Best Practices für Netzwerk-Scanner

Netzwerk-Scans sind ein wichtiges Instrument zur Sicherung Ihrer Angriffsfläche. Es hilft Ihnen, Geräte, offene Ports, Schwachstellen und Fehlkonfigurationen zu entdecken, die Einstiegspunkte für Angreifer sein könnten. 

Ohne häufige und gründliche Scans laufen Sie Gefahr, neue Bedrohungen, nicht autorisierte Geräte oder veraltete Software mit ausnutzbaren Schwachstellen zu übersehen.

Wird ein Netzwerkscan jedoch falsch durchgeführt, kann er Störungen wie Netzwerkverlangsamungen verursachen oder Fehlalarme auslösen, die Ihrem Team viel Zeit kosten. 

Im Folgenden finden Sie einige bewährte Verfahren für das Scannen von Netzwerken, die Sie berücksichtigen sollten:

Richten Sie regelmäßige Scans ein, um neue Geräte und Schwachstellen zu finden, sobald sie in Ihrem Netzwerk auftauchen. 

Die kontinuierliche Überwachung hält Angreifer davon ab, unbekannte oder übersehene Schwachstellen auszunutzen.

Stellen Sie Ihre Scans so ein, dass sie automatisch in ruhigen Zeiten, wie nachts oder am Wochenende, durchgeführt werden, wenn Ihr Unternehmen das Netzwerk nicht so stark nutzt, um Verlangsamungen oder Unterbrechungen des Geschäftsbetriebs zu vermeiden. 

In manchen Fällen kann das Scannen einer stark frequentierten Datenbank während der Arbeitszeit dazu führen, dass Anwendungen nicht mehr funktionieren oder die Benutzer frustriert sind.

Wie oft Sie scannen, hängt von der Kritikalität der Assets, der Risikotoleranz und den Compliance-Anforderungen ab. 

Als Ausgangsbasis:

• Externe, dem Internet zugewandte Systeme: Scannen Sie mindestens wöchentlich, da sie am stärksten gefährdet sind.
• Interne Produktionsserver: Führen Sie authentifizierte Scans wöchentlich oder zweiwöchentlich durch.
• Endgeräte und Benutzergeräte: Scannen Sie monatlich oder im Rahmen von routinemäßigen Patch-Zyklen.
• Compliance-Mandate: Einhaltung der vorgeschriebenen Zeitpläne, z. B. vierteljährliche externe Scans für PCI DSS.

Für hochdynamische Umgebungen, wie z. B. Cloud Workloads oder Container, sollten Sie zu kontinuierlichen Scans übergehen. Netzwerk-Scanning-Tools können Assets nahezu in Echtzeit überwachen und so sofort erkennen, wenn neue Schwachstellen auftauchen.

Eine umfassende Scanning-Strategie nutzt zwei sich ergänzende Methoden: aktives und passives Scannen.

Beim aktiven Scannen werden Sonden an Geräte gesendet, um offene Ports, Dienste und Schwachstellen zu ermitteln. 

Sie verschafft Ihnen zwar tiefe Einblicke, kann aber gelegentlich empfindliche Systeme stören. 

So können aggressive Scans manchmal dazu führen, dass ältere Drucker, VoIP-Telefone oder empfindliche OT-Geräte abstürzen oder sich unvorhersehbar verhalten.

Kombinieren Sie aktives Scannen mit passivem Scannen, um diese Unterbrechungen zu vermeiden und einen vollständigen Überblick zu erhalten. Bei dieser Methode wird der Netzwerkverkehr kontinuierlich abgehört, um Assets und Schwachstellen zu identifizieren, ohne direkt mit den Geräten zu interagieren. 

Passives Scannen ist besonders wertvoll, wenn es darum geht, vorübergehend genutzte Geräte (z. B. Gast-Laptops) und Schatten-IT (nicht autorisierte Software und Hardware) aufzuspüren, die bei geplanten aktiven Scans oft übersehen werden.

Durch den Einsatz beider Systeme erhalten Sie ein vollständiges Bild Ihres Netzwerks in Echtzeit, so dass Sie bekannte und neue Bedrohungen erkennen können, ohne kritische Abläufe zu beeinträchtigen.

Netzwerk-Scanner verwenden zwei Arten von Scans: unauthentifizierte (von außen, wie ein Angreifer) und authentifizierte (Credentialed-Scan). 

