Beseitigen Sie kritische Risiken in der Cloud

Decken Sie die kritischen Probleme mit dem Schweregrad in Ihren Cloud-Umgebungen auf und beheben Sie sie, ohne Ihr Team in Warnungen zu überschwemmen.

Schwachstellen-Scans (Vulnerability Scanning)

Beim Schwachstellen-Scanning werden Sicherheitslücken in IT-Systemen, Netzwerken und Software erkannt und bewertet.

Wiz Expertenteam
6 Minuten Lesezeit

Was ist Schwachstellen-Scanning?

Beim Schwachstellen-Scanning werden Sicherheitslücken in IT-Systemen, Netzwerken und Software erkannt und bewertet. Schwachstellenscanner sind Tools, die Systeme kontinuierlich nach bekannten Sicherheitslücken durchsuchen, einschließlich fehlender Sicherheitsupdates, Fehlkonfigurationen und offengelegter Geheimnisse.

Schwachstellen-Scans erstrecken sich über alle Bereiche des IT-Ökosystems des Unternehmens – einschließlich Netzwerke, Endpunkte, APIs, Abhängigkeiten, interne und Drittanbieter-Anwendungen und andere Bereiche – und dienen dem Schutz vor potenziellen Cyberangriffen. Scanner sind in der Regel auch zweckbasiert: Sie können netzwerkbasierte, host- oder datenbanktaugliche Spezialisierungen haben.

Abhängig von den spezifischen Sicherheitsanforderungen eines Unternehmens kann das Schwachstellen-Scanning auf einzelne Systeme beschränkt oder auf ganze Netzwerkinfrastrukturen ausgeweitet werden. Es braucht Datenbanken, die mit Informationen über alle bekannten Schwachstellen auf dem neuesten Stand gehalten werden, um Schwachstellen-Scannern ihre Effektivität zu verleihen.

Eine solche Datenbank ist die Nationale Schwachstellen-Datenbank (NVD). Diese Datenbanken enthalten Informationen wie den Schweregrad der Sicherheitsanfälligkeit, potenzielle Auswirkungen und empfohlene Techniken zur Risikominderung. Der Scanner vergleicht seine Entdeckungen in der Zielumgebung und gleicht sie mit denen in der Datenbank ab, kennzeichnet dann alle Übereinstimmungen, meldet sie und stellt Korrekturoptionen bereit. 

Warum Schwachstellen-Scans wichtig sind

BenefitDescription
Proactive SecurityVulnerability scanning allows organizations to identify and address security weaknesses before attackers can exploit them. This proactive approach helps in preventing potential security breaches, reducing the risk of data loss, financial damage, and reputational harm.
Compliance and Regulatory Requirements

Vulnerability scanning helps organizations achieve data and software security, to better align with compliance frameworks such as SOC 2, ISO 27001, and NIST 800-53.

Cost savingsIdentifying and remedying vulnerabilities early can significantly reduce the costs associated with a security breach. The financial implications of a breach often extend beyond immediate remediation efforts to include legal fees, fines, and lost business. Regular scanning helps organizations allocate resources more efficiently by prioritizing vulnerabilities based on their severity.
Asset Visibility and ManagementVulnerability scanning provides an inventory of all devices and software on a network, offering valuable insights into the security posture of an organization's digital assets. This visibility is crucial for effective asset management, ensuring that all parts of the IT infrastructure are up-to-date and secure.
Improved security postureRegular scanning enables organizations to continuously assess and improve their security posture. By identifying and tracking vulnerabilities over time, organizations can measure the effectiveness of their security strategies and make informed decisions about where to invest in security improvements.

Arten von Anwendungsfällen für Schwachstellen-Scans

Die für das Scannen von Schwachstellen verwendeten Techniken können aktiv oder passiv sein: 

  • Aktives Scannen, auch als Scan ohne Anmeldeinformationen bezeichnet, umfasst das Senden simulierter Angriffe, Abfragen oder Anforderungen an das Ziel, um potenzielle Schwachstellen wie Pufferüberläufe, unverschlüsselte Daten und fehlerhafte Authentifizierungsprozesse zu identifizieren. 

