Die besten Open-Source-Schwachstellenscanner

2021-11-29 08:08:14 By : Mr. Andy Ma

Aktuelle Beiträge von "Bedrohungen"

Cybersicherheitserfahrungen sind die bessere Kristallkugel

Künstliche Intelligenz im Fokus von Cyberkriminellen

Spear-Phishing und KI – eine gefährliche Kombination

Mit Open Source gegen Hacker

Aktuelle Artikel aus "Netzwerke"

Wie Alert Triage bei einem Ransomware-Angriff helfen kann

Tipps zum Einrichten eines Alert-Triage-Prozesses

Datenschutzanforderungen für Künstliche Intelligenz

WiFi-Tracking ist mehr als nur das Übertragen von Daten

Anwendungssicherheitstests in der Cloud

Aktuelle Beiträge aus "Plattformen"

Mehr Sicherheit durch eine integrierte Plattform

Spectra Logic bringt neue sichere Speicherprodukte

Deutsche Unternehmen überschätzen ihre IT-Sicherheit

Daten mit zusätzlichen Lösungen sichern

Warum Microsoft 365-Daten spezielle Cloud-Backups benötigen

Aktuelle Artikel aus "Anwendungen"

Bringen Sie Ordnung in das Chaos der Berechtigungen und Rollen

Die drei Säulen der Sicherheit in SAP

Auf dem Weg zu einer erfolgreichen DevSecOps-Kultur

Aktuelle Artikel aus "Identity and Access Management"

Bringen Sie Ordnung in das Chaos der Berechtigungen und Rollen

Die drei Säulen der Sicherheit in SAP

Dynamisches Feedback zur Passwortwahl und Passwortrichtlinie

So funktioniert es mit der Wahl starker Passwörter

Reduzieren Sie IT-Risiken mit Hilfe des Homeoffice

Aktuelle Artikel von "IT Awards"

Die beliebtesten Anbieter von Security Awareness Trainings 2021

Die beliebtesten Anbieter von Endpoint Detection & Response 2021

Die beliebtesten Anbieter von Web Application Firewalls im Jahr 2021

Aktuelle Artikel aus "Sicherheitsmanagement"

Cybersicherheitserfahrungen sind die bessere Kristallkugel

Mit Open Source gegen Hacker

Aktuelle Artikel aus "Specials"

Definition der Risikomatrix | Risikokarte | Risikokarte | Risikodiagramm | Risikoprofil | Risikoportfolio

Aktuelle Artikel aus "Best Practices für IT-Sicherheit"

Best Practices für Erkennung und Reaktion

Erkennen Sie Angriffe auf Endpunkte, bevor der Schaden eintritt

Best Practices für Erkennung und Reaktion

Lücken in der Notfallvorsorge schließen

Best Practices für OT-Sicherheit

So finden Sie den richtigen Schutz für Fertigungsanlagen

Best Practices für Cloud-Anwendungen

So gelingt Security by Design in Cloud-Anwendungen

Cyber-Vorfälle können für ein Unternehmen verheerend sein, aber nicht alle Organisationen haben tiefe Taschen für vorbeugende Maßnahmen. Glücklicherweise sind einige der innovativsten Lösungen zum Auffinden von Schwachstellen frei als Open Source verfügbar.

Cyber-Schwachstellen werden für Unternehmen überwältigend. Der hohe Innovationsgrad und die Notwendigkeit, ständig neue Prozesse zu implementieren, erfordern eine beispiellose Agilität und schaffen unweigerlich neue Sicherheitslücken.

Mit dem Aufkommen der hyper-agilen Anwendungsentwicklung (Stichwort DevOps / DevSecOps), neuer, Cloud-nativer Softwarearchitekturen und Infrastruktur als Code nehmen die Angriffsvektoren gegen die Unternehmens-IT auf jeder Ebene des Stacks einer Bereitstellung zu. Ein Schwachstellenscanner ist ein Muss – auch wenn er nichts kosten sollte.

Netzwerkpaketanalyse mit WireShark. (Bild: Wireshark.org)

WireShark ist wohl das bekannteste Open-Source-Paketanalysetool für die Fehlerbehebung bei der Konnektivität und die Entwicklung von Software und Kommunikationsprotokollen. Mit diesem Tool kann der Netzwerkverkehr in Echtzeit aufgezeichnet, aus gzip extrahiert, bei Bedarf entschlüsselt und im Detail untersucht werden.

Es liest und schreibt Aufzeichnungsdaten in vielen verschiedenen Dateiformaten, von tcpdump (libpcap), zu Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer (sowohl komprimiert als auch unkomprimiert), Sniffer Pro und NetXray, Network Instruments Observer, NetScreen Snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek / TokenPeek / AiroPeek und viele andere.

