SZENARIO-BASIERTE TESTS
Automatisierter Schwachstellenscan
Sie haben lediglich eine Anforderung an einem einfachen Schwachstellenscan und benötigen keine manuelle Prüfmethoden? Dann beauftragen Sie einen kostengünstigen Schwachstellenscan.
Sie haben lediglich eine Anforderung an einem einfachen Schwachstellenscan und benötigen keine manuelle Prüfmethoden? Dann beauftragen Sie einen kostengünstigen Schwachstellenscan.
Bei dieser Testart überprüfen unsere Experten Ihre IT-Systeme mit automatisierten Schwachstellenscannern. Die Ergebnisse der Schwachstellenscanner werden anschließend validiert, in ihrem Risiko bewertet und bezüglich False-Positives bereinigt. Als Abschluss erhalten Sie einen Abschlussbericht inkl. Maßnahmenkatalog zur Behebung der Feststellungen.
Beispielhafte Schwachstellenscanner im Einsatz:
Kommerzieller Schwachstellenscanner mit vielen Scan-Methoden und Plugins
Kostenloser, quelloffener Schwachstellenscanner auf Basis von Community-Templates
Kostenloser, quelloffener Schwachstellenscanner
Ein automatisierter Schwachstellenscan hat nichts mit einem vollumfänglichen Penetrationstest zu tun. Ein menschlicher Pentesting-Experte findet mehr als ein Roboter.
Die Ergebnisse eines automatisierten Schwachstellenscans beinhalten i.d.R. False-Positives und eine unzureichende Risikoeinschätzung. Diese müssen manuell berichtigt werden.
Automatisierte Scanner können lediglich Schwachstellen identifzieren, welche im Vorfeld bekannt sind und eine automatisierte Identifizierung ermöglichen. Doch was ist mit allen anderen Schwachstellen?
Ein automatisierter Schwachstellenscan stellt keinen Penetrationstest dar. Das Testvorgehen ist nämlich vollständig automatisiert und es können lediglich Schwachstellen identifiziert werden, welche im Vorfeld öffentlich bekannt sind und vereinfacht mittels automatischer Prüfungen identifiziert werden können.
In der Regel basieren die resultierenden Ergebnisse auf sogenannten „Low-hanging Fruits“, also Schwachstellen, welche sehr einfach von Angreifern oder automatisierten Tools gefunden werden können. Solche Ergebnisse sind mit den Ergebnissen eines manuellen, umfangreichen Penetrationstest nicht vergleichbar.
Nichtsdestotrotz bieten automatisierte Schwachstellenscans, insbesondere wenn diese regelmäßig durchgeführt werden, ein solides Fundament zum Schwachstellenmanagement. Hierbei können IT-Systeme oder größere IT-Infrastrukturen auf gewöhnliche Schwachstellen automatisiert überprüft werden, um diese zeitnah beheben zu können. Dies kann die Angriffsfläche bereits stark reduzieren und bietet eine gute Übersicht für typische Schwachstellenbereiche wie zum Beispiel Patch Management und SSL/TLS.
Mit der Beauftragung eines automatisierten Schwachstellenscans untersuchen unsere Experten Ihre IT-Systeme mittels verschiedener Schwachstellenscanner. Darunter befinden sich z.B. Nessus Professional und Nuclei. Die Scanner werden von unseren Experten professionell konfiguriert und auf Ihre Zielsysteme abgerichtet. Die resultierenden Feststellungen werden validiert, False-Positive Feststellungen bereinigt und alle Ergebnisse detailliert in einem Abschlussbericht inkl. Maßnahmenkatalog festgehalten.