Schwachstellen managen: Die besten Vulnerability-Management-Tools

Foto: eamesBot – shutterstock.com

Nicht nur das Vulnerability Management hat sich im Laufe der Jahre erheblich verändert, sondern auch die Systeme, auf denen Schwachstellen identifiziert und gepatcht werden müssen. Systeme für das Schwachstellen-Management fokussieren heutzutage nicht mehr nur auf Netzwerke und private gehostete Applikationen. Sie müssen in der Lage sein, Schwachstellen sowohl On-Premises, als auch auf IoT-Devices sowie in Public- und Private-Cloud-Instanzen zu identifizieren. Zudem sollten sie die Security-Teams der Unternehmen dabei unterstützen, die bestmöglichen Entscheidungen zu treffen, um die Lecks zu beheben.

Eine Schwachstelle im System, die nicht ausgenutzt werden kann, stellt keine große Gefahr dar. Umso wichtiger ist es, zu wissen, was wirklich gefährlich ist. Nur so lassen sich Sicherheitslücken evaluieren und kategorisieren. Dabei spielen auch die potenziellen Auswirkungen eine große Rolle: Es ist zwar peinlich, wenn eine Unternehmenswebseite verunstaltet wird, der Diebstahl vertraulicher Informationen kann jedoch geschäftskritisch sein und darüber hinaus zu hohen Geldbußen führen.

Gute Vulnerability-Management-Programme zeichnen sich dadurch aus, dass sie ihren Schwachstellen-Scans einen Kontext hinzufügen. Bei potenziell Tausenden von Schwachstellen, die sich in jedem größeren Unternehmensnetzwerk verbergen, ist das die einzige Möglichkeit, zuverlässig zu priorisieren und damit Risiken zu minimieren.

Vulnerability Management Tools: Top 6

Die folgenden sechs Produkte setzen in mindestens einem Aspekt des Schwachstellenmanagements neue Maßstäbe.

Qualys VMDR

Qualys war im Jahr 1999 die erste SaaS-Plattform für Schwachstellen-Management. Qualys Vulnerability Management Detection and Response (VMDR) steht als Cloud-Service zur Verfügung. Mit Voice Agents, virtuellen Scannern und passiven Netzwerk-Scanning-Funktionen unterstützt die Lösung Unternehmen dabei, ihre Assets zu identifizieren – On-Premises, in der Cloud und auf den Endpoints. Die Dashboards sind individuell anpassbar.

Die gesammelten Schwachstellen-Daten können die Anwender auf Asset-Basis untersuchen, um tiefere Einblicke in Konfiguration, laufenden Dienste, Netzwerkinformationen und andere Daten zu bekommen. Mit einer “AssetView”-Funktion können Sicherheits- und Compliance-Teams ihre Informationsressourcen auf der Grundlage der für ihr Unternehmen wichtigen Daten kontinuierlich aktualisieren. Nachdem Qualys VMDR Assets und Schwachstellen identifiziert sowie nach Risikolevel priorisiert hat, können die Anwender Patches innerhalb der Plattform bereitstellen.

Orca Security

Das Cloud Security Posture Management (CSPM)-Tool Orca Security verwaltet Schwachstellen in Cloud-Infrastrukturdiensten wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud. Da Orca für die Cloud entwickelt wurde, lässt es sich problemlos in diesen Umgebungen einsetzen.

Die Side-Scanning-Technologie von Orca ermöglicht es Benutzern, ihre Cloud-Umgebung zu inventarisieren und sammelt zum Beispiel Daten über Betriebssystempakete, Anwendungen oder Bibliotheken. Zu jeder aufgedeckten Schwachstelle erstellt das System eine eigene Map, die die Beziehung zu anderen Assets darstellt. Das hilft bei der Priorisierung.

Um den Schweregrad der Schwachstellen in den Cloud-Systemen eines Unternehmens grafisch darzustellen, analysiert die Lösung Cloud-Systeme und -Workloads sowie deren Konfigurationen und Sicherheitseinstellungen. Darüber hinaus regelt Orca die Konnektivität und kann erkennen, welche Netzwerke öffentlich zugänglich sind und welche nicht. Mit all diesen Daten erstellt das Vulnerability Management Tool eine Visualisierung, die versucht, das tatsächliche Risiko einer Schwachstelle im Kontext des Cloud-Systems zu bewerten. Die zugehörige Schwachstellen-Datenbank enthält Daten aus mehr als 20 verschiedenen Quellen.

Detectify

Das Angebot von Detectify fällt in die Kategorie Attack Surface Management (ASM). ASM konzentriert sich auf Schwachstellen aus der Sicht eines Angreifers. Es setzt sich aus der kontinuierlichen Erkennung von Enterprise IT-Assets, internetfähigen Systemen wie Cloud-Infrastruktur, Drittanbietersystemen und Webanwendungen zusammen. Dabei identifiziert es Schwachstellen in diesen Systemen und unterstützt dabei, diese zu priorisieren und zu managen.

Da Detectify auf Cloud-Basis operiert, ist keine Installation erforderlich. Sie müssen lediglich die zu überprüfende Domain hinzufügen, schon werden alle zugehörigen Subdomains und Anwendungen kontinuierlich überprüft. Die Lösung unterteilt ihre Scanning-Aktivitäten dabei in zwei Bereiche – Surface und Application Monitoring. Erstere Kategorie prüft die Internet-Assets einer Organisation und evaluiert die gefundenen Hosts auf Schwachstellen, Fehlkonfigurationen und ähnliches. Beim Application Scanning findet hingegen eine kontinuierliche Evaluierung der Web-Applikationen beziehungsweise dort vorhandener Schwachstellen statt. Detectify bewertet Anwendungen in der Produktion, der Entwicklungspipeline und im Application Staging.