  • Passives Scannen, auch als Scannen von Anmeldeinformationen bezeichnet, beinhaltet die unauffällige Analyse (ohne aktiv zu untersuchen) des Netzwerkverkehrs, um Schwachstellen zu erkennen, die Angreifer ausnutzen können, um Malware zu verbreiten oder Daten zu stehlen/manipulieren.

Schwachstellen-Scans können auch in verschiedene Anwendungsfälle eingeteilt werden, wie zum Beispiel:

  • Scannen von Netzwerk-Schwachstellen: Scannt das Netzwerk auf Schwachstellen, einschließlich offener Ports, ungepatchter Software und schwacher Netzwerkprotokolle.

  • Scannen von Schwachstellen in Webanwendungen: Sucht nach Sicherheitslücken wie SQL-Injection, Cross-Site-Scripting (XSS) und anderen Schwachstellen, die nur für Webanwendungen gelten.

  • Scannen von Schwachstellen in der Datenbank: Konzentriert sich auf die Identifizierung von Schwachstellen in Datenbanken, wie z. B. Fehlkonfigurationen, schwache Authentifizierung und zu freizügige Berechtigungen.

  • Überprüfung von Host-Schwachstellen: Wird auf einzelnen Hosts (Servern oder Workstations) durchgeführt, um Schwachstellen auf Betriebssystemebene oder in installierter Software zu identifizieren.

  • Scannen von Containern und virtualisierten Umgebungen: Entwickelt, um Schwachstellen in containerisierten Anwendungen und virtuellen Umgebungen zu identifizieren. Dazu gehören das Scannen nach Schwachstellen in den Container-Images und das Management von Containern und virtuellen Maschinen.

Wie funktioniert ein Schwachstellen-Scan?

Der Schwachstellen-Scan-Prozess umfasst mehrere Schritte, vom Scoping der Schwachstellen bis hin zur Identifizierung, Bewertung und Behebung. Hier's eine einfache Aufschlüsselung der einzelnen Schritte:

Phase 1: Scoping

Vor dem Scannen müssen Sie die Zielnetzwerke und -anwendungen bestimmen, Endpunkte zuordnen und Abhängigkeiten identifizieren. Beim Scoping wird auch festgelegt, ob interne Geräte, nach außen gerichtete Systeme oder eine Kombination aus beidem gescannt werden sollen.

Stufe 2: Werkzeugauswahl

Sie müssen aus dem Pool der verfügbaren kommerziellen und Open-Source-Tools eine Lösung auswählen, die zu Ihrem Unternehmen passt'Sicherheitsanforderungen. Die Lösung sollte außerdem über eine benutzerfreundliche Konsole für einfache Schwachstellen-Scans verfügen und in verteilten, hybriden Netzwerken optimal funktionieren, um die Risikoidentifikation in allen Ihren Umgebungen zu erleichtern. 

Profi-Tipp

Agentless scanning solutions typically have quicker setup and deployment and require less maintenance. They can scan all workloads using cloud native APIs and connects to customer environments with a single org-level connector. If the approach is agent-based, this type of deployment will require ongoing agent installation, update, and maintenance effort.

Weitere Informationen

Schritt 3: Konfiguration

Das Scan-Tool sollte so konfiguriert sein, dass es gemäß den gewünschten Parametern scannt. Zu den Konfigurationsdetails können die Angabe von Ziel-IP-Adressen oder Domänennamen, das Festlegen der Scanintensität oder -geschwindigkeit und das Definieren von Scantechniken gehören.

Profi-Tipp

No organization should resort to using default policy configurations. This is because default policy configurations rarely address an organization’s nuanced business-, region-, and industry-specific requirements.

Weitere Informationen

Phase 4: Initiierung des Scans

Initiieren Sie den Prozess über Befehle oder über die Optionen, die das Tool Ihrer Wahl bietet, z. B. eine GUI. Einige Ressourcen ermöglichen es Ihnen, Ihre Scans zu planen, wodurch dieser Schritt automatisch wird, sobald Sie Ihre Einstellungen ausgewählt haben.

Profi-Tipp

Scanning Virtual Machine images and Container images for vulnerabilities and secrets during the CI/CD pipeline can help increase efficiency in the software development process by detecting vulnerabilities and security risks before deployment to the runtime environment.