Um möglichst genaue Ergebnisse zu erzielen, ist ein authentifizierter Scan erforderlich. Wenn Sie sich mit gültigen Anmeldedaten bei einem System anmelden, kann der Scanner detaillierte Informationen über die installierte Software, den Patch-Status und die lokalen Konfigurationseinstellungen sammeln.

Dieser tiefere Blick findet Schwachstellen, die man von außen nicht sehen kann, wie fehlende Patches oder riskante Softwareeinstellungen. Durch die direkte Überprüfung der Systeme wird auch die Zahl der Fehlalarme verringert.

Beim Credentialed-Scan müssen Sie zwar die Anmeldeinformationen verwalten, aber Sie können dies sicher tun, indem Sie einen sicheren Tresor verwenden, in dem Sie Dienstkonten mit Nur-Lese- oder minimalen erforderlichen Berechtigungen auf den Zielsystemen speichern.

Ein roher Scan-Bericht kann überwältigend sein. 

Um sich auf das tatsächliche Risiko zu konzentrieren, priorisieren Sie die Behebung mithilfe eines modernen, datengesteuerten Ansatzes, der über den Schweregrad hinausgeht und Threat-Intelligence sowie den Unternehmenskontext mit einbezieht.

Verwenden Sie zunächst das Common Vulnerability Scoring System (CVSS), um den eigentlichen Schweregrad einer Schwachstelle zu ermitteln. Eine hohe CVSS-Bewertung (7.0-10.0) weist auf eine potenziell schädliche Schwachstelle hin, die Sie ernst nehmen sollten.

Next, layer on the Exploit Prediction Scoring System (EPSS). EPSS gives you a probability score (0-100%) about a threat actor's likelihood of exploiting a vulnerability in the wild in the next 30 days. This helps you distinguish between a severe vulnerability that no one is attacking and a clear and present danger.

Schließlich ist auch die Bedeutung des Assets zu berücksichtigen. Eine Schwachstelle mit einer hohen CVSS- und EPSS-Bewertung in einer kritischen Produktionsdatenbank mit Internetanschluss hat absolute Priorität. Sie können die gleiche Schwachstelle später auf einem isolierten Testrechner beheben.

Moderne Plattformen für das Schwachstellen-Management nutzen die Ergebnisse Ihrer Netzwerk-Scans als Grundlage für eine tiefer gehende, KI-gesteuerte Analyse, um diese Theorie der Priorisierung in die Praxis umzusetzen. 

Eine Plattform wie Tenable nimmt beispielsweise die Ergebnisse Ihres Scanners auf und wendet ihr prädiktives Vulnerability Priority Rating (VPR) an, um festzustellen, welche entdeckten Schwachstellen böswillige Akteure am ehesten ausnutzen werden. 

Um den entscheidenden Geschäftskontext hinzuzufügen, wird dann ein Asset Kritikalität Rating (ACR) für

gescannte Assets. 

Die fortschrittlichsten Systeme nutzen diese kombinierten Daten sogar, um potenzielle Angriffspfade abzubilden und zu zeigen, wie ein risikoarmer Befund auf einem Rechner ein kritisches Asset an anderer Stelle gefährden könnte.

Dieser Ansatz verwandelt die Rohdaten Ihres Scanners in einen nach Prioritäten geordneten, umsetzbaren Plan.

Ihre Schwachstellen-Scans sind nur so gut, wie Sie wissen, was sich in Ihrem Netzwerk befindet. Angreifer nutzen häufig unautorisierte oder nicht verwaltete Geräte aus, die unbemerkt bleiben. Ein genaues, laufend aktualisiertes Asset Inventory ist für eine wirksame Sicherheit unerlässlich.

Verwenden Sie Ihre Netzwerk-Scan-Tools, um neue Geräte automatisch zu erkennen, damit Sie immer wissen, welche Geräte angeschlossen sind. Dies ist besonders wichtig in Umgebungen, in denen Geräte häufig hinzugefügt, entfernt oder verschoben werden, wie z. B. in Büros mit BYOD-Richtlinien oder in Cloud- und Hybrid-Netzwerken.

Ein aktuelles Asset Inventory unterstützt auch die Compliance-Berichterstattung und Incident Response, wodurch die Verfolgung, Eindämmung und Behebung von Bedrohungen erleichtert wird.

Sie sollten das Netzwerk-Scanning in Ihre umfassenderen Sicherheitsabläufe integrieren, um ein automatisiertes, geschlossenes System für das Schwachstellen-Management zu schaffen, z. B. durch die Verbindung Ihres Schwachstellen-Scanners mit SOAR- und SIEM-Lösungen.

So entsteht ein leistungsfähiger Workflow. 

