Netzwerkscans vs. Schwachstellenscans

Das Scannen von Netzwerken ist ein Prozess, der in der Regel zwei Hauptphasen umfasst: die Netzwerkerkennung und das Scannen von Ports und Diensten. Dieser Prozess erkennt und kartiert alle mit Ihrem Netzwerk verbundenen Geräte und die von ihnen ausgeführten Dienste.

Stellen Sie sich vor, Sie veranstalten eine große Veranstaltung und müssen die Teilnehmerzahl erfassen. Sie wollen wissen, wer anwesend ist, wo er sich befindet und was er bei sich hat. 

Netzwerk-Scans leisten genau das für Ihre IT-Umgebung.

Ein Netzwerk-Scanner prüft Ihr Netzwerk, um es zu finden:

Aktive Geräte (Netzwerkerkennung): Identifiziert aktive IP-Adressen von Servern, Laptops, Mobiltelefonen, Druckern, Cloud Workloads und mehr.

Offene Ports und Dienste (Port Scanning): Für jedes erkannte Gerät wird ermittelt, welche Netzwerkports offen sind und welche Dienste darauf laufen. So kann ein Server beispielsweise Port 22 für Secure Shell (SSH) oder Port 80 für den Webverkehr (HTTP) geöffnet haben.

Netzwerk-Scans helfen Ihnen, ein detailliertes Inventar aller Geräte in Ihrem Netzwerk zu erstellen, einschließlich unbekannter oder nicht verwalteter Geräte.

Beim Schwachstellen-Scanning werden Ihre Assets auf Ausnutzbarkeiten untersucht, die Hacker ausnutzen könnten, z. B:

• Fehlende Sicherheitspatches oder Updates
• Alte oder fehlerhafte Software-Versionen
• Schwache Passwörter oder Standardanmeldungen
• Schlechte Einstellungen, die Systeme bloßstellen
• Bekannte Sicherheitsprobleme

Ein Schwachstellen-Scanning könnte zum Beispiel feststellen, dass der SSH-Dienst auf einem Server eine Version mit einem kritischen Fehler bei der Remotecode-Ausführung verwendet oder dass ein Benutzerkonto nicht über eine Multi-Faktor-Authentifizierung verfügt, was das Risiko einer Kompromittierung erhöht.

Netzwerk-Scanning und Schwachstellen-Scanning sind eng miteinander verwoben und funktionieren am besten, wenn sie gemeinsam eingesetzt werden. 

Stellen Sie sich den Prozess als eine logische Abfolge vor. Netzwerkerkennung und Port-Scanning sind die ersten Schritte, damit Sie über eine ständig aktualisierte, umfassende Karte aller Geräte und laufenden Dienste verfügen.

Dieses Asset Inventory ist ein direkter Input für das Schwachstellen-Scanning. Der Scanner für Schwachstellen bewertet dann systematisch die Sicherheitslage der einzelnen identifizierten Assets und Dienste. 

Ohne Netzwerk-Scanning kann das Schwachstellen-Scanning nur auf bekannte Assets abzielen. 

Wenn neue Geräte oder Schatten-IT-Komponenten, wie nicht autorisierte Laptops, IoT-Geräte oder Cloud-Workloads, unbemerkt auftauchen, werden sie von Schwachstellen-Scans möglicherweise nicht gefunden. Dies führt zu Sicherheitslücken, die Angreifer ausnutzen können. 

Durch regelmäßiges Scannen des Netzwerks behalten Sie den Überblick über alle Assets, unabhängig davon, wie dynamisch oder komplex Ihre Umgebung ist.

Sobald das Netzwerk-Scanning alle Geräte und offenen Dienste identifiziert hat, verwendet das Schwachstellen-Scanning diese Bestandsaufnahme als Ausgangspunkt. Es führt detaillierte Überprüfungen der einzelnen Geräte durch und sucht nach Schwachstellen wie fehlenden Patches, veralteter Software oder Fehlkonfigurationen. 

Wenn Sie das Schwachstellen-Scanning zum Netzwerk-Scanning hinzufügen, erhalten Sie eine Rangliste der Sicherheitsprobleme, die auf den Gegebenheiten in Ihrer Umgebung basiert und nicht auf Vermutungen oder unvollständigen Informationen.

Das Netzwerk-Scanning kann auch Veränderungen erkennen, wenn sie auftreten, wie z. B. neue Geräte oder geänderte Service-Einstellungen, und sofort gezielte Schwachstellen-Scans starten.

