Scannen

Um den Scan auszuführen, legt der Admin eine Task an und startet sie. Abbildung 7 zeigt eine Reihe solcher Aufgaben, die die Autoren des Linux-Magazins im Testlabor ausführten. Hat der GSM eine Task bereits mehrfach ausgeführt, gibt die Appliance einen Vulnerability-Trend aus (siehe Abbildung 4).

Abbildung 7: Der Taskmanager des GSM zeigt laufende und beendete Scans, die zugehörigen Trends, aber auch wann die Appliance den ersten und den jüngsten Report zu einer Task erstellt hat.

Schön für Admins: Scans lassen sich vorausplanen oder periodisch wiederholen (Abbildung 8). Das ist besonders für Betreiber von großen Netzwerken und Backbones interessant. Die Netze von ISPs etwa sind meist sehr dynamisch und keiner strikten Konfigurationskontrolle unterworfen. Regelmäßige Überprüfungen erweisen sich hier als gutes Mittel, um zu verfolgen, was im Netzwerk vorgeht, und dann gegebenenfalls mit Patches oder Konfigurationsänderungen auf Sicherheitsprobleme zu antworten.

Abbildung 8: Mit dem eingebauten Scheduler plant der Admin wiederkehrende Scans.

Das Herzstück: Network Security Feeds

Das Herz jedes Vulnerability-Management-Systems sind die Network Vulnerability Tests (NVTs). Eine VA-Engine holt sie sich über so genannte Feeds aus dem Internet. Gute NVT-Feeds zeichnen sich durch Aktualität und Vollständigkeit aus, viele veralten aber bereits nach wenigen Wochen. Pro Monat nennt die Open Source Vulnerability Database (OSVDB, [9]) durchschnittlich 600 neue Schwachstellen, wobei sie Lücken in gängigen Webapplikationen wie MS Sharepoint gar nicht erst erfasst.

Wer den Überblick über das eigene Risiko- oder Sicherheitsprofil behalten will, muss also immer mit frischen NVTs am Ball bleiben und seine Scans periodisch wiederholen.