Ein interessanter Aspekt von Detectify ist die Kombination aus Automatisierung und Crowdsourcing: Das Unternehmen arbeitet mit Ethical Hackern zusammen und lässt deren Erkenntnisse einfließen. Das stellt sicher, dass die Unternehmenssysteme automatisiert auf vorhandene Schwachstellen überprüft werden, während erfahrene Sicherheitsforscher nach bislang unentdeckten Schwachstellen suchen.

Kenna Security Vulnerability Management

Jeder, der schon einmal mit Vulnerability Management Tools gearbeitet hat, weiß, dass verschiedene Lösungen oft unterschiedliche Schwachstellen erkennen. Einige performen bei spezifischen Aufgaben zudem etwas besser als andere, etwa wenn es um die Bewertung von lokalen Netzwerken oder Cloud-Anwendungen geht.

An dieser Stelle kommt Kenna Security Vulnerability Management ins Spiel: Diese Lösung führt selbst keine Scans durch sondern stellt sogenannte Connector-Programme zur Verfügung. Diese nehmen Daten von nahezu allen Schwachstellen-Scannern auf, einschließlich derer von Tripwire, Qualys, McAfee und CheckMarx. Die Plattform selbst wird als Service bereitgestellt, Anwender melden sich bei einem Cloud-Portal an, um ihre Informationen zu überprüfen.

Die Idee dahinter: Die Lösung von Kenna sammelt Vulnerability Alerts und gleicht diese dann in Echtzeit mit Bedrohungsdaten ab. Eine entdeckte Schwachstelle kann dabei einer aktiven Bedrohungskampagne zugeordnet und entsprechend priorisiert behoben werden. Alle weltweit ausgenutzten Schwachstellen erhalten automatisch eine höhere Priorität. So können die Verteidiger die gefährlichsten Probleme lösen, bevor Angreifer sie entdecken und ausnutzen. Die Kenna-Plattform war eine der ersten, die Echtzeit-Bedrohungsdaten in das Schwachstellenmanagement einbezog. Seitdem wurde sie um zusätzliche Bedrohungsdaten erweitert.

Die Plattform erklärt dabei, warum Schwachstellen in einem geschützten Netzwerk vorhanden sind und gibt Tipps, um diese zu beheben. Sie kann entdeckte Schwachstellen außerdem priorisieren, je nachdem, welche Assets betroffen sind und wie schwerwiegend das Problem ist. Risikobasierte Service Level Agreements (SLAs) gehören ebenfalls zur Plattform und schaffen einen Zeitrahmen um Probleme zu beheben, der auf der Risikotoleranz eines Unternehmens basiert. Je weniger Risiko ein Unternehmen stemmen kann, desto schneller muss es die Schwachstelle beheben. Die risikobasierten SLAs von Kenna basieren dabei auf drei Faktoren:

• Risikotoleranz,

• Asset-Priorität und

• der Risikobewertung der Schwachstelle.

Seit 2021 ist Kenna Security Teil von Cisco.

Flexera Software Vulnerability Management

Viele Vulnerability Management Tools konzentrieren sich auf intern entwickelte Anwendungen und Code. Dagegen nimmt die Software-Vulnerability-Management-Plattform von Flexera Softwareprogramme von Drittanbietern in den Fokus, die fast jedes Unternehmen nutzt.

In den meisten Fällen wird eine Schwachstelle in gekaufter oder lizenzierter Software durch ein Patch behoben. Das kann für Unternehmen zu einem Problem werden, wenn Tausende von Systemen oder kritischen Diensten dafür offline genommen werden müssen. Dabei besteht zudem die Möglichkeit, dass durch die Behebung eines Problems weitere, neue entstehen.

Die Flexera-Software will dieses Problem bekämpfen, indem sie einen sicheren Patch-Management-Prozess für das gesamte Unternehmen realisiert. Die Lösung kann Schwachstellen in Software von Drittanbietern aufspüren und Administratoren über den Schweregrad der potenziellen Bedrohung informieren. Einen umfassenden Patch für Tausende von Anwendern herauszugeben, um eine geringfügige Schwachstelle zu beheben oder eine Funktion zu patchen, die vom Unternehmen unter Umständen weder installiert noch genutzt wird, macht wenig Sinn. Flexera kann an dieser Stelle unterstützen, indem es den Kontext mitliefert und Patches zu dem Zeitpunkt bereitstellt, wenn sie notwendig werden.

Mit der Flexera-Plattform lässt sich auch ein automatisiertes Patch-Management-System etablieren. Darüber hinaus können benutzerdefinierte Reportings erzeugt werden. Das gilt nicht nur für das Schwachstellen- und Patch-Management, sondern auch wenn es um Compliance (Frameworks, Gesetze, Best Practices) geht.

Tenable.io

Tenable ist bekannt für seine Security Dashboards. Mit Tenable.io bietet das Unternehmen dieselbe Diagnose-Technologie auch in Kombination mit Vulnerability Management an. Die Plattform wird in der Cloud gemanagt und nutzt eine Kombination aus aktiven Scan-Agenten, passiver Überwachung und Cloud-Konnektoren, um nach Schwachstellen zu suchen. Um zu ermitteln, welche Korrekturen nötig sind, damit Angreifer keinen Erfolg haben, nutzt die Tenable-Lösung maschinelles Lernen, Data Science und KI.

Eine der größten Stärken von Tenable.io: Schwachstellen werden für jedermann verständlich dargestellt – ganz ohne spezielle Schulungen oder Fach-Knowhow. Um seine Attack-Surface-Management-Fähigkeiten zu stärken, hat Tenable den ASM-Anbieter Bit Discovery übernommen. So erhalten die Kunden einen umfassenden Überblick über ihre internen und externen Angriffsflächen. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.