Es kann Daten über Ethernet, IEEE 802.11, PPP/HDLC, Bluetooth, USB, Token Ring, Frame Relay, FDDI und andere Quellen erfassen und unter anderem IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP und WPA/WPA2 knacken .

WireShark gehört als eines der wichtigsten Tools für die Netzwerksicherheit zum Arsenal der sogenannten Ethical Hacker.

Mit OpenVAS (vollständiger Name: Open Vulnerability Assessment Scanner) bietet die Greenbone Networks GmbH aus Osnabrück einen Open Source „umfassenden“ Vulnerability Scanner. Zusammen mit anderen Open-Source-Modulen bildet der Scanner das Greenbone Vulnerability Management als Teil der kommerziellen Produktfamilie von Greenbone für das Vulnerability Management.

Mit OpenVAS . Schwachstellen im Netzwerk finden

„999 von 1.000 erfolgreich ausgenutzten Schwachstellen sind seit mehr als einem Jahr bekannt“, argumentiert das Unternehmen auf seiner Website. Mit geeigneten Tools könnten Unternehmen „schnell und einfach“ die Angriffsfläche der IT-Infrastruktur reduzieren. Im ersten Schritt werden die relevanten Schwachstellen identifiziert und das Risikopotenzial bewertet – zum Beispiel mit den Tools des Anbieters. Als nächstes könnte Greenbone Maßnahmen zur Behebung des Problems empfehlen. So können Angriffe durch gezielte Vorsichtsmaßnahmen verhindert werden.

Die Funktionen der kostenlosen Edition umfassen authentifizierte und nicht authentifizierte Tests, Penetrationstests mit verschiedenen High-Level- und Low-Level-Internet- und Industrieprotokollen sowie Performance-Tuning für umfangreiche Tests. Intern verwendet der Scanner eine eigene Programmiersprache, mit der die Schwachstellenprüfung fein abgestimmt werden kann.

Sequenz eines Scans mit Nuclei. (Bild: ProjectDiscovery über GitHub)

Nuclei vom GitHub-Sponsor ProjectDiscovery aus dem US-Bundesstaat Oregon kann gezielte, benutzerkonfigurierbare Schwachstellen-Scans durchführen, indem sie automatisierte Anfragen über das Netzwerk an Hosts senden. Dazu verwendet Nuclei YAML-Templates aus einem Repository, die auf Beiträgen von über 200 Sicherheitsforschern und -ingenieuren basieren sollen. Das Tool trumpft mit hoher Ausführungsgeschwindigkeit und erheblicher Erweiterbarkeit auf. Zu den unterstützten Protokollen gehören TCP, DNS und HTTP.

ProjectDiscovery hat das Motto „Sicherheit durch intelligente Automatisierung“ auf den Fahnen geschrieben und hat weitere Tools für Penetrationstests und Bug Bounties im Köcher, darunter ein Domain-Detection-Tool für Penetrationstests mit dem eingängigen Namen Subfinder, das HTTP-Toolkit httpx, das sich bedient der retryablehttp-Bibliothek, sowie das DNS-Toolkit dnsx (ein echter Alleskönner) und der blitzschnelle Port-Scanner naabu, mit dem potenzielle Angriffsflächen erkannt werden können.

Als im vergangenen Jahr zu Beginn der Pandemie Cyberangriffe explodierten, veröffentlichte Google den Quellcode seines hauseigenen Schwachstellen-Scanners Tsunami auf GitHub. Im Gegensatz zu den meisten anderen Tools dieser Art wurde Tsunami entwickelt, um in wirklich massiven Netzwerken nach Schwachstellen zu „fischen“.

Tsunami besteht aus zwei Hauptkomponenten: der Scanning Engine und einem Analysetool. Die Scan-Engine hat die Aufgabe, das Firmennetzwerk nach offenen Ports zu durchsuchen und jeden Port zu testen. Dieses sogenannte Port-Fingerprinting basiert auf der bewährten Network-Mapping-Engine nmap, verwendet aber auch Googles eigenen Code.

Die zweite Komponente verwendet die Ergebnisse des Scans des Fingerprinting-Moduls, um die Geräte auf eine Liste von Schwachstellen mit bekannten Exploits zu testen.

Die modulare Architektur ermöglicht es den Entwicklern von Tsunami, neue Funktionen zu implementieren, indem sie einfach neue Plugins hinzufügen.

Tsunami verfügt derzeit über zwei besonders mächtige Features: Es kann sensible Benutzeroberflächen aufspüren, die offen zugänglich sind, und schwache Login-Daten unter anderem in SSH, FTP, RDP und MySQL aufdecken.

