Das systematische Aufspüren und Beseitigen von IT-Schwachstellen gerät für Anwender langsam, aber sicher zur Pflichtübung. Ohne Unterstützung durch spezialisierte Lösungen ist diese im Fachjargon Vulnerability-Management genannte Arbeit nur schwer zu bewältigen. Stellvertretend mussten Qualysguard von Qualys und IP 360 von Ncircle im IDG-Labor beweisen, was in ihnen steckt.
Bei den Tests kam es unter anderem darauf an, mit welcher Genauigkeit die Tools vorhandene IT-Komponenten finden und die darauf laufenden Betriebssysteme, Anwendungen und Dienste identifizieren. Besonderes Augenmerk wurde dabei darauf gelegt, wie exakt sie existierende Schwachstellen erkennen und welche Hinweise sie dem IT-Personal zu deren Beseitigung liefern. In jeder Kategorie konnten maximal fünf Punkte erreicht werden.
Service sucht Sicherheitslecks mit Appliance
Der erste Kandidat Qualysguard ist ein Service, zu dessen Nutzung Anwender eine Appliance innerhalb des Unternehmensnetzes installieren. Von dieser aus findet dann das Scannen der Subnetze statt. Das Setup gestaltet sich einfach, ein "Quick Start Guide" sorgt dafür, dass die Überprüfung rasch beginnt (4,5 Punkte).
Die Tester gaben Qualys für das korrekte Erkennen der vorhandenen Betriebssysteme alle fünf möglichen Punkte. Außerdem gelang es der Lösung, einen installierten WLAN-Access-Point zu entdecken. Abstriche gab es hingegen bei der Schwachstellenerkennung (2,5 Punkte): Qualysguard identifizierte zwar eine Reihe von Problemen korrekt, erzeugte dabei aber einige Falschmeldungen. Das betraf sowohl das irrtümliche Anzeigen von Sicherheitslücken, die keine waren, als auch das Nichterkennen von tatsächlichen Problemen. Klar wurde, dass die Stärke des Produkts im Aufspüren von Systemfehlern unter Windows liegt.
Während der Scan-Vorgänge fiel positiv auf, dass diese das Netz insgesamt nur gering belasteten. Negativ war hingegen, dass ein Red-Hat-Enterprise-System danach nicht mehr reagierte. Nur mit einem Neustart ließ sich das Problem beheben. Zusammen genommen reichte das nur für 3,5 Punkte.
Insgesamt ist Qualysguard flexibel und einfach zu benutzen (fünf Punkte). Für IT-Mitarbeiter oder andere Personen lassen sich Zugänge mit unterschiedlich eingeschränkten Rechten einrichten. Vorlagen für Scans und Reports helfen ihnen dabei, Untersuchungen anzustoßen und Auswertungen vorzunehmen (4,5 Punkte).
Das Tool bietet die Möglichkeit, Regeln für das Beheben von Schwachstellen zu definieren. So ist es möglich, automatisch ein Ticket auszustellen und dieses Personen zuzuweisen, die im System als Verantwortliche für das Beseitigen bestimmter Probleme registriert sind. Wünschenswert wäre hierbei jedoch, dass Qualys eine Form von Benachrichtigung für den jeweiligen IT-Spezialisten ergänzen würde, damit der Betreffende auch davon erfährt, dass er gebraucht wird. Aufgrund dieses Mankos erhielt das Produkt in diesem Bereich nur vier Punkte.
Qualys erlaubt es dem IT-Personal, identifizierte Komponenten nach ihrer Wichtigkeit für den Geschäftsbetrieb einzuordnen. Das System vergibt in der Zusammenfassung dann eine Wertung, die davon abhängt, wie verwundbar die IT insgesamt ist. Dieser Wert lässt sich gewichten, je nachdem wie kritisch das jeweilige System ist. Alles in allem war das den Testern fünf Punkte wert.
