30.06.2022 / Kategorie: Detect & Response
Unternehmen müssen ihre Systeme und Vermögenswerte schützen. Zu einer umfassenden Schutzstrategie gehören auch Cybersicherheitstests. Aber welche Art von Test ist notwendig und sinnvoll? Voraussetzung, um die beste Wahl treffen zu können, ist ein genaues Verständnis der verschiedenen Methoden und deren Zielsetzung.
Cybersicherheitsaudits sind ein unerlässliches Element eines Sicherheitsprogramms. Sie ermöglichen eine Beurteilung des Sicherheitsstatus des Unternehmens, zeigen Schwachstellen auf und erlauben dadurch Optimierungen, bevor der Ernstfall eintritt. Dabei kommt eine ganze Reihe verschiedener Methoden zum Einsatz, die sich in ihrer Art und Zielsetzung unterscheiden. Die unterschiedlichen Testmöglichkeiten werden jedoch häufig verwechselt.
Bei Penetrationtests, oder kurz Pentest, kommen automatisierte oder manuelle Methoden zum Einsatz, mit denen ein Pentester nach Wegen sucht, von innen oder aussen in die Systeme eines Unternehmens einzudringen. Der Umfang für einen Pentest kann sehr unterschiedlich sein und ein einzelnes System, ein oder mehrere Anwendungen oder auch Teile oder ein ganzes Netzwerk umfassen. Unabhängig vom Umfang geht es beim Pentest darum, Antworten auf folgende Fragen zu finden:
Beim Pentest geht es darum, so viele Schwachstellen und Konfigurationsprobleme wie möglich zu finden und sie hinsichtlich ihrer Ausnutzbarkeit (Exploitability) zu bewerten. Es werden Schwachstellen auf Anwendungsebene, auf Netzwerk- und Systemebene sowie Möglichkeiten zur Beeinträchtigung oder Ausschaltung physischer Sicherheitsbarrieren ermittelt. Je nach Umfang kann ein Pentest mehrere Wochen in Anspruch nehmen. Die wiederkehrende Durchführung von Pentests kann für Unternehmen, welche bestimmte regulatorische Anforderungen erfüllen müssen, Pflicht sein. Pentests können aber, als Mittel zur gezielten Prävention, für alle Unternehmen ein wertvolles Instrumentarium sein.
Die Ergebnisse von Pentests können sehr umfangreich und beeindruckend sein. Sie unterliegen jedoch wichtigen Einschränkungen. Da Pentests in der Regel sehr umfangreich und komplex sind, werden sie normalerweise jährlich durchgeführt. Damit sind sie immer eine Momentaufnahme. Die System- und damit auch die Schwachstellenlandschaft ist jedoch einer laufenden, fast täglichen, Veränderung ausgesetzt. An dieser Stelle kommt das Vulnerability Assessment ins Spiel.
Vulnerability Assessments sind eine automatisierte Methode, um interne oder externe technische Schwachstellen oder Konfigurationsfehler zu erkennen. Die dafür notwendigen Systeme und Sensoren werden üblicherweise permanent in der Umgebung bereitgestellt. Auf diese Weise ist eine laufende Sicherheitsprüfung auch in grösseren und verteilten Umgebungen möglich. Ein grosser Vorteil des laufenden Vulnerability Assessments besteht darin, dass mögliche Schwachstellen nicht nur nach ihrer unmittelbaren Kritikalität, sondern auch nach dem Zeitraum, in dem sie vorhanden sind, beurteilt werden können.
Die Herausforderung beim Vulnerability Assessment liegt in der Interpretation der Ergebnisse und der Priorisierung entsprechender Massnahmen. Dies setzt voraus, dass bestimmte Informationen über die Zielsysteme vorliegen.
Red Teaming wird in der Regel von Unternehmen eingesetzt, die bereits über ein Sicherheitskonzept verfügen. Im Gegensatz zum Penetration Testing bzw. Vulnerability Assessment bezieht das Red Teaming auch Prozesse sowie den menschlicher Faktor mit ein. Diese Aufgabe übernimmt ein sogenanntes Red Team, ein Team von Sicherheitsexperten, das sich auf ein bestimmtes Ziel konzentriert und interne Schwachstellen ausnutzt, indem es physische und elektronische Social-Engineering-Methoden bei den Mitarbeitenden des Unternehmens anwendet und physische Schwachstellen ausnutzt, um sich Zugang zu verschaffen.
Das Red Teaming beginnt entsprechend auch mit einer Vorbereitungsphase, in der zunächst Informationen über das Ziel gesammelt werden (Reconnaissance). Mithilfe von Open Source Intelligence Gathering wird so ein tieferes Verständnis über die Infrastruktur, die Einrichtungen und über die Organisation gewonnen. Auf Basis dieser Erkenntnisse werden dann mögliche Angriffsszenarien und die dafür notwendigen Mittel ausgewählt. Diese können die Bereitstellung von Trojanern, Fake Profilen bis hin zu gefälschten RFIDs umfassen.
Bei der Durchführung einer Red Team Mission geht es insbesondere darum zu prüfen, ob die entsprechenden Vorbereitungen von den Sicherheitsteams (Blue Team) und entsprechende Schutzmassnahmen eingeleitet werden. Das Red Teaming kann dadurch nicht nur vorhandene technische Schwachstellen aufdecken, sondern auch Lücken in den Prozessen oder organisatorische Mängel.
Die Durchführung von Sicherheitstests erfordert neben dem entsprechenden Werkzeug auch viel Expertise. Zudem ist die Überprüfung durch eine unabhängige Instanz häufig vorgeschrieben. Deshalb lagern die meisten Unternehmen Sicherheitstests ganz oder teilweise an spezialisierte Dienstleister aus. Aber auch in diesem Fall ist unbedingt darauf zu achten, dass die Dienstleistung auf die Zielsetzung abgestimmt ist.
Vulnerability Scans und Penetrationtests konzentrieren sich dabei eher auf die Breite als auf die Tiefe und beschränken sich auf die zu prüfende(n) Komponente(n), z. B. die Netzwerkinfrastruktur oder Webanwendungen. Im Gegensatz dazu analysieren Red Teams scheinbar nicht zusammenhängende Schwachstellen in der Technik, den Prozessen oder auch menschlicher Art, um mögliche Angriffsszenarien zu identifizieren.
Unabhängig davon, für welche Zielsetzung und Methode sich ein Unternehmen entscheidet oder ob die Sicherheitstests intern oder extern durchgeführt werden - am Ende wird das Resultat massgeblich durch die Erfahrung bestimmt. Unser ISPIN Offensive Services Team setzt für Sie die Brille eines Angreifers auf und nutzt seine Erfahrung und sein Wissen, um interne und externe Schwachstellen in Ihren Systemen zu identifizieren. Mit den daraus resultierenden Handlungsempfehlungen haben Sie die Möglichkeit, die Widerstandsfähigkeit Ihres Unternehmens zu erhöhen. Kontaktieren Sie uns! Unsere erfahrenen Cybersecurity-Experten beraten und unterstützen Sie gerne.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications