Cybersecurity ist dem stetigen Wandel unterworfen und komplexer denn je. Um sich gegen die Vielzahl an Angriffsmöglichkeiten schützen zu können, war bisher sehr viel Aufwand, Zeit und Knowhow notwendig. Automated Security Validation steuert dem effizient entgegen, sodass sich Security-Teams auf das Wesentliche konzentrieren können. [...]
Gegenwärtig sind Chief Information Security Officers (CISOs) und ihre Kollegen in den IT-Security-Teams geforderter denn je. In den letzten zwei Jahren ist die Anzahl der Cyberangriffe auf Unternehmen und öffentliche Einrichtungen exponentiell gestiegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zum Beispiel im Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ an, dass die Anzahl der Schadprogramm-Varianten in Deutschland von 2020 bis 2021 um 22 Prozent gestiegen ist. Bei den Meldungen zu Schadprogramm-Infektionen übermittelte das BSI 2021 rund 14,8 Mio. Fälle an deutsche Netzbetreiber, was schon doppelt so viel ist wie im Jahr davor. Anhand dieser Entwicklung wird deutlich, wie groß die Herausforderung und der Aufwand für Sicherheitsteams ist. Diese werden nämlich von herkömmlichen Vulnerability-Management-Tools mit langen Listen priorisierter Schwachstellen überflutet.
Eine neue Herangehensweise
Hacker-Strategien entwickeln sich ständig weiter. Sicherheitsteams, die lediglich auf Vulnerability-Management-Tools setzen, können sich nie hundertprozentig darauf verlassen, dass das zu schützende Netzwerk tatsächlich sicher ist, denn: Gängige Schwachstellenscanner können lediglich Sicherheitslücken erkennen, die dem Hersteller des Scanners bekannt sind und die in der Datenbank hinterlegt wurden. Deshalb läuft man Gefahr, neue Lücken nicht auf dem Radar zu haben. Dadurch entwickelt sich auf Dauer ein Katz-und-Maus-Spiel zwischen Sicherheitsteams und Cyberkriminellen. Auch sind die Prüfmechanismen solch eines Scanners bei der Identifizierung einer Schwachstelle eingeschränkt, da diese nicht ausgenutzt wird. Der Scanner führt nämlich keine Exploits durch, weshalb der gesamte Verlauf eines möglichen Angriffs nicht nachvollzogen werden kann.
Um die IT-Security eines Unternehmens zu komplettieren, fehlt eine wichtige Komponente sowie strategisches Umdenken. Neben einem soliden Patchmanagement und langfristigem Schwachstellenmanagement ist Automated Security Validation (ASV) mittels Pentesting die dritte Komponente für eine umfassende IT-Security. Haben Unternehmen ihre Schwachstellen schon im Griff, können komplexere Sicherheitslücken durch Pentesting ausfindig gemacht werden. Bei dieser Art des Tests kommt eine komplett andere Strategie zum Einsatz. Mit der gleichen Taktik und Technik, die ein Hacker anwenden würde, werden Sicherheitslücken eines IT-Systems, einer Geschäftsanwendung oder auch kompletter Unternehmensnetzwerke identifiziert, analysiert und letztlich auch behoben. Die von der Software durchgeführten sicheren Echtzeit-Angriffe auf eine IT-Infrastruktur zeigen exakt auf, wie sich Cyberkriminelle Zugang zu einem Netzwerk verschaffen können. Gefundene Schwachstellen werden in Prioritäten eingeteilt und es werden Vorschläge inklusive Group Policy Object-Konfiguration (GPO) mitgeliefert. Dabei nutzt die Software dieselben Schwachstellen in der Windows-Domain wie Ransomware-Varianten.
Im Anschluss an den Test wird auf Knopfdruck ein Reporting erstellt. Daraus können Unternehmen ableiten, ob das eigene Netzwerk sicher genug ist, echte bedrohliche Angriffe abzuwehren. Durch den Report können sämtliche Angriffsoperationen nachvollzogen werden. Für die Ausführung des Tests benötigt man lediglich ein Notebook – der Test kann aber auch auf einem normalem Desktop oder auf dem Server im Rechenzentrum laufen. Ein schneller Grafikprozessor im Hintergrund ist unbedingt notwendig.
Durch Automatisierung mehr Effizienz und Sicherheit
Die automatisierte Pentesting-Lösung ist im Vergleich zur manuellen Ausführung eine Neuerung und punktet aufgrund zahlreicher Vorteile. Einer davon ist im Unterschied zwischen Mensch und Maschine begründet. Denn jeder Mensch hat unterschiedlich stark ausgeprägte Fähigkeiten. Die Software liefert dagegen unabhängig von der Person konsistent Leistung – die Testqualität ist stets gleichbleibend. Ein weiterer Vorteil ist die fortwährende Versorgung der Software mit neuen Angriffen durch regelmäßige Updates. Wenn der Pentest kontinuierlich laufen gelassen wird, kann sichergestellt werden, dass das Netzwerk den neuesten komplexen Angriffen standhalten kann. Im Gegensatz dazu müsste sich der Mensch in dieser Thematik zuerst fortbilden, was Zeit- und Kostenaufwand bedeutet. Darüber hinaus kann der automatisierte Pentest jederzeit durchgeführt werden, da er den laufenden Betrieb eines Unternehmens nicht beeinträchtigt. Für die Bedienung werden keine besonderen Skills in diesem speziellen Feld benötigt. Da Pentesting-Experten eher selten zu finden sind, punktet die automatisierte Version an dieser Stelle erneut.
Dem stetigen Wandel zuvorkommen
Unternehmen müssen sich auch in Zukunft auf die Bedrohung aus dem Cyberraum vorbereiten. Besonders kleinere und mittlere Unternehmen können es sich häufig nicht leisten, das Lösegeld bei einem Ransomware-Angriff aufzubringen. Die Methoden krimineller Hacker, sich Zugang zu Unternehmensnetzwerken und deren Daten zu verschaffen, werden sich stetig wandeln und Cyberkriminelle werden weiterhin gängige Abwehrmechanismen adaptieren. Das birgt enorme Risiken. Deshalb lohnt sich langfristig die Investition in die Sicherheit der Unternehmensnetzwerke und in den Ausbau der dazu notwendigen Maßnahmen. Automatisiertes Pentesting ist gegenwärtig und auch in Zukunft die Software, die der ganzheitlichen IT-Security einen bedeutenden Baustein liefert und mit der man Cyberkriminellen stets einen Schritt voraus sein kann.
*Sebastian Brabetz ist in der Geschäftsleitung bei der mod IT Services GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.
Be the first to comment