Weitere Informationen

Phase 5: Erkennung von Schwachstellen

Example of vulnerability detections aligned with the CISA KEV catalog

Scanner suchen nach gängigen Schwachstellentypen oder vergleichen die Angriffsfläche des Systems mit Parametern, die in der verwendeten Schwachstellendatenbank gespeichert sind. Die Schwachstellen, nach denen gescannt wird, richten sich in der Regel nach dem Fachgebiet des Scanners, sei es Datenbanken, Netzwerke usw. 

Phase 6: Schwachstellenanalyse

Example vulnerability dashboard that prioritizes issues by contextual severity

Nach dem Scannen erstellt das Tool eine umfassende Liste der identifizierten Schwachstellen, sortiert sie nach Schweregrad, filtert Fehlalarme heraus und bietet Optionen zur Behebung.  

Phase 7: Korrektur und erneutes Scannen

Example vulnerability detection with easy-to-follow remediation instructions

Basierend auf den Scanergebnissen behebt Ihr Sicherheitsteam die identifizierten Schwachstellen, indem es Sicherheitspatches bereitstellt, Softwareversionen aktualisiert oder Sicherheitseinstellungen neu konfiguriert, abhängig von den Empfehlungen im Schwachstellenbericht. 

Nach der Behebung sollten die Zielsysteme erneut gescannt werden, um zu überprüfen, ob die Schwachstellen erfolgreich behoben wurden. 

Stufe 8: Kontinuierliches Monitoring

Neue Schwachstellen können immer wieder auftauchen. Schwachstellen-Scans müssen in Intervallen geplant werden, um aufkommende Bedrohungen umgehend zu erkennen und zu beheben.

Schwachstellen-Scanning vs. Penetrationstests

Schwachstellen-Scans sind ein automatisierter Prozess, der darauf abzielt, bekannte Schwachstellen in einer Vielzahl von Systemen regelmäßig zu identifizieren. Es verwendet Software-Tools, um Probleme wie veraltete Software, fehlende Patches oder Fehlkonfigurationen zu erkennen und einen Bericht zu erstellen, der diese Schwachstellen auflistet, oft nach Schweregrad geordnet.

Auf der anderen Seite sind Penetrationstests eine manuelle, tiefgreifende Übung, die seltener, in der Regel jährlich, von ethischen Hackern durchgeführt wird. Es simuliert Cyberangriffe, um Schwachstellen in bestimmten Bereichen aufzudecken und auszunutzen, um zu zeigen, wie ein Angreifer in Systeme eindringen kann. Das Ergebnis ist ein detaillierter Bericht, der nicht nur ausnutzbare Schwachstellen auflistet, sondern auch Empfehlungen zur Verbesserung von Sicherheitsmaßnahmen gibt.

Während Vulnerability Scanning einen breiten Überblick über Systemschwachstellen bietet, bieten Penetrationstests eine gezielte Analyse, wie diese Schwachstellen bei einem Angriff ausgenutzt werden könnten.

Häufige Herausforderungen beim Scannen von Schwachstellen 

Die oben hervorgehobenen Prozesse können unwirksam sein, wenn eine (oder alle) der folgenden Herausforderungen auftreten. 

