Penetration Testing
Schwachstellenbewertungen und Penetrationstests sind heutzutage von entscheidender Bedeutung
Von John Shier, Field CTO Commercial bei Sophos
Es ist weit verbreitet zu denken: "Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind." Doch dieser Satz vermittelt oft eine trügerische Sicherheit. Viele Unternehmen haben zwar in ihre Cyber Security investiert, aber erst im Ernstfall wird deutlich, ob die Sicherheitsmaßnahmen an allen Fronten halten, was sie versprechen. Untersuchungen wie der aktuelle Sophos Threat Report zeigen auf, dass trotz aller Bemühungen immer noch zu viele Einfallstore für Cyberkriminelle bestehen. Fast die Hälfte aller analysierten Fälle von Schadsoftware zielten auf kleine und mittlere Unternehmen ab, und 90 Prozent aller Cyberangriffe beinhalten den Diebstahl von Daten oder Identitäten. Diese gestohlenen Informationen werden später von Cyberkriminellen für weitere Aktionen wie unautorisierten Zugriff, Erpressung oder die Installation von Ransomware genutzt. Darüber hinaus sind unsichere IoT-Geräte oft Einfallstore für Cyberkriminelle.
Das Hauptproblem sind selten die Sicherheitslösungen selbst, sondern vielmehr unentdeckte Schwachstellen in der IT-Infrastruktur, die ohne klare Identifizierung nicht geschlossen werden können. Daher sind regelmäßige Schwachstellenbewertungen und Penetrationstests von entscheidender Bedeutung. Nur sie bieten verlässliche Rückmeldungen über den tatsächlichen Sicherheitsstatus und die Cyberresilienz eines Unternehmens. Schwachstellenbewertungen und Penetrationstests haben unterschiedliche Ziele. Nach NIST bieten Schwachstellenbewertungen eine "formale Beschreibung und Bewertung der Schwachstellen eines Informationssystems", während Penetrationstests eine Methodik verwenden, "bei der die Prüfer, die in der Regel unter bestimmten Einschränkungen arbeiten, versuchen, die Sicherheitsmerkmale eines Systems zu umgehen oder zu überwinden". Erst die Ergebnisse beider Maßnahmen geben Unternehmen Aufschluss über vorhandene Risiken und ermöglichen es, Prioritäten für die Beseitigung dieser Risiken festzulegen.
Stufen von Schwachstellenbewertungen und Penetrationstests
Die Durchführung von Schwachstellenbewertungen und Penetrationstests umfasst zwölf wichtige Schritte – von der Suche über die Bewertung bis hin zur Abhilfe und abschließenden Berichterstattung:
- Definition des Umfangs: Klare Definition des Umfangs, einschließlich der zu überprüfenden Systeme, Netzwerke und Anwendungen sowie aller spezifischen Ziele oder Anforderungen.
- Erkundung: Sammeln von Informationen über die Zielsysteme, -netzwerke und -anwendungen mithilfe passiver Mittel wie öffentlich zugänglichen Informationen und Social Engineering-Techniken.
- Scannen auf Schwachstellen: Einsatz automatisierter Tools zur Überprüfung der Zielsysteme auf bekannte Schwachstellen, Fehlkonfigurationen und Schwachstellen. Dies kann interne und externe Scans umfassen.
- Bewertung der Schwachstellen: Analyse der Ergebnisse der Schwachstellenscans, um Schwachstellen zu identifizieren und nach Schweregrad, Auswirkungen und der Wahrscheinlichkeit der Ausnutzung zu priorisieren.
- Manuelle Tests: Durchführung manueller Tests zur Validierung und Verifizierung der Ergebnisse automatisierter Scans und zur Identifizierung zusätzlicher Schwachstellen, die von den automatisierten Tools nicht erkannt wurden.
- Penetrationstests: Aktive Ausnutzung von Schwachstellen, um die Sicherheitslage der Zielsysteme, -netzwerke und -anwendungen zu bewerten. Dabei können verschiedene Techniken wie Netzwerkausnutzung, Angriffe auf Webanwendungen und Social Engineering zum Einsatz kommen.
- Post-Exploitation: Nachdem in der Zielumgebung Fuß gefasst wurde, wird die Umgebung weiter erkundet und die Berechtigungen erweitert, um das Ausmaß des potenziellen Schadens zu ermitteln, den ein echter Angreifer verursachen könnte.
- Dokumentation: Erfassung und Zusammenstellung aller Ergebnisse, einschließlich der identifizierten Schwachstellen, angewandten Ausnutzungstechniken und aller Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
- Berichterstattung: Erstellung eines umfassenden Berichts sowohl für Sicherheitsverantwortliche als auch für das Management mit den Ergebnissen der Bewertung, einschließlich einer Zusammenfassung, technischer Details der Schwachstellen, Risikobewertungen und Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
- Planung von Abhilfemaßnahmen: Festlegung von Prioritäten und Planung von Abhilfemaßnahmen basierend auf den Ergebnissen der Bewertung sowie der Risikotoleranz und den geschäftlichen Prioritäten des Unternehmens.
- Erneute Bewertung: Durchführung von Folgebewertungen, um zu überprüfen, ob die Schwachstellen effektiv behoben wurden, und um sicherzustellen, dass sich die Sicherheitslage der Systeme, Netzwerke und Anwendungen des Unternehmens verbessert hat.
- Kontinuierliche Überwachung: Implementierung regelmäßiger Überwachungs- und Testprozesse, um neue Sicherheitslücken zu erkennen und zu beheben, sobald sie auftreten.
Die Häufigkeit dieser Maßnahmen hängt von den IT-Praktiken des Unternehmens und gesetzlichen Vorgaben (z. B. Payment Card Industry) ab. Unternehmen mit geringer technologischer Veränderung (z. B. Code-Änderungen, Hardware-Upgrades, Personalwechsel, Topologieänderungen usw.) benötigen Tests zwar nicht so oft, aber sie kommen keinesfalls ohne sie aus. Organisationen mit häufigen technologischen Veränderungen steigern ihre Cyberresilienz durch häufigere Tests.