Fragen Sie sich, ob es sinnvoller ist, regelmäßige Pentests durchzuführen oder ob Sie doch lieber in eine Attack Path Management Lösung investieren sollten?
In unserem neuesten Expert Talk diskutieren Volker Röthel, CEO von it.sec, einem Unternehmen der Swiss IT Security Group, und Tobias Träbing, Technical Director EMEA von XM Cyber über die Vor- und Nachteile der beiden Disziplinen und ob Sie auf eine der beiden verzichten können.
Tobias Träbing: „Volker, reagiert die Pentest-Branche auf aktuelle Veränderungen in der Bedrohungslandschaft? Wenn ja, was waren die Trends in 2022?“
Volker Röthel: „Das gilt eigentlich nicht nur für aktuelle Veränderungen. Pentester müssen immer auf dem neuesten Stand sein, da ständig neue Angriffstechniken, öffentliche Schwachstellen und Forschungsergebnisse veröffentlicht werden. Und natürlich tun unsere Experten genau das – sie investieren viel Zeit, um mit den aktuellen Entwicklungen im Bereich Hacking Schritt zu halten. Ein wichtiger Faktor, der sie dabei unterstützt, ist das breite Know-how unserer Gruppe, der Swiss IT Security. Vor allem eines unserer Mitglieder, die AV-Test mit einer der weltweit größten Malware-Datenbanken, sammelt und stellt täglich riesige Mengen an Informationen über Cyberangriffe zur Verfügung. So ist garantiert, dass unsere Pentester dem Rest der Welt immer einen entscheidenden Schritt voraus sind.
Ein aktueller Trend ist, dass immer mehr Unternehmen Cloud-Anbieter wie Microsoft M365/Azure nutzen und ein sogenanntes „hybrides“ Setup für ihre Infrastruktur haben. Das macht es für diese Unternehmen besonders schwierig, mögliche Risiken zu bewerten, insbesondere wenn individuelle Konfigurationen vorgenommen werden und lokale Fileserver mit verschiedenen Cloud-Anbietern kombiniert werden. Solche Konstellationen vergrößern die Angriffsfläche erheblich.
Sehen Sie sich das komplette Pentesting-Video an:
Mit Drücken des Play-Buttons wird ein YouTube Video geladen und Sie willigen in die Übermittlung der Daten an Google ein. Es gilt die Datenschutzerklärung von Google: https://policies.google.com/privacy
Volker Röthel: „Tobi, Du beschäftigst Dich wahrscheinlich mit ganz ähnlichen Themen. Wie tragen Attack Path Management Lösungen der Tatsache Rechnung, dass sich die Bedrohungslandschaft rasant verändert? Wie stellt Ihr sicher, dass neue Angriffstechniken schnellstmöglich identifiziert werden können?“
Tobias Träbing: „Hinter unserem Produkt steht ein riesiges Team, das dafür sorgt, dass unsere Lösung ständig um neue Technologien erweitert wird. Indem dieses Team 24 Stunden am Tag, 7 Tage die Woche arbeitet, bleiben wir jederzeit auf dem Laufenden. Wenn neue Sicherheitsprobleme auftauchen, können wir deren Profil all unseren Kunden über unsere SaaS-Plattform adhoc bereitstellen, ohne jegliche Auswirkung auf den operativen Betrieb. Auf diese Weise werden sämtliche neuen Angriffstechnologien, einschließlich der wichtigsten neu auftretenden Schwachstellen, von denen man in den Nachrichten hört, sehr detailliert behandelt und wir bieten unseren Kunden operative Exzellenz.“
Tobias Träbing: „Volker, was war die ungewöhnlichste Aufgabe, mit der Dein Team jemals konfrontiert wurde?“
Volker Röthel: „Eines unserer spektakulärsten Projekte war es, physikalisch in die Räumlichkeiten eines Kunden einzubrechen, was ein ziemliches Abenteuer war. Dafür mussten wir unter anderem Ausrüstung beschaffen, die wir normalerweise nicht benötigen, wie Strickleitern und Masken, und physische Barrieren wie Sicherheitstüren sowie technologische Zugangskontrollen wie Smartcard-Lesegeräte oder Fingerabdruckscanner überwinden. Das ultimative Ziel war es, einen Server zu erreichen und physikalisch darauf zuzugreifen.
Ein solcher Test ist besonders wichtig für Unternehmen, die mit Daten zu tun haben, bei denen eine kontinuierliche Verfügbarkeit entscheidend ist.“
Volker Röthel:„Tobi, ich sehe oft, mit welch erstaunlichen Erkenntnissen unsere Pentester zurückkommen und wie diese unseren Kunden helfen, ihre Sicherheitslage zu verbessern. Wo siehst Du den Hauptunterschied zu dem, was das Attack Path Management aufdecken kann? Gibt es Erkenntnisse, die ein Pentester übersehen könnte?“
Tobias Träbing: „Wenn wir von Pentests sprechen, meinen wir damit normalerweise eine einmalige Aktivität in einem bestimmten Umfeld (z.B. eine Pentest Kampagne in einer Staging Umgebung). Vergleicht man dies mit dem Attack Path Management Ansatz, werden die Vorteile und der Mehrwert einer kontinuierlichen Angriffspfadanalyse deutlich:
- Das Attack Path Management liefert eine vollständige Abdeckung der gesamten produktiven Umgebung, 24 Stunden am Tag, 7 Tage die Woche, ohne dass es zu irgendwelchen Ausfallzeiten kommt.