ChallengeDescription
Resource sharingVulnerability scanning requires significant network bandwidth and computing resources. Production (in the IT environment) is also resource intensive. When both processes share resources provided by the organization’s infrastructure, resource contention occurs, and can negatively impact the scan's efficiency.
False positivesThe vulnerability scanning tool could incorrectly identify a non-existent vulnerability, wasting time and effort. For instance, a developer could be patching a dependency in the source code, and the tool might alert that malicious activity is taking place. Misconfiguring the vulnerability scanner usually leads to these kinds of false positives.
Alert FatigueVulnerability scanning generates quintillions of alerts, making it overwhelming for the security team to painstakingly track and address each alert, and that can lead to neglecting critical vulnerabilities.
Siloed toolingUsing vulnerability scanning tools with other security solutions across different environments or departments can create data silos and distort vulnerability management. That can hinder collaboration and make it difficult to have an end-to-end view of the organization's security posture.
Inability to contextualize vulnerability impactVulnerability scanning tools may be ineffective for risk management as they’re often ignorant of asset criticality, business processes, and system dependencies. They also likely won’t understand the impact of vulnerabilities across individual organizations.
High ownership costsVulnerability scanning tools and the associated infrastructure can be expensive to procure, deploy, and maintain. Organizations may also need to invest in staff training and dedicated personnel employment. All of that translates to increased costs.
Ongoing maintenance effortsSome vulnerability scanning solutions require agents to be installed on target systems for continuous scanning. Managing the installation, updates, and maintenance of these agents across many systems can be challenging and time consuming.
Blind spotsThis occurs when vulnerabilities in certain assets are missed during scanning, and may be caused by a tool’s inability to detect vulnerabilities on specific asset types, such as cloud infrastructure, mobile devices, or IoT devices.
Software development delaysTraditional vulnerability scanning practices require extensive scans and manual verification, causing delays in the development of applications and the release of software updates. These kinds of delays ultimately hurt an organization’s bottom line.

Trotz der oben genannten Herausforderungen ist das Scannen von Schwachstellen von unschätzbarem Wert, wenn es richtig implementiert wird. Im nächsten Abschnitt werden wir sehen, wie das geht.

Die wichtigsten Funktionen, auf die Sie bei einem Schwachstellen-Scanning-Tool achten sollten

Um die oben beschriebenen Herausforderungen effektiv anzugehen und zu mindern, wählen Sie ein Schwachstellen-Scanning-Tool mit den folgenden Hauptfunktionen:

1. Kontinuierliches Scannen

Die kontinuierliche Überwachung ist die letzte, aber entscheidende Phase des Schwachstellen-Scans. Wählen Sie ein Tool, das Schwachstellen kontinuierlich scannen und erkennen kann, sobald sie auftreten, damit Ihr Unternehmen durchweg frei von Schwachstellen sein kann. 

2. Agentenloser Ansatz

Ihr Schwachstellen-Scanning-Tool sollte agentenlos seinDadurch entfällt die Notwendigkeit, Scan-Agenten auf Zielsystemen zu installieren und zu verwalten. Solche Tools verwenden netzwerkbasierte Scan-Techniken, verbrauchen weniger Ressourcen und beseitigen die Möglichkeit der Inkompatibilität. 

Profi-Tipp

It's important to be able to scan virtual machines or containers even if the workload is offline. Security teams can remediate the vulnerability before the workload is online and effectively at risk.

But with an agent-based scanner, since an agent is part of the runtime of the workload, the scanning can only happen while the workload is online. This also applies for authenticated scanning, which means you can test applications in their ready-to-run configuration both in staging and production environments.

Weitere Informationen

3. Risikobasierte Priorisierung

Example visualization of the risk-based context that a vulnerability scanner should provide

Wählen Sie ein Tool, das Risikobasierte Priorisierung von Schwachstellen, wobei Faktoren wie Schweregrad, Ausnutzbarkeit und Asset-Kritikalität neben Elementen wie externer Gefährdung, Cloudberechtigungen, Geheimnissen, Fehlkonfigurationen und dem Vorhandensein von Malware berücksichtigt werden. Ein Tool mit dieser Funktionalität kann Ihre Schwachstellen korrelieren, die zahlreiche Risikofaktoren aufweisen, um das Ausmaß der Warnungsmüdigkeit zu verringern.

4. Cloud-/technologieübergreifende Unterstützung

A cloud vulnerability scanner must be able to run across your entire technology inventory

Umgebungen werden immer hybrider und verteilter. Wählen Sie ein technologieunabhängiges Tool, das verschiedene Speicherumgebungen und Cloud-Anbieter scannen kann, einschließlich AWS, GCP, Azure, OCI und Alibaba Cloud, unabhängig vom zugrunde liegenden Betriebssystem oder der Programmiersprache, um die Softwarekompatibilität sicherzustellen.

Profi-Tipp

The cloud poses unique challenges that traditional vulnerability management solutions may struggle to address. Cloud vulnerability management is a proactive security solution that can keep up with the speed and scale of the cloud.

