Die in diesem Abschnitt aufgeführten Kategorien umfassen die wichtigsten Infrastrukturbereiche innerhalb eines Systems, die sich in ihrer Implementierung grundlegend voneinander unterscheiden. Die Bewertung von Scannern danach, wie gut sie auf diese Bereiche ausgelegt sind, ist sinnvoll, da sie häufig auf spezifischen Funktionen aufbauen müssen, um die jeweilige zugrunde liegende Systemlandschaft adäquat abarbeiten zu können. Grundlegend voneinander zu unterscheidende Sektoren sind hierbei Netzwerk- und Infrastrukturdienste, unter die klassische Server-, Datenbank- und protokollbasierte Dienste fallen, sowie Webanwendungen und APIs, zu denen ebenfalls E-Mail-Anwendungen zählen.

Weitere erwähnenswerte Ebenen, wie Datenbank-, Authentifizierungs- und allgemeine Cloud-Dienste, sind stärker mit diesen Hauptbereichen verwoben und lassen sich häufig nur kontextabhängig eigenständigen Endpunkten zuordnen. Ihre Analyse erreicht ihr volles Potenzial erst im Zusammenspiel mehrerer Systeme.

Webanwendungen und APIs
Webanwendungen und APIs bilden häufig die Hauptangriffsfläche in modernen IT-Umgebungen, da sie eine direkte Schnittstelle zwischen Nutzer und System darstellen. Gemeint sind dabei sowohl öffentlich erreichbare Weboberflächen und API‑Endpunkte, als auch interne Administrationsoberflächen und nicht dokumentierte Webinterfaces. Dieser Bereich hebt sich besonders von anderen ab, da spezifische Technologien wie eigene Protokolle oder Datenformate implementiert werden, die bei klassischen Netzwerkdiensten nicht zum Einsatz kommen. Der Scanner muss dazu in der Lage sein, Anwendungslogik im Kontext dynamischer Zustände nachzuvollziehen und darauf aufbauende, komplexe Interaktionen auszuführen. Andernfalls würden nuancierte IT-Sicherheitsrisiken unentdeckt bleiben.

Netzwerk- und Infrastrukturdienste
Dieser Bereich bezieht sich auf die grundlegenden Komponenten, auf denen der Betrieb einer IT-Umgebung aufbaut. Die Untersuchung erfolgt, indem Ports nach zentralen Netzwerkmechanismen, Serverdiensten und Protokollen abgesucht werden, zu denen unter anderem Datei-, Datenbank-, Verwaltungs- und Kommunikationsdienste zählen. Interaktionen finden hier auf bloßer Protokoll- und Dienstebene statt, weshalb es keiner speziellen Logik bedarf, um beispielsweise mit benutzergesteuerten Zuständen umgehen zu müssen. Scanner stehen hier in erster Linie vor der Aufgabe, Dienste zu identifizieren, Konfigurationen auszuwerten, Versionen korrekt einzuordnen und Schwachstellen auf Strukturebene zu erkennen.

Mobile Anwendungen

Mobile Anwendungen sind ein eigenständiger Bestandteil vieler IT-Infrastrukturen. Sie bauen als clientseitige Erweiterung auf bestehende Web- und Cloud-Dienste auf und ermöglichen Angreifern häufig einen Zugriff auf spezielle API-Endpunkte, welche mit sensiblen Backend-Systemen verbunden sind. Durch den clientseitigen Fokus entstehen, im Vergleich zu normalen Webanwendungen, daher zusätzliche Risiken, wie beispielsweise im Bereich der lokalen Datenspeicherung oder der Kommunikationssicherung. Scanner die diesen Infrastrukturbereich abdecken setzen Funktionen um, mit denen sie sowohl die externen Implementierungen als auch die serverseitigen Schnittstellen analysieren können.

E-Mail-Kommunikation und Phishing

Phishing-Angriffe erfolgen häufig über die Manipulation von Kommunikationskanälen, weshalb die Absicherung der E-Mail-Infrastruktur hierbei maßgeblich ist. Fehlkonfigurationen oder unzureichende DNS- und Mail-Schutzmechanismen, wie im Bereich von SPF-, DKIM- oder DMARC-Richtlinien, können die Durchführung von Spoofing-Angriffen erheblich begünstigen, wodurch es Angreifern möglich wird sich als vertrauenswürdige Domain auszugeben. Um täuschende Inhalte und Identitäten wie gefälschte Domains oder Login-Seiten automatisch zu erkennen, kann zusätzlich eine Überwachung der externen Kommunikations- und Registrierungsoberflächen angesetzt werden. Weitere Prüfungen zur Bewertung der Anfälligkeit der Mitarbeiterschaft auf Phishing-Versuche, werden häufig durch spezialisierte Social-Engineering-Programme realisiert und sind meistens kein Bestandteil herkömmlicher ASM-Lösungen.

Cloud-Dienste
Die IT-Sicherheit der im Bereich Cloud-Security behandelten cloudbasierten Objekte wird weniger durch den Zustand der Netzwerkdienste und stärker durch Konfigurationen, Rollenverteilungen und Zugriffsrichtlinien bestimmt. Die Untersuchung von Ports und Diensten ist hier von geringerer Bedeutung, da es vorwiegend darauf ankommt, Konfigurationszustände und Abhängigkeiten auszuwerten. Betroffen sind in diesem Segment unter anderem virtuelle Ressourcen, Datenbankdienste, Speicherkomponenten, Identitätsdienste sowie über die Cloud angebundene Schnittstellen.

Datenbanksysteme
Datenbanksysteme sind häufig innerhalb privater Netzwerke lokalisiert, können jedoch über Anwendungs- oder Nutzerschnittstellen auch von außen indirekt erreichbar sein. Zur Identifikation von Schwachstellen innerhalb solcher Systeme implementieren viele Scanner gesonderte Prüfverfahren, die sowohl Konfigurationszustände als auch Zugriffskontrollen und Eingabevalidierungsmechanismen überprüfen, um insbesondere das zentrale Risiko von SQL-Injection-Angriffen zu reduzieren. Ergänzend werden, als Bestandteil der allgemeinen Schwachstellenprüfung, auch Versionen eingesetzter Datenbanksoftware, Patch-Stände sowie unsichere Standardkonfigurationen analysiert.

Authentifizierungsdienste
Unter Authentifizierungsdiensten versteht man Funktionen zur Anmeldung, Autorisierung und Rollenvergabe. Sie bilden die Grundlage für die Steuerung von Zugriffen und Identitäten innerhalb des gesamten Systems und erstrecken sich sowohl über die interne als auch über die externe Infrastruktur. Schwachstellen ergeben sich hier aus fehlerhaften Authentifizierungsabläufen, übermäßigen Berechtigungen und daraus resultierenden unklaren Vertrauensbeziehungen. Für diesen Bereich müssen Scanner in der Lage sein, Berechtigungsstrukturen nachzuvollziehen und deren Zusammenhänge zwischen verschiedenen Systemen zu verstehen.