Teil 5 - Beschreibung der Tiefen Scans

Aus den Daten, die im vorherigen Schritt gewonnen wurden, lassen sich nun ebenso leicht die Scan Parameter für die Tiefen Scans ableiten:

• Liste von IP Adressen als Scan Parameter für
• Gerätetypen (Asset Types)
• Regionen, Länder, Unternehmenseinheiten (sofern diese Informationen in den verknüpften CMDB Daten vorhanden sind)
• Gerätestatus (compliant, non-compliant)

je nach Wunsch bzw. Erfordernis. 

Insbesondere durch die vorherige Identifikation eines Gerätes und Zuordnung zu einem Typ (Desktop, Laptop, Server Windows, Server Linux, Switch, Router, VOIP um nur einige zu nennen) werden die Verwendung von typ-spezifischen Scan Policies und Bedrohungsprofilen angepasste, gezielte Tiefen Scans erheblich erleichtert. 

Diese können in etwas größeren Zeitabständen ausgeführt werden. Es ist ohnehin davon auszugehen, dass intensivere Tiefen Scans Schwachstellen hervor bringen, deren Beseitigung im Einzelfall aufwändiger ist, als nur einfach FTP oder TELNET auf einem Gerät abzuschalten. Daher muss für die Beseitigung eine entsprechende Dauer berücksichtigt werden, während derer sich an der festgestellten Sicherheitslage aber nichts ändert. Gleichsam ist das gezielte Nach-Scannen bezogen auf Schwachstellen, Gerätetypen oder andere Ordnungskriterien ja jederzeit möglich.

Der in diesem Szenario angenommene Einsatz von Nessus ® erlaubt ebenfalls den Export der Scan Reports u. a. im csv Format. Dieses kann ebenfalls maschinell weiter verarbeitet und über die im vorigen Abschnitt bereits erwähnte Datenbank ausgewertet und archiviert werden.

Bei der Verarbeitung von Nessus ® Reports ist ein wenig Aufmerksamkeit erforderlich: Nessus ® erzeugt einerseits teils sehr große Dateien, zum anderen ist das Format etwas unhandlich: Feldinhalte mit mehreren Megabyte Größe und Zeilenvorschub Zeichen im Inhalt fordern den Entwickler eines Verarbeitungsprozesses ein wenig heraus.