Traditional scanning tools were able to identify and remediate vulnerabilities but often flagged vulnerabilities that were non-critical and irrelevant. Furthermore, traditional vulnerability management had a significant deficiency: context.

5. Scannen vor der Bereitstellung

Vulnerability scanning should be extended into the CI/CD pipeline to scan VM and container images and catch issues before they ever reach production

Entscheiden Sie sich für ein Tool, das virtuelle Maschinen (VMs) und Container scannen und potenzielle Schwachstellen darin erkennen kann, bevor sie bereitgestellt werden. Dadurch wird vermieden, dass sich Schwachstellen in der gesamten Produktionsumgebung ausbreiten. 

6. Umfassende Workload-Abdeckung

Ihr Scan-Tool muss in der Lage sein, verschiedene Systeme und Workloads – Server, Endpunkte, Datenbanken und Webanwendungen – gleichzeitig zu scannen, um eine proaktive und effiziente Behebung von Schwachstellen zu ermöglichen.

7. Datenbasierte Visualisierungsberichte

Die visuelle Darstellung von Schwachstellendaten in verschiedenen Formaten – z. B. Tabellen, Grafiken und Diagramme – ist der Schlüssel zur Entscheidungsfindung und Behebung. Das Tool muss diese Ebene der Visualisierung in den Scanergebnissen bereitstellen und sie leicht gemeinsam nutzbar machen. 

8. Integration 

Das Tool muss sich nahtlos in Tools für SIEM (Security Information and Event Management), Log-Management und SCM (Security Configuration Management) integrieren lassen, um eine bessere Bedrohungserkennung zu ermöglichen. Reaktion auf Vorfälleund bieten Sie ein kohärentes Sicherheitsmanagement. 

Eine einheitliche Lösung für das Schwachstellenmanagement

Obwohl das Scannen von Schwachstellen für eine starke Sicherheitslage von entscheidender Bedeutung ist, ist es nur ein Aspekt des Cloud-Sicherheitsmanagements. Um eine robuste und umfassende Sicherheitsstrategie zu entwickeln, sollten Sie eine einheitliche Lösung für das Schwachstellenmanagement einführen, die das Scannen von Schwachstellen mit anderen Cloud-Sicherheitsansätzen kombiniert, z. B. Wiz-Lösung für das Schwachstellenmanagement

Mit unserer alten Plattform erhielten wir Tausende von Warnungen für jedes Problem, das wir lösen wollten. Wiz ermöglicht es uns, Schwachstellen viel effizienter zu verstehen. Jetzt können wir unsere Anstrengungen auf Probleme konzentrieren, anstatt sie einfach zu identifizieren.

Erfahren Sie aus erster Hand, wie eine einheitliche Lösung für das Schwachstellenmanagement Ihr Unternehmen voranbringen kann's Sicherheitslage, Fordern Sie eine Live-Demo von Wiz an. Sie erhalten die Möglichkeit zu verstehen, warum und wie der Einsatz der Unified-Vulnerability-Management-Lösung von Wiz die Sicherheitslage Ihres Unternehmens verbessern kann. 

Agentless Scanning = Complete Visibility

Learn why CISOs at the fastest growing companies choose Wiz to identify and remediate vulnerabilities in their cloud environments.

Demo anfordern

Weiterlesen

Vulnerability Prioritization in the Cloud: Strategies + Steps

Vulnerability prioritization is the practice of assessing and ranking identified security vulnerabilities based on critical factors such as severity, potential impact, exploitability, and business context. This ranking helps security experts and executives avoid alert fatigue to focus remediation efforts on the most critical vulnerabilities.

AI Risk Management: Essential AI SecOps Guide

AI risk management is a set of tools and practices for assessing and securing artificial intelligence environments. Because of the non-deterministic, fast-evolving, and deep-tech nature of AI, effective AI risk management and SecOps requires more than just reactive measures.

SAST vs. SCA: What's the Difference?

SAST (Static Application Security Testing) analyzes custom source code to identify potential security vulnerabilities, while SCA (Software Composition Analysis) focuses on assessing third-party and open source components for known vulnerabilities and license compliance.