Schwachstellen aufdecken wie ein Hacker

Die Entwicklungen im Bereich IT und Cybercrime sind besorgniserregend. Steigende Cyberattacken und der Fachkräftemangel stellen dabei ein ernsthaftes Problem dar. Neben gängigen Sicherheitsmaßnahmen ist der Einsatz automatisierter Pentests deshalb sinnvoll, um die wirklich kritischen Risiken aufzudecken. [...]

Foto: Tumisu/Pixabay

Die Ereignisse der vergangenen Jahre haben wie ein Beschleuniger sowohl im Bereich der IT als auch im Hinblick auf Cyberkriminalität gewirkt. Faktoren wie die Corona-Pandemie und der damit verbundene Anstieg des hybriden Arbeitens, die zunehmende Digitalisierung der Arbeitswelt sowie der Fachkräftemangel im Bereich der IT haben die Lage weiter zugespitzt.

Zu den bedrohlichsten Risiken zählen zurzeit Malware,  Phishing und Ransomware. Der Wirtschaft entstehen dadurch enorm hohe Schäden und es sind sämtliche Branchen und Unternehmen jeglicher Größe betroffen. Zu den Ursachen zählen in den meisten Fällen Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage.

Problematisch ist die Tatsache, dass Hacker immer professioneller vorgehen und sich verstärkt in Gruppen organisieren. Der Druck auf IT-Fachkräfte und IT-Abteilungen ist dementsprechend hoch.

Gleichzeitig nimmt die Anzahl an auftretenden Sicherheitslücken stetig zu. Tagtäglich müssen IT-Administratoren lange Listen priorisierter Schwachstellen überprüfen und abarbeiten, mit denen sie von Vulnerability-Management-Tools auf Trab gehalten werden. Oftmals fehlen die nötigen Kapazitäten, um mit diesem Workload Schritt zu halten.

Wenn Zeit und Kapazitäten Mangelware sind, bietet Automatisierung die nötige Abhilfe. Durch automatisierte Pentesting-Lösungen erhalten IT-Administratoren die Möglichkeit herauszufinden, welche Schwachstellen ein tatsächlich hohes Risiko für das zu schützende Netzwerk darstellen. 

Die richtige Security-Strategie

Hacker-Strategien entwickeln sich ständig weiter. Sicherheitsteams, die lediglich auf Vulnerability-Management-Tools setzen, können sich nie hundertprozentig darauf verlassen, dass das zu schützende Netzwerk tatsächlich sicher ist, denn: Gängige Schwachstellenscanner können lediglich Sicherheitslücken erkennen, die dem Hersteller des Scanners bekannt sind und die in der Datenbank hinterlegt wurden.

Deshalb läuft man Gefahr, neue Lücken nicht auf dem Radar zu haben. Dadurch entwickelt sich auf Dauer ein Katz-und-Maus-Spiel zwischen Sicherheitsteams und Cyberkriminellen. Auch sind die Prüfmechanismen solch eines Scanners bei der Identifizierung einer Schwachstelle eingeschränkt, da diese nicht ausgenutzt wird.

Der Scanner führt nämlich keine Exploits durch, weshalb der gesamte Verlauf eines möglichen Angriffs nicht nachvollzogen werden kann. 

Um die IT-Security eines Unternehmens zu komplettieren, fehlt eine wichtige Komponente sowie strategisches Umdenken. Neben einem soliden Patchmanagement und langfristigem Schwachstellenmanagement ist Automated Security Validation (ASV) mittels Pentesting die dritte Komponente für eine umfassende IT-Security.

Haben Unternehmen ihre Schwachstellen schon im Griff, können komplexere Sicherheitslücken durch Pentesting ausfindig gemacht werden. Bei dieser Art des Tests kommt eine komplett andere Strategie zum Einsatz.

Mit der gleichen Taktik und Technik, die ein Hacker anwenden würde, werden Sicherheitslücken eines IT-Systems, einer Geschäftsanwendung oder auch kompletter Unternehmensnetzwerke identifiziert, analysiert und letztlich auch behoben. Die von der Software durchgeführten sicheren Echtzeit-Angriffe auf eine IT-Infrastruktur zeigen exakt auf, wie sich Cyberkriminelle Zugang zu einem Netzwerk verschaffen können.