Anwendungen wie Jenkins, Jupyter und Hadoop Yarn stellen dem Benutzer Schnittstellen zur Verfügung, die es ermöglichen, die Ausführung von Workloads in einer bestimmten Reihenfolge im Voraus zu planen oder Systembefehle auszulösen. Wenn diese Systeme Anrufe ohne Benutzerauthentifizierung annehmen, könnte ein Angreifer die Funktionalität der Anwendung für böswillige Aktivitäten ausnutzen. Um schwache Passwörter zu identifizieren, nutzt Tsunami verschiedene andere Open-Source-Tools wie ncrack.

Trivy ist ein Open-Source-Schwachstellenscanner für Container-Images. Seit dem Projektstart vor rund zwei Jahren hat das Tool eine breite Anhängerschaft unter den Mitgliedern der Open-Source-Community auf GitHub gewonnen.

Im Gegensatz zu anderen Open-Source-Scannern deckt Trivy sowohl Betriebssystempakete als auch sprachspezifische Abhängigkeiten ab und lässt sich leicht in die Softwareentwicklungspipelines integrieren.

Jenseits herkömmlicher Netzwerk-Schwachstellen-Scanner bewähren sich im Unternehmensumfeld zunehmend Lösungen zur kontinuierlichen Überwachung der IT-Infrastruktur und des Anwendungscodes in Softwareprojekten hinsichtlich des Auftretens neuer Schwachstellen. Tools wie Nagios und Toolkits wie Snyk mit Prometheus und Grafana fallen in diese Kategorie.

Nagios ist eines der ältesten Open-Source-Monitoring-Tools. Es ermöglicht die Überwachung von System- und Hardwaremetriken, Netzwerkprotokollen, Anwendungen, Servern und anderen physischen Elementen der Infrastruktur, auch mit externen Tools. Die Überwachung der verschiedenen Endpunkte erfordert die manuelle Einrichtung von Automatisierungsskripten.

Open Source für mehr Sicherheit im Netzwerk

Sicherheitsüberwachung mit Nagios und Icinga 2

Prometheus ist eine Open-Source-Lösung zur Überwachung von Metriken und Zeitreihendaten in Cloud-nativen Umgebungen. Es stammt aus der Feder des Berliner Startups SoundCloud. Die Inspiration kam von Googles Überwachungssystem Borgmon. SoundCloud hatte den Projektcode an die Cloud Native Computing Foundation (CNCF) übertragen, die unter anderem auch Kubernetes und OpenTracing hostet. Heute ist Prometheus eines der erfolgreichsten Open-Source-Projekte im Unternehmensumfeld.

Prometheus trumpft mit fortgeschrittenen Fähigkeiten zur Datenvisualisierung auf. Es ist erweiterbar, lässt sich nahtlos in Kubernetes integrieren und kann aus nahezu jeder Datenquelle geliefert werden, von Rohmetriken auf Systemebene bis hin zu Docker-, HAProxy-, StatsD- und JMX-Messwerten. Es ist in Go / Golang geschrieben und unterliegt der Apache 2-Lizenz.

Der internationale Webhoster Hostinger verwendet Prometheus, um die physischen Server und VMs seiner zig Millionen Benutzer zu überwachen. Ursprünglich verwendete das Unternehmen den NCG-Stack (Nagios / Cacti / Ganglia) und als dieser nicht mehr ausreichte, nahm das Team den TICK-Stack für eine Testfahrt (Telegraf / InfluxDB / Chronograf / Kapacitor) auf Anhieb mit. Ausschlaggebend für den Einsatz von Prometheus waren die leistungsstarken Möglichkeiten zur Automatisierung der Infrastruktur im Code. Zu den Prometheus-Anwendern zählen auch SuSE, Red Hat, Presslabs, DigitalOcean, Uber und Microsoft.

Der Einsatz von Open-Source-Software spart Unternehmen jährlich rund 60 Milliarden Dollar, schrieb Flexera vor drei Jahren in einem Bericht. Seitdem hat der Einsatz von Open Source in Unternehmen zugenommen und auch zu neuen Schwachstellen geführt, bestätigt eine aktuelle Studie der Flexera-Sparte Revenera aus dem Jahr 2021. Doch so konkret lassen sich die wichtigsten Vorteile von Open Source-Lösungen kaum quantifizieren Bedingungen.

Denn Open Source hat mindestens zwei entscheidende Vorteile, die in vielen Organisationen sehr wichtig sind: Es schafft Vertrauen durch die uneingeschränkte Überprüfbarkeit des Codes und maximiert die Anpassungsfähigkeit der eingesetzten Lösungen.