Durch diese Hin- und Herbewegung bleiben Sie über Sicherheitsprobleme auf dem Laufenden und verkleinern das Zeitfenster, in dem Hacker zuschlagen können.

In der Praxis können Sie beides kombinieren:

• Genaue und aktuelle Übersicht über Ihre Assets
• Finden Sie Schwachstellen in allen entdeckten Geräten und Diensten
• Schwerpunktkorrekturen auf der Grundlage von Risiko und Kritikalität des Assets
• Finden Sie nicht autorisierte oder betrügerische Geräte
• Erfüllen Sie Compliance-Anforderungen mit Netzwerktransparenz und Schwachstellen-Management

Wenn Sie Netzwerk-Scanning und Schwachstellen-Scanning kombinieren, erhalten Sie eine mehrschichtige Verteidigung, die herausfindet, was sich in Ihrem Netzwerk befindet und wo Sie gefährdet sind.

Sowohl für das Netzwerk- als auch für das Schwachstellen-Scanning können unterschiedliche Ansätze verwendet werden:

Unauthentifizierte Scans verhalten sich wie ein Hacker von außen. Sie sondieren Ihr Netzwerk ohne Zugangsdaten, um Schwachstellen an Ihrem Netzwerkrand zu finden. Diese Scans helfen Ihnen zu verstehen, was Außenstehende über Ihr Netzwerk sehen können, aber sie erzeugen eher Fehlalarme.

Authentifizierte Scans melden sich mit den bereitgestellten Anmeldeinformationen bei Systemen an, um Prüfungen von innen durchzuführen. Dieser Ansatz bietet einen genaueren Überblick über die Sicherheitslage eines Assets und ermöglicht es Ihnen, fehlende Patches, unsichere lokale Konfigurationen und andere von außen nicht sichtbare Probleme zu erkennen.

Durch die Kombination beider Scanarten erhalten Sie ein ganzheitlicheres Sicherheitsbild, das Risiken von außen und innen aufzeigt.

Wenn Sie nur Netzwerk-Scans durchführen, wissen Sie zwar, welche Geräte und Dienste es gibt, aber Sie wissen nicht, wie leicht sie zu knacken sind.

Wenn Sie jedoch Schwachstellen-Scans durchführen, ohne zu wissen, was sich tatsächlich in Ihrem Netzwerk befindet, werden Sie Schwachstellen übersehen, was Sie für Angreifer anfällig machen könnte.

Wenn Sie Netzwerk-Scanning und Schwachstellen-Scanning zusammen verwenden, erhalten Sie:

Vollständige Netzwerktransparenz, damit Sie nie den Überblick über Geräte oder Dienste verlieren

Genaue Schwachstellenbewertung zur Ermittlung und Priorisierung Ihrer Risiken

Stärkeres Risikomanagement, indem Sie sich zuerst um Ihr Cyberrisiko kümmern

Suchen Sie nach einer intelligenteren Möglichkeit, Netzwerk- und Schwachstellen-Scanning zu kombinieren? Sehen Sie, wie Tenable Vulnerability Management die Sichtbarkeit vereinfacht und Risiken reduziert.

Betrachten Sie Netzwerk-Scanning und Schwachstellen-Scanning als zwei Teile eines fortlaufenden, miteinander verbundenen Prozesses, der das Herzstück Ihres Sicherheitsprogramms darstellt.

Die folgenden neun Best Practices orientieren sich an führenden Cybersecurity-Frameworks wie Center for Internet Security (CIS) Controls, damit Sie beide optimal nutzen können:

1. Führen Sie ein genaues, aktuelles Asset Inventory

• Richten Sie regelmäßige Netzwerk-Scans ein, um alle Geräte in Ihrer Umgebung zu erfassen, wie On-Prem, Cloud-Workloads, Mobilgeräte und IoT.
• Durch Scannen können neue oder nicht autorisierte Geräte schnell erkannt und die Gefährdung verringert werden.
• Verwenden Sie automatisierte Tools, die Ihr Inventar in Echtzeit aktualisieren, wenn sich Ihr Netzwerk verändert.

2. Basieren Sie Schwachstellen-Scans auf Ihrem Netzwerkinventar

• Verwenden Sie Ihre aktuelle Asset-Liste als Ausgangspunkt für Schwachstellen-Scans.
• Lassen Sie bei Ihren Bewertungen keine Geräte, Dienste oder Netzwerkbereiche aus, damit Sie alle Schwachstellen in allen Bereichen finden, auf die es Angreifer abgesehen haben könnten, und nicht nur einen Teil davon.

