Die Mitarbeitenden von Greenbone entwickeln derzeit einen komplett neuen Scanner für Versionsvergleiche. Greenbones neuer Schwachstellenscanner „Notus“ soll dabei zukünftig den Abgleich von Softwareversionen, CVEs und Patches deutlich beschleunigen.

Scanner-Architektur des neuen Schwachstellenscanners

Ein großer Teil des modernen Schwachstellenmanagements besteht aus dem Vergleich von Softwareversionen. Wer herausfinden will, ob sein Server gegen eine Sicherheitslücke gefeit ist, muss wissen, welche Version einer bestimmten Software auf dieser Maschine läuft. So mag Version 1 von einer Schwachstelle betroffen sein, die in Version 2 bereits gefixt ist. Ob Schwachstellenscanner wie der neue Schwachstellenscanner „Notus“ eine Warnung ausgeben, hängt unter anderem stark vom Ergebnis dieser Vergleiche ab.

Björn Ricks, Unit Lead Services & Platforms bei Greenbone erklärt: „Derlei Aufgaben machten allein mehr als ein Drittel der Arbeit eines Scanners aus, und der von uns speziell für Versionsvergleiche optimierte Scanner soll das deutlich beschleunigen.“

Performance-Engpässe bei klassischen Scannern

Am Anfang der Arbeit eines klassischen Scanners steht ein Advisory mit einer von Fachleuten gefundenen Lücke. Mitarbeitende von Greenbone suchen dann dazu passende (betroffene) Softwareversionen und solche, die den Fehler bereits behoben haben. Diese Informationen müssen nun dem Scanner zur Verfügung gestellt werden.

„Er klappert dann die relevanten Server ab und erfasst dort laufende Software. Für den eigentlichen Scan bekommt er im Wesentlichen nur die Infos über betroffene und gefixte Pakete“, erklärt Ricks. „Beim OpenVAS-Scanner und seinen Vorläufern mussten wir in der Regel pro Versionscheck einen eigenen Prozess starten, das heißt ein separates manuell erstelltes Skript. Diese Skripte automatisch zu generieren ist aufwendig.“

JSON-Daten helfen, den Scanner zu beschleunigen

Der neue Scanner dagegen lädt nur noch die benötigten Daten aus Dateien im JSON-Format, einem einfach lesbaren Klartext-Standard. „Die Logik für die Tests steckt damit nicht mehr in den Skripten. Das hat viele Vorteile: weniger Prozesse, weniger Overhead, weniger Speicherbedarf“. Ricks hält den Ansatz für „deutlich effizienter“.

Elmar Geese, COO von Greenbone Networks erklärt: „Unser neuer Notus-Scanner wird ein Meilenstein für unsere Nutzenden, er wird die Performance deutlich verbessern. Unsere bekannt hohe Erkennungsqualität wie auch die Performance sind zentrale Ziele unserer Produktstrategie, und der neue Scanner unterstützt das optimal.”

Das „Notus“-Projekt besteht aus zwei Teilen: einem „Notus“-Generator, der die JSON-Dateien mit den Informationen über verwundbare RPM-/Debian-Pakete erzeugt und dem „Notus“-Scanner, der diese JSON-Dateien lädt und die Informationen daraus interpretiert. Den neuen Schwachstellenscanner „Notus“ will Greenbone in den nächsten Monaten fertig stellen.

Über Greenbone und OpenVAS

Als das Entwicklungsteam des Schwachstellenscanners Nessus im Jahr 2005 beschloss, nicht mehr unter Open-Source-Lizenzen zu arbeiten und zu einem proprietären Geschäftsmodell zu wechseln, entstanden mehrere Forks von Nessus. Nur einer davon ist noch aktiv: das Open Vulnerability Assessment System (OpenVAS).

Die Gründung von Greenbone im Jahr 2008 verfolgte das Ziel, die Entwicklung von OpenVAS voranzutreiben und Anwendern professionelle Unterstützung für Schwachstellenscans bereitzustellen. Greenbone begann, die Weiterentwicklung von OpenVAS zu leiten, fügte mehrere Softwarekomponenten hinzu und verwandelte OpenVAS so in eine umfangreiche Schwachstellenmanagement-Lösung, die dennoch die Werte der freien Software in sich trägt. Die ersten Appliances kamen im Frühjahr 2010 auf den Markt.