Gefundene Schwachstellen werden in Prioritäten eingeteilt und es werden Lösungsvorschläge inklusive Group Policy Object-Konfiguration (GPO) mitgeliefert. Dabei nutzt die Software unter anderem dieselben Schwachstellen in Windows-Domänen wie Ransomware-Varianten.

Im Anschluss an den Test wird auf Knopfdruck ein Reporting erstellt. Daraus können Unternehmen ableiten, ob das eigene Netzwerk sicher genug ist, echte bedrohliche Angriffe abzuwehren. Durch den Report können sämtliche Angriffsoperationen nachvollzogen werden.

Für die Ausführung des Tests benötigt man lediglich ein Notebook – der Test kann aber auch auf einem normalem Desktop oder auf dem Server im Rechenzentrum laufen. Ein schneller Grafikprozessor im Hintergrund ist unbedingt notwendig. 

Mehr Effizienz und Sicherheit durch Automatisierung

Die automatisierte Pentesting-Lösung ist im Vergleich zur manuellen Ausführung eine Neuerung und punktet aufgrund zahlreicher Vorteile. Einer davon ist im Unterschied zwischen Mensch und Maschine begründet.

Denn jeder Mensch hat unterschiedlich stark ausgeprägte Fähigkeiten. Die Software liefert dagegen unabhängig von der Person konsistent Leistung – die Testqualität ist stets gleichbleibend. Ein weiterer Vorteil ist die fortwährende Versorgung der Software mit neuen Angriffen durch regelmäßige Updates.

Wenn der Pentest kontinuierlich laufen gelassen wird, kann sichergestellt werden, dass das Netzwerk den neuesten komplexen Angriffen standhalten kann. Im Gegensatz dazu müsste sich der Mensch in dieser Thematik zuerst fortbilden, was Zeit- und Kostenaufwand bedeutet.

Darüber hinaus kann der automatisierte Pentest jederzeit durchgeführt werden, da er den laufenden Betrieb eines Unternehmens nicht beeinträchtigt. Für die Bedienung werden keine besonderen Skills in diesem speziellen Feld benötigt. Da Pentesting-Experten eher selten zu finden sind, punktet die automatisierte Version an dieser Stelle erneut. 

Den Hackern einen Schritt voraus sein

Unternehmen müssen sich auch in Zukunft auf die Bedrohung aus dem Cyberraum vorbereiten. Besonders kleinere und mittlere Unternehmen können es sich häufig nicht leisten, das Lösegeld bei einem Ransomware-Angriff aufzubringen.

Die Methoden krimineller Hacker, sich Zugang zu Unternehmensnetzwerken und deren Daten zu verschaffen, werden sich stetig wandeln und Cyberkriminelle werden weiterhin gängige Abwehrmechanismen adaptieren.

Das birgt enorme Risiken. Deshalb lohnt sich langfristig die Investition in die Sicherheit der Unternehmensnetzwerke und in den Ausbau der dazu notwendigen Maßnahmen. Automatisiertes Pentesting ist gegenwärtig und auch in Zukunft die Software, die der ganzheitlichen IT-Security einen bedeutenden Baustein liefert und mit der man Cyberkriminellen stets einen Schritt voraus sein kann. 

*Sebastian Brabetz ist in der Geschäftsleitung bei der mod IT Services GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.

powered by www.it-daily.net


Mehr Artikel

News

Mehr als Storage: Warum modernes Digital Asset Management unverzichtbar ist

Im Vergleich zu älteren Systemen für Digital Asset Management (DAM), die als reine Content-Repositorien konzipiert waren, automatisieren und optimieren moderne DAM-Systeme jede Phase des Lebenszyklus visueller Inhalte. Es hat sich gezeigt, dass sie die Produktivität erheblich steigern, die Kosten für Speicherung und Bereitstellung senken und die Kundenerfahrung verbessern. […]

DORA schreibt vor, dass alle betroffenen Unternehmen ihre Resilienzpläne an die heutige Bedrohungslandschaft anpassen. (c) Pexels
News

Was Sie über DORA wissen sollten

Das Finanzwesen befindet sich in einem raschen technologischen Wandel, der sowohl beispiellose Chancen als auch Risiken mit sich bringt. Als Reaktion darauf hat die Europäische Union im Januar 2023 im Rahmen ihres Digital Finance Package den Digital Operational Resilience Act (DORA) eingeführt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*