Wenn Sie Ihre Sicherheitskontrollen nicht testen, wird es jemand anderes für Sie tun

Wenn Sie Ihre Sicherheitskontrollen nicht testen, wird es jemand anderes für Sie tun 

Veröffentlicht: 16.11.2021 | Autor: SANS Institute/Genesis Swiss Team AG

IT-Sicherheitsteams haben ständig mit Schwierigkeiten zu kämpfen. Das Spektrum der Bedrohungen, mit denen Unternehmen konfrontiert sind, werden täglich grösser und ausgefeilter, da Angreifende neue Techniken und Exploits entwickeln, um sich Zugang zu Unternehmensinfrastrukturen zu verschaffen. Zugleich nutzen Unternehmen die Vorteile neuer Technologien und erweitern damit die digitale Angriffsfläche. Alte Schwachstellen bleiben ungepatched, während täglich neue zum Vorschein kommen. Die immer grösser werdende Bedrohung durch Ransomware macht die besten Pläne und Kontrollen zunichte. Angreifende sind nur allzu vertraut mit den gängigen Abwehrtechniken und setzen Gegenmassnahmen mit Leichtigkeit ein. Unternehmen müssen deshalb erkennen, dass kontinuierliches Testen und Validieren der Sicherheitskontrollen kein Luxus ist. Denn: Wenn Sie Ihre Sicherheitskontrollen nicht testen, wird es jemand anderes für Sie tun. Es liegt an Ihnen zu entscheiden, wie viel Kontrolle Sie über diesen Prozess und das Ergebnis haben wollen!

Das SANS Institute, der weltweit führende Anbieter von Cyber-Security-Trainings und -Zertifizierungen hat Pentera – eine Plattform, die automatisierte, kontinuierliche Sicherheitskontrolltests, sogenannte Penetrationstests, bereitstellt – kritisch analysiert. Weit über das einfache Testen hinaus liefert Pentera praktische Ergebnisse in Echtzeit, die bei der Entscheidung helfen, worauf IT-Sicherheitsteams ihre Bemühungen konzentrieren sollten. Einige der wichtigsten Hauptmerkmale, die SANS hervorhebt, sind:

  • Echtzeit-Updates, während ein Angriff eine Organisation durchdringt. Von Benutzer:innen über Systeme bis zu Taktiken, Techniken und Verfahren der Angreifenden.
  • Ranking der Ergebnisse und «Achievements» von Testergebnissen inklusive Angriffsmustern und Zuordnung zur ATT&CK Matrix® von Mitre.
  • Ergebnisspezifische Empfehlungen, die IT-Sicherheitsteams unterstützen, die Techniken der Bedrohungsakteure auszuschalten.

In der Regel werden Penetrationstests nicht in der Häufigkeit durchgeführt, wie es notwendig wäre, zum Beispiel bei Änderungen in der Unternehmensinfrastruktur. Dabei ist es mit automatisierten Sicherheitsüberprüfungsroutinen ganz einfach: Wenn Sie morgens in einem Bericht lesen, dass viele Unternehmen Opfer eines Cyberangriffes wurden, haben Sie mittags bereits die Ergebnisse Ihres  Kontrolltests vorliegen. Sie können bei Bedarf Änderungen vornehmen und der Unternehmensleitung bestätigen, dass sie gegen diese spezifische Angreifertechnik geschützt sind.

Bei der Anwendung einer automatisierten Plattform wie Pentera sollten Organisationen die Plattform so weit wie möglich an die eigene Umgebung anpassen. Geben Sie Ihre internen und externen IP-Bereiche an und spezifizieren Sie die laufenden Dienste und Benutzer:innen innerhalb der Umgebung. Dies stellt sicher, dass die Plattform Bereiche der Umgebung korrekt testet und dass die Kontrollen wie erwartet funktionieren.

Das Durchführen von Tests 
IT-Sicherheitsteams können bei Pentera zwischen verschiedenen Testszenarien wählen. Die Test-Scans reichen von Black Box (voll automatisiert) bis hin zu einer einfachen Schwachstellenanalyse. Dazwischen können sie gezielte Tests oder Was-wäre-wenn-Tests planen. Beide erlauben die Auswahl von Szenarien und die Festlegung von Ausgangspunkten und/oder Endzielen.

