergebnisanalyse und Schwachstellenverfolgung.

Richten Sie Benachrichtigungen für kritische Schwachstellen, neu entdeckte Assets oder ungewöhnliche Scan-Ergebnisse ein, damit Ihr Team schnell auf aufkommende Bedrohungen reagieren kann. Automatisierung beschleunigt die Erkennung und Behebung und reduziert gleichzeitig menschliche Fehler und den operativen Aufwand.

Viele moderne Scan- und Schwachstellenmanagement-Plattformen bieten integrierte Automatisierungsfunktionen, die sich nahtlos in Ihre bestehenden Sicherheitstools integrieren lassen.

Wenn Sie diese Best Practices für Netzwerkscanner befolgen, verbessern Sie die Sichtbarkeit, reduzieren False Positives, konzentrieren sich auf echte Risiken und halten Ihr Netzwerk sicher, ohne den Geschäftsbetrieb zu unterbrechen. Diese Strategien schaffen eine solide Grundlage für proaktive Sicherheit, die sich an die Entwicklung Ihres Netzwerks anpassen lässt.

Möchten Sie Ihre Netzwerk-Scans und Ihr Schwachstellenmanagement verbessern? Finden Sie heraus, wie Tenable Vulnerability Management Ihnen helfen kann, Scans zu automatisieren, Risiken zu priorisieren und die Behebung zu beschleunigen.