Grobe Schätzungen gehen davon aus, dass ein Programmierer alle 1000 Programmierzeilen einen Fehler begeht. In den verschiedenen Entwicklungsstadien der Software werden davon viele Fehler entdeckt und verbessert, sodass sie in dem fertigen Produkt, das der Anwender erhält, nicht mehr enthalten sind. Fehler, welche die Funktion der Software unmittelbar betreffen, fallen beim Test der Software relativ schnell auf und lassen sich daher leicht aufspüren. Um einiges schwieriger sind Fehler zu entdecken, welche die Sicherheit des Produkts negativ beeinflussen.
Daher sind Sicherheitslücken in Software eines der zentralen Probleme der IT-Sicherheit. Ihre Existenz ist nicht vollständig zu beseitigen. Wird eine Schwachstelle in einer Software entdeckt, liegt es am Hersteller, sie zu beseitigen und die neue Softwareversion in einem Sicherheitsupdate an die Nutzer zu verteilen.
Wie werden Schwachstellen erfasst?
Der Industriestandard Common Vulnerabilities and Exposures (CVE) ermöglicht, Übersichtlichkeit in die Vielzahl von Sicherheitslücken zu bekommen. Durch die einheitliche Namenskonvention ist eine eindeutige Identifizierung der Schwachstelle und ein Austausch zwischen verschiedenen Systemen und Institutionen möglich. Die MITRE Corporation sammelt und verwaltet die Liste aller CVEs.
Das Common Vulnerability Scoring System (CVSS) erlaubt es den Schweregrad einer Schwachstelle vergleichbar zu machen. So erleichtert der Score eine Priorisierung beim Umgang mit der Sicherheitslücke.
Das National Institute of Standards and Technology (NIST), eine Bundesbehörde der USA, stellt online eine Auflistung aller CVEs inkl. CVSS bereit.
Wie lassen sich CVEs finden?
Software, die auf Servern ebenso wie Clients oder IoT-Geräten zum Einsatz kommt, sollte im Idealfall über keine bekannten Sicherheitslücken verfügen. Daher sollten die eingesetzten Systeme auf CVEs überwacht werden. Dabei stehen Ihnen zwei Wege offen, die sich beide mit Enginsight umsetzen lassen: von außen (netzwerkbasiert) und von innen (hostbasiert).
Die Überwachung von innen übernimmt der Enginsight Pulsar-Agent, der auf Windows- und Unix-Systemen installiert werden kann. Er inventarisiert die gesamte installierte Software und scannt sie nach CVEs. Die Installation ist in wenigen Sekunden erledigt und eröffnet Ihnen weitere Möglichkeiten der Überwachung, Absicherung und Automatisierung.
Software, die einen Port geöffnet hat, lässt sich auch netzwerkseitig, von außen untersuchen, ohne dass ein Agent auf den Geräten installiert werden muss. Dabei kommt die Pentest-Komponente Hacktor zum Einsatz. Das hat den Vorteil, dass mit einem Klick sämtliche erreichbaren Assets einem CVE-Scan unterzogen werden können. Auch auf solchen Geräten, auf denen kein Agent installiert werden kann, zum Beispiel auf einem Drucker oder einfachen Switch.
Ein netzwerkbasierter CVE-Scan ist auch bei Hackern beliebt, die sich auf den Systemen umschauen wollen, um mögliche Einbruchsmöglichkeiten aufzudecken. Daher sind diese Sicherheitslücken besonders kritisch. Mit dem Pentest von Enginsight können Sie den Hackern einen Schritt voraus sein. Sie erhalten alle gefundenen CVEs in einem Audit Report, inklusive CVSS-Score.
Validierung von CVEs
Findet Hacktor eine Sicherheitslücke (CVE), versucht er sie zu validieren. Das heißt, er prüft, ob die Sicherheitslücke bei dem entsprechenden Betriebssystem wirksam wird, sie also ausgenutzt werden kann. Ist dies der Fall, erhält die Sicherheitslücke die Kennzeichnung „validated“.
Es kann vorkommen, dass es Hacktor nicht möglich ist, das Betriebssystem zweifelsfrei festzustellen. Die Sicherheitslücke kann dann nicht validiert werden. Sie taucht trotzdem im Audit Report auf, erhält jedoch den Hinweis „invalidated“. In diesem Fall muss der Nutzer selbst nachprüfen, ob die Sicherheitslücke bei diesem System wirksam ist.
Umfassende Risikobewertung
Der Penetrationstest von Enginsight ermöglicht Ihnen eine fundierte Bewertung des Sicherheitszustandes Ihrer IT. Neben CVE-Scans führt Hacktor Bruteforce-Attacken aus, prüft die Chiffren eingesetzter Verschlüsselungsverfahren, Zugriffsrechte und mehr.
In der Dokumentation erhalten Sie eine detaillierte Auflistung des Funktionsumfangs unserer Pentest-Komponente.
Mit unserer 14-tägigen Testversion können Sie sofort loslegen und Ihre IT-Infrastruktur auf CVEs und weitere Schwachstellen prüfen. Legen Sie sich jetzt einen kostenlosen Testaccount an!
Weitere Einblicke in unsere Pentest-Komponente: