Cyber Security Pentesting (Teil 3)
Vorsicht ist besser als Nachsicht – sagt ein Sprichwort. Das gilt besonders für die Cyber-Sicherheit. Neben dem Schwachstellen-Management ist das Pentesting eine wichtige Maßnahme, der Situation Herr zu werden.
Angriff ist die beste Verteidigung
Regelmäßiges Pentesting ist eine ideale Ergänzung zum Schwachstellen-Management. Die Kombination aus beidem schützt die technische Absicherung von Organisationen. Das Pentesting unterzieht einzelne Rechner oder Netzwerke einem umfassenden Sicherheitstest. Mittels manueller Testverfahren evaluieren die Pentester hierbei die Cyber-Security-Angriffe, nutzen die Schwachstellen jedoch nicht aus.
Ergänzend bietet Materna den deutlich umfangreicheren Red-Team Pentest an, der Schwachstellen aktiv ausnutzt. Dieser Test simuliert einen echten Hacker-Angriff und wird auch mit Hacker-Werkzeugen durchgeführt. Ein solches Vorgehen überprüft das Zusammenspiel von Detektion und Reaktion auf Angriffe sowie das Zusammenspiel von technischen und organisatorischen Maßnahmen. Zusätzlich bewerten Maßnahmen des Social Engineerings, wie z. B. Phishing, Rogue Access Points oder getarnte Telefonanrufe, wie wachsam die Mitarbeiter*innen sind. Mithilfe einer gefälschten Identität lässt sich zudem prüfen, ob Mitarbeiter*innen aufmerksam auf unbekannte Besucher im Gebäude reagieren.
Das Nachvollziehen von Infiltrationswegen und das aktive Arbeiten mit den IT-Systemen identifizieren unternehmensspezifische und unbekannte Schwachstellenarten.
Auch als harmlos eingestufte Schwachstellen können sich beim Ausnutzen als kritisch erweisen. Das Ausnutzen dieser Sicherheitslücken macht Zusammenhänge transparent, auch als sogenannte Cyber-Kill-Chain bezeichnet. Unternehmen müssen daher kreative Wege einschlagen, die das Ausnutzen von Schwachstellen verhindern, auch wenn die Schwachstelle selbst nicht ausgeschaltet werden kann. Solche „Korrekturmaßnahmen“ könnten z. B. Web Application Firewalls oder eine Reduzierung nicht genutzter Funktionen sein.
Materna empfiehlt den Red-Team Pentest daher zusätzlich zum normalen Pentest. Ein solcher Test kann auch unabhängig von anderen Maßnahmen durchgeführt werden. Unternehmen müssen wissen, dass es bei dieser Art der Überprüfung zu Ausfällen an den Systemen kommen kann. Red-Team Pentests müssen daher sorgsam geplant und durchgeführt werden. Im Überprüfungszeitraum sollte das zu überprüfende System möglichst wenig gebraucht werden und die Systemadministratoren sollten durchgehend erreichbar sein. Der Materna Pentest bewertet das Risiko für eine Organisation jeweils nach individuellem Schadenspotenzial.
Auch können technische Überprüfungen Teil von Zertifizierungen wie in der ISO 27001:2013 Maßnahme A18.2.1 sein. Diese können z. B. auch in Form von Penetrationstests geleistet werden.
Unabhängig davon, ob eine Organisation bereits zertifiziert ist oder darauf hinarbeitet, Materna steht als Berater für Einführung, Umsetzung und Einhaltung von IT-Compliance für eine Absicherung aus einer Hand zur Verfügung.
Web-Penetrationstest
Speziell für Webserver bietet Materna das Modul Web-Penetrationstest an. Die Website wird hierbei auf die OWASP Top 10 Schwachstellen überprüft. Einen Angreifer nachahmend, wird hierbei versucht, die Sicherungsmaßnahmen der Website zu umgehen. Als Bewertungsgrundlage orientiert sich Materna eng am Bundesamt für Sicherheit in der Informationstechnik (BSI). Materna bietet diesen Service bereits seit langem im eigenen IT-Service-Management als volldigitalisierten Prozess an. Web-Entwickler und Mitarbeiter in Web-Projekten „buchen“ einfach einen Schwachstellenscan oder Web-Penetrationstest für ihre Server und Applikationen.
Lesen Sie zu den Themen Awarenesse und Phishing und Schwachstellen-Management Teil 1 und Teil 2 auf den folgenden Seiten.
Über die Autoren