Im Test: Rapid7 InsightVM
Schwachstellen-Scanner für On-Prem und Cloud
Mit InsightVM stellt Rapid7 eine Plattform für das Schwachstellen-Management bereit, die On-Prem-Scans mit Cloud-basierenden Services kombiniert. Damit lässt sich der aktuelle Sicherheitsstatus für alle Systeme eines Unternehmens inklusive Cloud-Instanzen und Remote-Geräten erfassen.
Den besten Schutz vor Angriffen bieten IT-Systeme, die auf dem aktuellsten Sicherheitsstand sind. Um festzustellen, bei welchen Geräten dies noch nicht der Fall ist und welche Sicherheitslücken sie aufweisen, haben sich Schwachstellen-Scanner als Werkzeug der Wahl etabliert.
Der Security-Spezialist Rapid7 bietet mit InsightVM eine Plattform für das Schwachstellen-Management an, die sich aufgrund ihrer Cloud-Integration sowohl im eigenen RZ als auch für Cloud-Systeme und Remote-Geräte nutzen lässt. Sie unterstützt die Betriebssysteme Windows, Linux und MacOS und kann auch Speziallösungen wie VMware ESXi-Hosts oder Management-Boards wie Dell iDRAC auf Schwachstellen hin scannen. Das Produktportfolio von Rapid7 umfasst weitere Sicherheitslösungen unter anderem für XDR, SIEM, Threat Intelligence sowie Application- und Cloud-Security.
Scans, Compliance-Prüfungen, Reports
Die InsightVM-Plattform umfasst die Hauptfunktionen Schwachstellen-Scan, Asset-Compliance-Verwaltung und Reporterstellung. Für die Erkennung von Sicherheitslücken kombiniert der Hersteller die Nexpose Vulnerability Research Library mit Informationen von Metasploit, den Verhaltensweisen globaler Angreifer, im Internet verfügbaren Scanning-Daten sowie Echtzeit-Analysen. Die Scan-Ergebnisse gleicht InsightVM mit internationalen Sicherheitsstandards wie dem CIS-Benchmark (Center for Internet Security), den Security Technical Implementation Guides (STIG) des US-amerikanischen Verteidigungsministeriums oder PCI-DSS (Standard für Kreditkartendaten) ab.
Die umfangreichen Reportfunktionen geben IT-Abteilungen die nötigen Informationen an die Hand, um fehlende Sicherheitsupdates zu klassifizieren und zu installieren. InsightVM nimmt auch eine Risikobewertung vor, um die Systeme mit den gravierendsten Schwachstellen priorisiert zu aktualisieren. Durch die Integration mit IT-Supportlösungen wie Service Now oder Atlassian Jira lassen sich in der InsightVM-Konsole Remediation-Projekte erstellen, über die IT-Security-Abteilungen den Status der Patch-Aktivitäten verfolgen können.
Installationsoptionen
Beim Setup von InsightVM stehen mehrere Installationsoptionen zur Verfügung. In Testumgebungen lassen sich die zentrale Security-Konsole für die Verwaltung und Konfiguration der Scan-Plattform sowie die Scan Engine auf demselben Windows- oder Linux-Server installieren. Für den produktiven Einsatz empfiehlt Rapid7 dagegen, die Scan Engine auf einem dedizierten Rechner zu platzieren. In größeren Unternehmen sollten die Scan-Aufgaben auf mehrere Systeme verteilt werden. Die Scan-Engine ist auch als VM-Image für AWS und Azure sowie als Container-Image für Docker erhältlich.
Für die Schwachstellen-Scans muss InsightVM auf die zu prüfenden Rechner zugreifen können. Der agentenlose Scan erzielt die besten Ergebnisse, wenn sich der Scan-Service an den Zielsystemen anmelden kann. Dazu gibt der Systemverwalter bei der Konfiguration der Scan-Lösung die für die jeweilige Rechnerkategorie passenden Benutzerkonten und Passwörter an.
Die umfangreichsten Ergebnisse liefern Scans, wenn auf den Rechnern zusätzlich der InsightVM-Agent installiert ist. Er führt die Scans mit der Cloud-Engine der InsightVM-Plattform durch und führt die Ergebnisse mit den von der lokalen Scan-Engine bei einem Rechner gefundenen Schwachstellen zusammen. Mit dem Scan Assistant stellt Rapid7 zudem ein Zusatz-Tool bereit, das anstelle von Benutzerkonten und Kennwörtern eigene Zertifikate verwendet, um eine verschlüsselte Verbindung zu den Zielsystemen herzustellen. Dadurch ist es nicht nötig, in der Security-Konsole sensible Benutzerdaten zu hinterlegen.
Einfaches Setup der Scan-Plattform
Für den Test registrierten wir uns auf der Rapid7 Webseite für die 14-tägige Trial-Version und luden die Software über den per E-Mail zugeschickten Link herunter. Als Testsystem für die InsightVM Security-Konsole und die lokale Scan Engine verwendeten wir eine VM mit Windows Server 2022, die in unserer VMware-vSphere-8-Testumgebung lief. Wichtig ist, dass ein englisches Betriebssystem zum Einsatz kommt.
Bei Windows ist zudem die Option Windows Server Desktop Experience zu wählen, weil die Software keine Core-Installationen unterstützt. Die Anzahl der CPUs und die RAM-Größe hängen davon ab, wie viele Rechner das InsightVM-System regelmäßig scannen soll. Wir statteten die Test-VM mit 16 GByte RAM und zwei vCPUs aus. Zu beachten ist auch der Speicherplatzbedarf für die Scan-Ergebnisse. In großen Umgebungen können dazu abhängig von der Aufbewahrungsdauer mehrere TByte nötig sein. Die Scan-Daten legt InsightVM in einer PostgreSQL Datenbank ab.
Im Setup-Assistenten sind nur wenige Angaben zu machen. Der Administrator gibt unter anderem Name und Passwort für den System-Benutzeraccount an, der über globale administrative Berechtigungen verfügt. Für sehr hohe Sicherheitsanforderungen lässt sich der FIPS-Modus (Federal Information Processing Standards) aktivieren. Die Installation von InsightVM war nach wenigen Minuten abgeschlossen. Anschließend muss der Server rebootet werden. Beim ersten Hochfahren startete automatisch die Initialisierung der InsightVM-Lösung, die gut 30 Minuten dauerte.
- Schwachstellen-Scanner für On-Prem und Cloud
- Security-Konsole mit Cloud-Integration
- Schwachstellen-Scanner im Testbetrieb
Lesen Sie mehr zum Thema