Wenn zum Beispiel ein Scan eine kritische Schwachstelle auf einem wichtigen Server entdeckt, kann er eine Echtzeitwarnung im SIEM auslösen. Das SIEM kann dann ein SOAR Playbook initiieren, das automatisch ein Ticket mit hoher Priorität in einem System wie Jira oder ServiceNow öffnet, es dem richtigen IT-Administrator zuweist und das Ticket mit allen notwendigen Details zur Behebung ausfüllt. 

Dieser automatisierte Prozess stellt sicher, dass Sie Schwachstellen von der Entdeckung bis zur Behebung mit klaren Metriken für die Konformität nachverfolgen und Ihre Reaktionszeit erheblich verkürzen.

Eine pauschale Scanning-Politik ist ineffizient und kann gefährlich sein. 

Passen Sie Ihre Scanprofile an die spezifischen Risiken, Technologien und betrieblichen Anforderungen der verschiedenen Netzwerksegmente an.

Während Sie für Segmente mit geringem Risiko immer weniger häufige Scans durchführen sollten, sollten Sie diesen besonderen Umgebungen besondere Aufmerksamkeit widmen:

Cloud (AWS, Azure, GCP): Herkömmliche Netzwerk Scanner haben blinde Flecken in der Cloud. Ergänzen Sie Ihre Strategie mit einheimischen Tools. In diesen hochdynamischen Umgebungen, in denen Assets ständig hoch- und runtergefahren werden, sind leichtgewichtige, agentenbasierte Scans oft effektiver als regelmäßige netzwerkbasierte Scans.

OT/industrielle Steuerungssysteme (ICS): In diesen Umgebungen ist äußerste Vorsicht geboten. Führen Sie niemals einen Standard-IT-Netzwerkscan in einem OT-Netzwerk durch. Beginnen Sie immer mit einem rein passiven Scannen, um Assets sicher zu entdecken und zu identifizieren, ohne dass kritische Industrieprozesse unterbrochen werden. Wenn Sie aktives Scannen benötigen, verwenden Sie Richtlinien, die speziell für OT-Umgebungen entwickelt und zertifiziert wurden.

Beim Scannen entstehen riesige Datenmengen, die ohne das richtige Wissen überwältigend sein können. Schulen Sie Ihre Security- und IT-Teams im Lesen von Scan-Berichten, im Verstehen des Schweregrads von Sicherheitslücken und in der Priorisierung von Behebungsmaßnahmen.

Eine angemessene Schulung verhindert, dass Teams Zeit damit verschwenden, risikoarmen Problemen nachzugehen oder Scanergebnisse falsch zu interpretieren. Förderung der Zusammenarbeit zwischen Sicherheits-, Netz- und Betriebsteams, um die Kommunikation zu verbessern und die Behebung von Schwachstellen zu beschleunigen.

Kontinuierliche Weiterbildung und Qualifizierung helfen Ihrem Team, mit neuen Bedrohungen, neuen Scan-Technologien und bewährten Verfahren Schritt zu halten.

Und schließlich sollten Sie, wo immer möglich, die Vorteile der Automatisierung nutzen. Automatisieren Sie die Planung von Scans, die Analyse der Ergebnisse und die Verfolgung von Schwachstellen.

Richten Sie Warnmeldungen für kritische Schwachstellen, neu entdeckte Assets oder ungewöhnliche Scan-Ergebnisse ein, damit Ihr Team schnell auf neue Bedrohungen reagieren kann. Die Automatisierung beschleunigt die Erkennung und Behebung und reduziert gleichzeitig menschliche Fehler und den betrieblichen Aufwand.

Viele moderne Plattformen für Scanning und Schwachstellen-Management bieten integrierte Automatisierungsfunktionen, die sich nahtlos in Ihre vorhandenen Sicherheitstools integrieren lassen.

Wenn Sie diese Best Practices für Netzwerk Scanner befolgen, verbessern Sie die Sichtbarkeit, reduzieren False Positives, konzentrieren sich auf echte Risiken und halten Ihr Netzwerk sicher, ohne den Geschäftsbetrieb zu unterbrechen. Diese Strategien schaffen eine solide Grundlage für proaktive Sicherheit, die sich an die Entwicklung Ihres Netzwerks anpassen lässt.

Möchten Sie Ihr Netzwerk-Scanning und Schwachstellen-Management verbessern? Entdecken Sie, wie Tenable Vulnerability Management Ihnen helfen kann, Scans zu automatisieren, Risiken zu priorisieren und die Behebung zu beschleunigen.