Greenbone Vulnerability Management (GVM) – Theorie für Einsteiger

Grundidee

• GVM dient der systematischen Erkennung von IT-Schwachstellen.
• Ziel ist Transparenz über Sicherheitszustände von Systemen.
• Es handelt sich nicht um ein Exploit-Framework.
• Ergebnisse sind Hinweise, keine Beweise für Kompromittierung.

Abgrenzung

• Vulnerability Scanning ≠ Penetration Testing
• Scanning identifiziert bekannte Schwächen.
• Pentesting versucht aktiv, diese auszunutzen.
• GVM bleibt auf der Analyseebene.

Zielsetzung

• Erkennen bekannter Sicherheitslücken
• Bewertung von Risiken
• Unterstützung von Patch- und Hardening-Prozessen
• Dokumentation des Sicherheitsniveaus

Architekturüberblick

• Modularer Aufbau
• Trennung von Steuerung, Analyse und Darstellung
• Skalierbar von Einzelhost bis Netzsegment

Zentrale Komponenten

• Scanner
• Manager
• Datenhaltung
• Benutzeroberfläche

Scanner

• Führt technische Prüfungen durch
• Nutzen vordefinierte Prüfregeln
• Erkennt Konfigurationsfehler und Versionsschwächen
• Arbeitet netzwerkbasiert oder authentifiziert

Manager

• Koordiniert Scanvorgänge
• Speichert Ergebnisse
• Verwaltet Benutzer und Rechte
• Stellt Daten strukturiert bereit

Datenbasis

• Schwachstelleninformationen
• Prüfdefinitionen
• Bewertungsskalen
• Historische Scanergebnisse

Feeds

• Externe Wissensquellen
• Enthalten bekannte Schwachstellen
• Regelmäßige Aktualisierung erforderlich
• Qualität der Ergebnisse hängt direkt von Feeds ab

Prüfarten

• Versionserkennung
• Konfigurationsprüfung
• Protokollanalyse
• Dienst- und Portprüfung

Nicht Bestandteil

• Zero-Day-Erkennung
• Exploit-Entwicklung
• Social Engineering
• Client-Side-Angriffe

Risikobewertung

• Ergebnisse werden klassifiziert
• Bewertung erfolgt nach Schweregrad
• Berücksichtigt technische Auswirkungen
• Nicht automatisch geschäftskritisch

CVSS-Grundlagen

• Standardisierte Bewertungsskala
• Numerische Risikoeinstufung
• Vergleichbarkeit zwischen Systemen
• Keine Kontextbewertung des Unternehmens

False Positives

• Technisch korrekt, praktisch irrelevant
• Abhängig von Netzdesign und Konfiguration
• Erfordern menschliche Bewertung
• Normaler Bestandteil jedes Scans

Rolle im Sicherheitsprozess

• Früherkennung
• Regelmäßige Zustandsprüfung
• Grundlage für Maßnahmen
• Ergänzung zu Monitoring und Logging

Typische Einsatzszenarien

• Regelmäßige Sicherheitsüberprüfung
• Vor Audits
• Nach Systemänderungen
• In Test- und Produktivumgebungen

Rechtlicher Rahmen

• Scans nur auf eigenen Systemen
• Oder mit expliziter Genehmigung
• Scanning gilt als Eingriff in IT-Systeme
• Dokumentation empfohlen

Grenzen

• Nur bekannte Schwachstellen
• Abhängig von Aktualität der Feeds
• Kein Ersatz für Security-Know-how
• Kein automatisches „Sicher“

Zusammenfassung

• GVM schafft Überblick
• Erfordert Interpretation
• Unterstützt Entscheidungen
• Ersetzt keine Verantwortung