Qualys-Lösung trumpft bei Darstellung auf
Zu den stärksten Seiten von Qualysguard gehören seine Darstellungsmöglichkeiten - hierfür erhielt das Produkt wieder die volle Punktzahl. Die Lösung stellt sämtliche während des Scans entdeckten Elemente grafisch dar (siehe Screenshot). Auf der Karte erhalten Administratoren durch Anklicken der entsprechenden Stelle weiterführende Informationen über Betriebssysteme oder aktive Services. Zusätzliche Informationen zu den festgestellten Sicherheitslücken werden dabei leider nicht angezeigt. Derartige Angaben fehlen ebenso wie eine Art Übersichtskonsole, die Statusinformationen über die Schwachstellen im Netz liefert. Anders als Qualysguard ist Ncircles IP360 6.2 keine Dienstleistung, sondern ein eigenständiges Produkt, das vom IT-Personal betrieben wird. Es besteht aus dem zentralen Reporting-Server "VnE Manager", der auf einer Appliance mit einem abgesicherten Betriebssystem installiert ist. Hinzu kommt das Scan-Modul "Device Profiler", ebenfalls in Form einer Appliance.
Die Erkennung der vorhandenen Systeme erfolgt über das Verfahren Dynamic Host Discovery, mit dem das Tool die Umgebung ständig nach neuen Elementen absucht. Nach einigen Minuten hatte IP 360 alle Geräte im Testlabor entdeckt. Es gelang der Software dabei genau wie Qualysguard, den vorhandenen "VPN Concentrator" von Cisco korrekt zu identifizieren. Dafür versagte sie bei einem "FreeBSD-5.2"-Server und einem "Snap Server" von Quantum. Insgesamt reichte es für IP 360 hier nur zu vier Punkten.
Ncircle scannt ohne Systeme zu stören
Die Netz- und Systembelastung war dabei allerdings geringer als bei Qualysguard: Es traten weder Probleme auf wie bei Qualys, noch entstanden Engpässe durch hohe Datenübertragung oder enorme CPU-Belastung. Das brachte den Spitzenwert von fünf Punkten.
Ein Alleinstellungsmerkmal von IP 360 ist der kontinuierliche Scan-Modus: Damit lassen sich das komplette Netz oder nur Teilabschnitte ständig überwachen. Das ist besonders bei kritischen Systemen von Vorteil, die rund um die Uhr Angriffen ausgesetzt sind. Ncircle bietet IT-Spezialisten daneben aber auch die Möglichkeit, Scans zu bestimmten Zeiten oder innerhalb von begrenzten Gruppen vorzunehmen. Deshalb gab es dafür 4,5 Punkte.
IP 360 meldete insgesamt weniger Schwachstellen als Qualysguard. Dadurch reduziert sich automatisch die Zahl der irrtümlich als Problem eingeschätzten Fälle. Leider fand auch dieses Produkt nicht alle auf den Systemen im Testnetz vorhandenen Schwachstellen (2,5 Punkte).
Die Lösung liefert dafür allerdings bessere Einschätzungen, was mögliche Auswirkungen von Schwachstellen auf das Geschäft (fünf Punkte) und die Einschätzung des damit verbundenen Risikos angeht (fünf Punkte). Dabei besticht IP 360 durch eine höhere Detailfülle. Anwender können den Wert, den jeder Host für das Unternehmen darstellt, in Form von Zahlen angeben. Dies nimmt das Tool als Basis einer Risikobewertung für diese Komponente. Das hört sich nicht nur kompliziert an, sondern erschwert tatsächlich die Bedienung. Deshalb gab es Abstriche bei der Benutzerfreundlichkeit: vier Punkte.
Gute Berichte, aber Hilfe nicht optimal
Die vorhandenen Reporting-Funktionen sind indes nicht zu beanstanden, die Tester vergaben fünf Punkte für diese Disziplin. Für jede gefundene Schwachstelle bietet Ncircle einen Link, wo sich gepatchte Softwareversionen beziehungsweise Updates finden, die eine Schwachstelle in einem bestimmten Betriebssystem beseitigen. In einigen wenigen Fällen passte die gebotene Hilfestellung leider nicht hundertprozentig zu der entdeckten Sicherheitslücke. Da Patches jedoch in der Regel mehrere Bugs beheben, ließen sich die identifizierten Schwachstellen in den meisten Fällen beseitigen. Es reichte dafür für vier Punkte.