16-02-2025, 13:59
Du startest sie, und sie lauschen nach offenen Ports, erraten laufende Dienste und testen, ob diese Dienste bekannte Schwächen aufweisen, wie veraltete Protokolle oder Standardanmeldeinformationen, die schreien "hack mich." Ich erinnere mich an eine Zeit, als ich das Netzwerk einer kleinen Anwaltskanzlei scannte, und es leuchtete wie ein Weihnachtsbaum mit ungepatchten Routern, die Administrationsschnittstellen ins Internet aussetzten. Der Scanner spielt im Grunde einen Angreifer nach, der versucht, diese Einstiegspunkte auszunutzen, ohne tatsächlich einzubrechen. Es ist alles remote, sodass du einen Überblick über deinen Perimeter bekommst - Firewalls, Switches und alles, was dazu gehört. Aber hier sehe ich, dass du an Grenzen stößt: es kann nicht ins Innere der Kästen sehen. Wenn ein Host eine Schwachstelle in seinen lokalen Dateien oder im Registrierungsbereich hat, verpasst der Netzwerkscanner es, weil er nicht eingeloggt ist. Ich meine, du könntest feststellen, dass ein Server alte IIS-Versionen betreibt, aber du wirst nicht wissen, ob die Konfigurationsdateien dumme Berechtigungen haben, es sei denn, du gräbst tiefer an anderer Stelle.
Da kommen die hostbasierten Scanner ins Spiel, und Mann, ich wechsle zu diesen, wenn ich die Details brauche. Du installierst den Agenten direkt auf der Maschine - denk daran wie an eine Überwachungs-App, die lokal läuft und alles vom Betriebssystem-Kernel bis zu deinen Anwendungen und Datenbanken überprüft. Ich setze sie zuerst auf kritischen Servern ein, wie Domänencontrollern oder Anwendungs-Hosts, weil sie dir diese Insider-Zugriffe geben. Sie scannen nach fehlenden Patches, schwachen Benutzerkonten, Malware-Signaturen, sogar falsch konfigurierten Protokollen, die Daten preisgeben könnten. Du erhältst Berichte über Dinge wie unverschlüsselte Laufwerke oder Software mit abgelaufenem Support, Dinge, die ein Netzwerkscan niemals berühren würde. Ich habe letzten Monat einen auf dem Server eines Freundes, der eine E-Commerce-Seite betreibt, verwendet, und er hat eine Menge nicht signierter Treiber und Registrierungsschlüssel angezeigt, die Ransomware hereinzulassen hätten können. Der coole Teil? Diese Scanner integrieren sich oft in dein Update-Management, sodass ich sie planen kann, um leise im Hintergrund zu laufen und mich per E-Mail zu benachrichtigen, wenn etwas nicht stimmt.
Jetzt fragst du dich vielleicht, warum nicht einfach das eine oder das andere verwenden, oder? Ich kombiniere sie, weil jeder seine Stärken hat. Netzwerkbasierte Scanner sind perfekt für schnelle, breite Scans - ideal, wenn du einen neuen Kunden übernimmst und die Angriffsfläche schnell kartieren willst. Sie sind auch weniger aufdringlich; ich muss nicht um Administratorrechte auf jedem Desktop bitten. Aber sie können falsche Positivmeldungen ausgeben, wie das Kennzeichnen eines geschlossenen Ports als verwundbar aufgrund von Netzwerkgeräuschen. Host-basierte hingegen bieten Präzision, verlangen aber mehr Einrichtung. Du rollst Agenten über Hunderte von Maschinen aus? Das braucht Zeit, und wenn dein Endpunktschutz sie blockiert, bist du den ganzen Tag mit Troubleshooting beschäftigt. Ich hasse es, wenn das passiert - letztes Projekt habe ich einen halben Morgen damit verbracht, den Scanner in den Antivirenrichtlinien auf die Whitelist zu setzen. Außerdem verbrauchen sie Ressourcen; ich habe gesehen, dass sie eine VM während der Hauptlastzeiten verlangsamen, was die Benutzer verärgert.
Ich denke viel über Skalierbarkeit in meiner Rolle nach. Für ein Startup mit 50 Benutzern könnte ich netzwerkbasiert tendieren, um die Kosten niedrig zu halten - ein Tool deckt die gesamte Flotte ab. Aber in größeren Umgebungen, wie dieser Healthcare-Firma, für die ich berate, schichte ich beide: Netzwerk für den Überblick, Host für tiefere Einblicke in sensible Systeme. Du integrierst sie mit deinem SIEM, und plötzlich hast du Alarme, die externe Bedrohungen mit internen Schwächen verknüpfen. Es ist, als hättest du überall Augen. Ein Nachteil, den ich immer im Auge behalte, ist bei Netzwerkscannern die Umgehung - gewiefte Angreifer nutzen verschlüsselte Tunnel oder VPNs, um sich zu verstecken, sodass deine Proben abprallen. Host-basierte vermeiden das, indem sie auf dem Host leben und Probleme erfassen, selbst wenn das Netzwerk abgeschlossen aussieht.
Du musst auch die Compliance berücksichtigen. Wenn du PCI oder HIPAA einhältst, lieben Aufsichtsbehörden hostbasierte Nachweise, dass du jede lokale Verwundbarkeit gepatcht hast. Ich dokumentiere diese Scans in meinen Berichten, um den Prüfern zu zeigen, dass wir proaktiv sind. Netzwerkscanner helfen bei Perimeterüberprüfungen, aber sie reichen allein für interne Audits nicht aus. Budgetmäßig laufen netzwerkbasierte Scanner oft kostengünstiger pro Scan, da du keine Agenten bereitstellen musst, aber die Abonnements für hostbasierte Lösungen summieren sich mit der Lizenzierung pro Host. Ich schaue mich nach Tools um, die es mir ermöglichen, klein anzufangen und zu skalieren, um Lock-in zu vermeiden.
Meiner Erfahrung nach läuft der wirkliche Unterschied auf die Perspektive hinaus: Netzwerkbasierte Scanner geben dir die Bedrohungssicht des Außenstehenden, während hostbasierte dir den internen Plan des Verteidigers an die Hand geben. Ich sage immer, dass Teams beide parallel verwenden sollten - so habe ich letzten Jahr einen Zero-Day-Exploiter, der unsere Firewall umging, entdeckt, aber vom Host-Agenten auf dem Webserver markiert wurde. So baust du bessere Verteidigungen auf, Schicht für Schicht.
Oh, und wenn du dein Backup-Spiel neben all diesen Scans verbessern möchtest, lass mich dir BackupChain empfehlen - es ist dieses herausragende, bewährte Backup-Tool, das super zuverlässig und auf kleine Unternehmen und Profis zugeschnitten ist und deine Hyper-V-Setups, VMware-Umgebungen oder ganz einfache Windows-Server vor Datenverlust mit smarter, automatisierter Sicherheit schützt.