Die Konformität von Open Source-Lösungen mit offenen Standards verbessert die Interoperabilität und erweitert die Integrationsmöglichkeiten in die bestehende IT-Umgebung.

Der Verzicht auf ein Preisschild bedeutet nicht automatisch einen Qualitätsverlust, im Gegenteil. Open-Source-Projekte ziehen Weltklasse-Entwickler an; Minderwertige Beiträge werden in der Öffentlichkeit schnell aussortiert.

Open-Source-Code fördert auch die Bildung einer großen Interessengemeinschaft; seine Mitglieder fördern die Entwicklung im eigenen Interesse. Die Offenheit von Open Source fördert die Erstellung umfangreicher Dokumentationsmengen, ebnet den Weg für neue Benutzer und verflacht die steile Lernkurve. Eine engagierte User-Community fördert den offenen Erfahrungsaustausch und reduziert den Bedarf an kommerzieller Unterstützung.

Dennoch ist der Einsatz von Open Source-Lösungen in der Cybersicherheit auch mit gewissen Betriebsrisiken verbunden, die gerade im Unternehmensumfeld vielen Anwendern Anlass zur Sorge geben.

Die Vernetzung von Open-Source-Lösungen ist oft sehr tiefgreifend und knifflig. Die Nutzer von Open Source-Lösungen haben keinen Anspruch auf eine definierte Leistung des Herstellers. Das gängige Sprichwort und ironische Versprechen „Du bekommst, wofür du bezahlst“ kann sich bei Open Source-Lösungen leider bewahrheiten, muss es aber nicht.

Für Lösungsanbieter wie das kleine Startup ProjectDiscovery hat sich Open Source als vertrauensbildende Maßnahme bewährt. Das „Open Sourcing“ von Code generiert für diese Anbieter eine nahezu kostenneutrale Methode, die eigene installierte Basis zu erhöhen, Aufmerksamkeit zu erregen und neue Ideen zu generieren. Eine Open-Source-Codebasis vereinfacht die Interoperabilität mit anderen Lösungen und die Zusammenarbeit mit anderen Softwareentwicklern, senkt die Entwicklungskosten und beschleunigt die Fehlerbehebung.

Open-Source-Schwachstellenscanner können helfen, Cyberrisiken in einer verteilten IT-Umgebung zu erkennen und zu beheben. In der Open-Source-Community gibt es echte Perlen, die ihre kommerziellen Alternativen - in den richtigen Händen wohlgemerkt - bei weitem übertreffen.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

Anfällige VM für Sicherheitstests

Open-Source-Scanner überprüft Netzwerke auf Anzeichen von Angriffen

Ohne Schutz können auch Container angegriffen werden

Containersicherheit mit Anchore und Clair

Finden Sie Schwachstellen in Webanwendungen mit der Burp Suite

Was der Finanzsektor gegen Cyberkriminalität tun kann

Open Source – eine sichere Bank

Vor- und Nachteile von Open Source Software in Bezug auf Sicherheit

Wenn Open-Source-Software zum Risiko wird

Cookie-Manager AGB Hilfe Kundencenter Mediadaten Datenschutz Impressum & Kontakt

Copyright © 2021 Vogel Communications Group

Diese Website ist eine Marke der Vogel Communications Group. Eine Übersicht aller Produkte und Dienstleistungen finden Sie unter www.vogel.de

Joos/Wireshark.org; Witthaya - Fotolia, VIT; Yanawut Suntornkij - stock.adobe.com; Gorodenkoff - stock.adobe.com; Egor - stock.adobe.com, VIT; gemeinfrei; Andrea Danti - stock.adobe.com, VIT; Offensive Sicherheit; Imilianisch - stock.adobe.com; Arvato-Systeme; TXOne-Netzwerke; ProjectDiscovery über GitHub; Wireshark.org; Vogel IT-Medien / putilov_denis - stock.adobe.com; peshkov - stock.adobe.com; Elnur - stock.adobe.com; zephyr_p - stock.adobe.com; ipopba - stock.adobe.com; rcfotostock - stock.adobe.com; TheDigitalArtist; Hien Phung - stock.adobe.com; © Thaut Images - stock.adobe.com; Mangostar-stock.adobe.com; © Eisenhans - stock.adobe.com; viperagp - stock.adobe.com; ra2 studio - stock.adobe.com; ribkhan - stock.adobe.com; Specops-Software; © escapejaja - stock.adobe.com; putilov_denis - stock.adobe.com; chinnarach - stock.adobe.com; Sergey Nivens - stock.adobe.com; alphaspirit - stock.adobe.com; Darwin Laganzon; Tumisu; Gerd Altmann; Werner Moser