Die differenzierte Einstellung der Tests ist ein weiterer Mehrwert, den Pentera seinen Nutzer:innen bietet:

  • Nicht alle Tests erfordern einen Eintritts- oder Austrittsvektor
  • Fokus auf spätere Angriffstechniken anstatt auf Zugangsmechanismen
  • Fokus auf bestimmte Anwendungen, eine Reihe von Anmeldedaten oder eine bekannte Schwachstelle
  • Beim Planen eines Tests können offensichtliche Werte wie IP-Bereiche und Ziele angegeben werden

Interessant sind ebenfalls die Optionen, die Angreiferaktivitäten zu imitieren:

  • Die Heimlichkeit des Angriffs
  • Ob Exploits als Teil des Tests erlaubt sind
  • Der Umfang des Tests
  • Ob der Test «Spuren» außerhalb eines bestimmten Bereichs folgen kann auf Grundlage der Konnektivität und Validierung von Kontrollen außerhalb der spezifizierten Netzwerksegmente

Bei der Planung von Tests können die Benutzer:innen die Häufigkeit (einmalig, täglich,

wöchentlich, monatlich) und Benachrichtigungen festlegen. Ausserdem können sie ein Active Directory-Konto angeben, um «Testrückstände» zu beseitigen und die Umgebung in den weitgehend früheren Zustand zurückzuversetzen.

Die Testergebnisse
Während eines aktiven Tests ist die Plattform von Pentera dynamisch und aktualisiert sich in Echtzeit. Wird zum Beispiel eine Validierung eingeleitet, werden sofort Assets und Schwachstellen aufgedeckt. Sobald eine bestimmte Technik ausgeführt wurde, werden die Angriffspunkte aufgezeichnet und sind für Benutzer:innen sofort sichtbar, wenn sie auftreten. Darüber hinaus bewertet Pentera die Erfolge automatisch, während der Test stattfindet. Dies gibt Benutzer:innen in Echtzeit Aufschluss darüber, wo die Plattform erfolgreich war und worauf sich ihre Verteidigung als nächstes konzentrieren sollte.

Das Dashboard für jeden Test enthält Details wie:

  • Während des Tests identifizierte Schwachstellen, sortiert nach Wichtigkeit
  • Während des Tests ermittelte «Achievements», sortiert nach Wichtigkeit
  • Während des Tests entdeckte Geräte, einschließlich der Gefahreneinschätzung jedes Geräts in Bezug auf Schwachstellen und Erfolge
  • Aktuelle Aktivität (wenn der Test live ist)
  • Genehmigungen für die Verwertung (Approval für Exploitation), falls beantragt
  • Wissensbasierte Anleitung, wie Schwachstellen zu bereinigen und die Bereinigung zu überprüfen ist

Pentera meldet jedoch mehr als nur Angriffspunkte oder Schwachstellen. Es gibt ebenso Einblicke in den Angriffspfad und in gegnerische Techniken, die ein bestimmtes Achievement zum Erfolg geführt haben. Innerhalb der Plattform ist es möglich, ein bestimmtes System genauer zu betrachten, um besser zu verstehen, was während des Tests passiert ist. Pentera nimmt eine intelligente Priorisierung von Attacken vor – situativ, basierend auf möglichen Erfolgen und «Approval»-gesteuert.

Fazit
Pentera hilft IT-Sicherheitsteams, die Widerstandsfähigkeit ihrer Sicherheitskontrollen und die Anfälligkeit für Cyberangriffe zu bewerten. Pentera befähigt Unternehmen, konstant die Security  zu überprüfen und zu verbessern. Kontrollen können jedoch nicht einfach in einer Umgebung platziert werden. Sie müssen entsprechend abgestimmt und kontinuierlich getestet werden, um sicherzustellen, dass sie angemessen funktionieren. Sicherheitsteams können sich nur auf eine Sicherheitskontrolle verlassen, wenn sie wissen, dass sie in der Lage ist, Angriffe zu erkennen und/oder Angriffe zu verhindern. Unternehmen und Angreifende nutzen täglich mehr und mehr Technologien. Heute kann man nicht mehr erwarten, dass einmalige, manuelle Testmethoden eine Umgebung wirklich effektiv testen. Kontinuierliche, automatisierte Tests hingegen halten mit den Anforderungen des Unternehmens Schritt, entlasten das Sicherheitsteam und helfen ihm, dort Prioritäten zu setzen, wo die Umgebung am meisten Aufmerksamkeit benötigt.

Für weitere Informationen kontaktieren Sie uns:






    Firma *

    Funktion *

    Vorname *

    Nachname *

    E-Mail Adresse *

    Telefon

    Mitteilung*

    [recaptcha]

    Die Felder welche mit * gekennzeichnet sind müssen ausgefüllt werden.