Vulnerability Scan - Qualität und Evaluation

Vulnerability Scan

Qualität und Evaluation

Marc Ruef
von Marc Ruef
Lesezeit: 6 Minuten

Die scip AG bietet verschiedene Dienstleistungen an. Ein zentraler Bereich besteht im Auditing, bei dem (technische) Sicherheitsüberprüfungen aller Art durchgeführt werden. Eines der beliebtesten Module seit jeher sind Security Scans, bei denen die Sicherheit eines Netzwerksystems über das Netzwerk/Internet identifiziert wird.

Eine Sicherheitsanalyse auf dieser Ebene wird als klassisch verstanden, da sie mit Produkten wie SATAN, Nessus und Qualys schon in einer sehr frühen Phase der angewandten Computersicherheit industrialisiert wurde. Weltweit werden tagtäglich eine Vielzahl solcher Überprüfungen durchgeführt. Dennoch ist es für viele Kunden noch immer schwierig zu verstehen, was einen guten Vulnerability Scan ausmacht. Für uns sind die folgenden Eigenschaften einer solchen Arbeit von Wichtigkeit:

Es gibt keine Werkzeuge und Tools auf dem Markt, die sämtliche Anforderungen erfüllen können. Dies erschwert selbst das Zusammenstellen eines eigenen Framesets auf dieser Ebene. Die Qualität einer Prüfung lässt sich also aus Sicht der Auditoren nicht nur mit technischen Hilfsmitteln anstreben. Hier müssen ebenfalls organisatorische und konzeptionelle Definitionen eingebracht und langfristig erarbeitet werden. Auch in diesem Fall gilt also das klassische Zitat von Bruce Schneier (leicht abgeändert):

Sicherheit[süberprüfungen] sind ein Prozess, kein Produkt.

Aus Kundensicht ist damit die Evaluation des richtigen Partners für einen Vulnerability Scan ein zentraler Bestandteil, um die gewünschte Qualität der Prüfungen gewährleisten zu können. Es gibt verschiedene Eigenschaften, die eine solche Prüfung mit sich bringt kann. Jenachdem sind für gewisse Unternehmen und Projekte unterschiedliche Eigenschaften von höherer Wichtigkeit (z.B. Geld spielt keine Rolle!). Die Definition eines klaren Anforderungskatalogs kann auch hier dabei helfen, eine solide Auswahl durchzusetzen und damit die Zusammenarbeit mit einem möglichst wertvollen Partner anzugehen.

Wir empfehlen in jedem Fall, dass man mit dem gewünschten Partner über die jeweiligen Ansichten und Strategien diskutiert. In manchem Fällen gibt es ein allgemeines Richtig oder Falsch (z.B. Transparenz ist immer richtig). In anderen Fällen gibt es hingegen kein solches Schwarz-/Weiss-Denken (z.B. Was bringt mehr Sicherheit: Löschen oder Verändern von Applikationsbannern). Unterschiedliche Situationen erfordern sodann oftmals unterschiedliche Herangehensweisen, wobei gerne auch verschiedene Wege zum Ziel führen.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen mehr als einen simplen Security Test mit Nessus und Nmap?

Unsere Spezialisten kontaktieren Sie gern!

×
Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

3D Printing

3D Printing

Marc Ruef

Contact Tracing App DP3T

Contact Tracing App DP3T

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv