Beide Methoden haben das gemeinsame Ziel, Sicherheitslücken in einem Netzwerk aufzuspüren, aber sie unterscheiden sich in ihrem Ansatz. Der Unterschied liegt in der Herangehensweise der beiden Methoden. Während ein Schwachstellen-Scan einen eher passiven Ansatz verfolgt, verfolgt ein Penetrationstest einen aktiven Ansatz.
Der Schwachstellen-Scan zielt darauf ab, bekannte Schwachstellen in Netzwerken zu identifizieren, indem verschiedene Tests durchgeführt werden. Dies erfordert die Kenntnis der existierenden Schwachstellen sowie die Verfügbarkeit von Tools oder Skripten, die für die Erkennung und Berichterstattung verwendet werden können. Außerdem ist es notwendig, regelmäßig Schwachstellen-Scans durchzuführen und die Ergebnisse auszuwerten. Bedingt durch diesen Ansatz können nur bekannte und spezifische Lücken gefunden und reported werden.
Der größte Nachteil bei einen Schwachstellen-Scan ist das Erkennen von Abhängigkeiten bzw. das Erkennen von Verwundbarkeiten, welche außerhalb der programmatischen Logik des Schwachstellen-Scans liegen. Lücken, welche nicht durch einen Schwachstellen-Scan gefunden werden können, sind symptomatisch für komplexe Umgebungen bzw. Services, welche eine Eigenentwicklung darstellen die weniger verbreitet sind. Um diese Fälle abzudecken, werden Penetrations-Tests durchgeführt.
Bei einem Penetrations-Test handelt es sich um einen aktiven Ansatz zur Identifizierung von Schwachstellen. Diese Tests sollten von spezialisierten Unternehmen durchgeführt werden und können in verschiedenen Formen durchgeführt werden:
Black Box Test: Es ist nichts über das Testobjekt bekannt.
Grey Box Test: Die grundlegende Natur und Struktur des Testobjekts sind grob bekannt.
White Box Test: Die genaue Natur und Struktur des Testobjekts sind bekannt.
Jeder Penetrations-Test folgt einem gewissen Schema. Zuerst wird das Testobjekt definiert: Dabei wird definiert in welchen Grenzen getestet wird, welche Methoden erlaubt sind und wie das Reporting zu erfolgen hat. Zudem werden die Regeln für die Durchführung des Penetration-Tests abgesteckt. Darunter versteht man Testzeiträume, Begleitung der Tests durch entsprechend fachkundigem Personal.
Während des Tests werden Informationen über das Testobjekt gesammelt, wobei der Aufwand von der Art des Tests abhängt. Je weniger bekannt ist, desto aufwändiger ist die Informationsbeschaffung. Nach Abschluss der Informationsbeschaffung erfolgt der eigentliche Penetrationstest, bei dem versucht wird, die Sicherheitsmaßnahmen des Testobjekts zu überwinden. Kritische Funde sollten sofort gemeldet werden. Nach Abschluss der Tests wird ein Bericht mit Empfehlungen bezüglich der gefundenen Schwachstellen erstellt.
Beide Testarten, der Schwachstellen-Scan und der Penetrations-Test, sollten im Repertoire der Security-Maßnahmen vorhanden sein. Der Schwachstellen-Scan ist für eine regelmäßige Überprüfung der Sicherheit innerhalb eines Netzwerkes gedacht. Ein regelmäßiger Scan kann innerhalb des Netzwerkes Verwundbarkeiten aufdecken, welche durch neue Services, neue Hardware oder neu aufgedeckte Sicherheitslücken ins Netzwerk kommen. Der Penetrations-Test sollte innerhalb eines minimalen Zyklus von einem Jahr durchgeführt werden. Je komplexer ein Netzwerk ist und je öfter sich ein Service in seiner grundlegenden Funktionsweise ändert, desto öfter ist ein Penetrations-Test angebracht.
Die Kosten für beide Methoden sind planbar und überschaubar und tragen dazu bei, Services und Netzwerke sicherer zu machen, während Sicherheitsvorfälle aufgrund unerkannter Schwachstellen weitaus teurer und unvorhersehbar sein können.