Qualys Vulnerability Management Express Lite

Einbruchschutz für die IT

,
Schwachstellen sind ein bedeutendes Einfallstor für Angreifer. Da die Konfiguration von Servern, Netzwerkkomponenten und Endgeräten trotz Sorgfalt Lücken aufweisen kann, sollte die Umgebung regelmäßig mit Schwachstellenscannern überprüft werden. Qualys bietet einen Cloud-basierten und leicht zu bedienenden Scanner an, der ohne große Einarbeitung auskommt und wertvolle Tipps zum Schließen von Lücken gibt.
Sind Anwendungen oder Dateien unerwartet nicht mehr verfügbar, stehen schnell Teile des Unternehmens still und die Augen sind auf den Admin gerichtet. Um ... (mehr)

Häufig gestaltet sich die Analyse von Sicherheitslücken oder Konfigurationsfehlern schwieriger, als zunächst erwartet. Vor dem Einsatz komplexerer Umgebungen wie Nessus oder Metasploit beispielsweise haben viele IT-Verantwortliche einen gewissen Respekt. Qualys möchte dies mit seiner "Cloud Platform" ändern und Administratoren die Möglichkeit geben, Sicherheitsprüfungen durchzuführen, ohne sich mit zu vielen Details auseinandersetzen zu müssen.

Auf der Homepage bietet Qualys eine Vielzahl von Produkten in unterschiedlichen Editionen an, auch als Testversionen. Für unseren Test wählten wir das "Vulnerability Management" für kleinere Unternehmen in der "Express Lite Edition". Die Editionen unterscheiden sich in der Anzahl von maximal zulässigen IP-Adressen, Anzahl von Benutzern und Scannern und der Anzahl der Prüfungen für verschiedene Web-Applikationen. Die von uns betrachtete Express-Lite-Variante erlaubt zwei Scanner und maximal drei unterschiedliche administrative Benutzer. In der Testvariante ist zudem nur ein einziger Scanner zulässig, dazu später mehr.

Nach Eingabe einiger persönlicher Daten erhielten wir die Zugangsdaten für den Online-Zugriff auf die Plattform. Der Anmeldename wurde vom Hersteller vorgegeben, das Passwort in einer zweiten E-Mail versandt. Im Zuge der ersten Anmeldung mussten wir das vorgegebene Passwort durch ein eigenes Kennwort ersetzen – dies war aber erst möglich, nachdem wir die 12-seitige Endbenutzervereinbarung bestätigt hatten. Ohne auf die Details näher eingehen zu wollen: Der Benutzer verpflichtet sich, die im Zuge der Teststellung gewonnenen Informationen nicht produktiv zu nutzen. Das Wort "Privacy" kommt erst gar nicht vor. Spätestens am Folgetag erhält ein Interessent zudem einen Anruf von einem Qualys-Mitarbeiter, der seine Unterstützung anbietet und sich über den Stand der Dinge erkundigt.

Was uns nach der ersten Anmeldung sehr gut gefiel:

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023