3. Mischen Sie unauthentifiziertes und authentifiziertes Scannen

• Unauthentifizierte (externe) und authentifizierte (interne) Schwachstellen-Scans liefern Ihnen wichtige Informationen.
• Unauthentifizierte Scans zeigen Ihnen, was ein Angreifer sieht, und finden Schwachstellen, die er ohne Anmeldedaten entdecken könnte.
• Authentifizierte Scans gehen tiefer und gehen in die Systemdetails, um versteckte Probleme wie fehlende Patches oder fehlerhafte Konfigurationen zu finden.
• Wenn Sie beides verwenden, erhalten Sie ein vollständiges Sicherheitsbild.

4. Priorisierung von Schwachstellen mit risikobasiertem Scoring

• Verwenden Sie risikobasierte Priorisierungsmodelle, die Faktoren wie die Verfügbarkeit von Exploits, die Kritikalität von Assets und die potenziellen Auswirkungen auf das Geschäft berücksichtigen, damit Sie die Behebung auf die Risiken konzentrieren können, die für Ihre spezielle Umgebung tatsächlich ein Risiko darstellen.

5. Automatisieren Sie Scans und Warnungen, wo immer möglich

• Automatisieren Sie die Planung von Scans und die Schwachstellenerkennung für eine kontinuierliche Abdeckung ohne manuelle Eingriffe.
• Richten Sie Echtzeitwarnungen für kritische Schwachstellen, neu entdeckte Geräte oder wichtige Netzwerkänderungen ein, damit Ihr Team proaktiv und schnell reagieren kann.

6. Anpassen von Scan-Richtlinien für verschiedene Netzwerksegmente

• Passen Sie Scan-Intensität, -Häufigkeit und -Umfang an die Art der Assets und das Risikoniveau an.
• Kritische Server und empfindliche Systeme erfordern möglicherweise häufigere und gründlichere Scans, während weniger kritische Geräte weniger aggressiv gescannt werden können.
• Durch die individuelle Anpassung werden Fehlalarme reduziert und die Auswirkungen auf die Netzwerkleistung minimiert.

7. Integrieren Sie das Scannen in Ihre umfassenderen Sicherheits-Workflows

• Stellen Sie sicher, dass die Scan-Ergebnisse in Ihre Plattformen für Schwachstellen-Management, Patch-Management und Incident Response einfließen.
• Die Integration rationalisiert Workflows durch die automatische Erstellung von Ticketing, die Nachverfolgung von Behebungen und die Erstellung von Compliance-Berichten.

8. Schulung Ihrer Security-Teams und IT-Teams

• Scanning-Tools generieren große Datenmengen, die bei unsachgemäßer Interpretation überfordern können.
• Schulen Sie Ihre Teams, damit sie die Scan-Berichte verstehen, das Risiko einschätzen und die Prioritäten für die Behebung setzen können.
• Förderung der Zusammenarbeit zwischen Netz-, Sicherheits- und Betriebsteams zur Beschleunigung der Problemlösung.

9. Regelmäßige Überprüfung und Aktualisierung der Scanning-Strategien

• Wenn sich Ihr Netzwerk verändert und neue Bedrohungen auftauchen, sollten Sie Ihre Scan-Richtlinien und -Tools überarbeiten.
• Aktualisierung der Zeitpläne, des Umfangs und der Scan-Methoden, um sie an die aktuellen Geschäftsanforderungen und Bedrohungslandschaften anzupassen.
• Durch die kontinuierliche Verbesserung wird sichergestellt, dass Ihr Scanprogramm stets effektiv und relevant ist.

Wenn Sie diese Best Practices befolgen, können Sie ein Scan-Programm mit umfassender Transparenz, präziser Schwachstellenerkennung und optimierter Behebung aufbauen. Dieser mehrschichtige Ansatz verringert das Risiko und hilft, Ihr Netzwerk vor immer raffinierteren Bedrohungen zu schützen.

Sind Sie bereit, Ihre Verteidigung mit einheitlichem Netzwerk- und Schwachstellen-Scanning zu stärken? Entdecken Sie, wie Tenable Vulnerability Management Ihnen helfen kann, vollständige Transparenz zu erlangen, Risiken zu priorisieren und die Behebung zu beschleunigen.