- Dies ermöglicht einen kontinuierlichen Einblick in alle sicherheitsrelevanten Aspekte, inklusive sämtlicher Veränderungen der IT Landschaft sowie riskanter Benutzeraktivitäten.
- Selbst der kleinste Hinweis (z. B. ein Hash für Anmeldeinformationen), der auf nur einem Computer zwischengespeichert wird, kann eine Umgebung gefährden – das Attack Path Management deckt solche Schwachstellen auf.“
Tobias Träbing:„Volker, wenn wir es nun umgekehrt betrachten – welche Schwachstellen können denn nur von Pentestern aufgedeckt werden und bleiben im Attack Path Management möglicherweise unentdeckt?“
Volker Röthel: „Pentester sind gut darin, über den Tellerrand zu schauen und ungewöhnliche Zusammenhänge zu finden. Eine der größen Stärken von Pentests ist die kreative Erforschung der zu analysierenden Umgebung und die persönliche Expertise des Pentesters. Pentester sind damit in der Lage, Verbindungen aufdecken, die eine Maschine nicht finden wird, weil sie bisher unbekannt war.
Ein ähnliches Thema in diesem Zusammenhang ist der „menschliche Faktor“. Das Attack Path Management kümmert sich bei weitem nicht so detailliert um menschliche Fehler oder unvorsichtiges Nutzerverhalten wie es ein Pentester kann und wird. Social-Engineering-Angriffe wie Phishing sind im Attack Path Management nicht vorgesehen.“
Darüber hinaus steht beim Attack Path Management die Analyse von Angriffspfaden in Anwendungen wie Web- oder mobilen Anwendungen in der Regel nicht im Vordergrund. Zumindest komplexere Schwachstellen in diesem Kontext werden daher nicht erkannt.
Ein letzter entscheidender Unterschied ist die Tatsache, dass bei Pentests tatsächliche Angriffe auf die Produktivsysteme durchgeführt werden – natürlich auf kontrollierte Art und Weise –, während die Attack Path Management Plattform keine Simulationen auf den Systemen selbst durchführt. Daher kann bei Penetrationstests auch die Sichtbarkeit der durchgeführten Angriffe innerhalb von Monitoring-/SIEM-Lösungen überprüft werden.
Tobias Träbing: „Volker, wie geht es in einem typischen Kundenszenario nach den Penetrationstests weiter? Was tun Unternehmen, um ihre Risiken zu mindern?“
Volker Röthel: „Nach einem Penetrationstest erhält der Kunde einen detaillierten Ergebnisbericht mit Empfehlungen, wie jede identifizierte Schwachstelle behoben oder gemindert werden kann. Die Empfehlungen variieren je nach Befund – manchmal ist es nur eine kleine Änderung in einer Konfiguration, manchmal müssen Entwickler Code anpassen und manchmal betrifft ein Fix die gesamte Infrastruktur, so dass z. B. neue Hardware benötigt wird, um das Problem zu lösen.
Für jeden Befund stellen wir einen technischen Schwachstellen-Score unter Verwendung des CVSS-Standards zur Verfügung. Kunden müssen die Erkenntnisse dann im Kontext ihres Unternehmens für sich selbst bewerten und priorisieren. Wenn keine technische Lösung möglich ist, können Manager beschließen, das Risiko einer Schwachstelle zu akzeptieren.
Das Pentesting-Team steht außerdem zur Verfügung, um die Ergebnisse zu präsentieren und beantwortet gerne Fragen zum Bericht. Wenn tiefergehende Hilfe benötigt wird, bietet die Swiss IT Security Group unterschiedliche weitergehende Services an.
In gewisser Weise ähnelt der Ansatz zur Minderung oder Akzeptanz von Risiken dem, was beim Attack Path Management auch gemacht wird. Schon allein aus diesem Grund passen die beiden Disziplinen so gut zusammen.“
Volker Röthel: „Tobi, ist Timing ein entscheidender Faktor, wenn es darum geht, Angriffspfade zu identifizieren und die Bedrohungslage zu analysieren? Wenn ja, wie trägt die kontinuierliche Analyse des Attack Path Managements dazu bei, Bedrohungen aufzudecken, die durch einmalige Penetrationstests möglicherweise unentdeckt bleiben?“
Tobias Träbing: Das Timing ist entscheidend, um Angriffspfade und Gefährdungen in Unternehmen zu verstehen. Unternehmen und verantwortliche Stakeholder verwenden häufig „Ad-hoc“-Prozesse oder in Bezug auf den Faktor Zeit ineffiziente Methoden zur Bewertung der Infrastruktur (z.B. Schwachstellenscans, Penetrationstests usw.). Diese Analysen liefern eine Momentaufnahme eines bestimmten Zeitfensters oder sogar nur einer bestimmten Umgebung – und werden dem Unternehmen somit nicht helfen, ihre sich ständig verändernde IT-Landschaft in den Griff zu bekommen. Wir sehen aktuell, dass immer mehr Cloud-/IaaS-Anbieter eingesetzt werden, die es Unternehmen ermöglichen, Änderungen im Betrieb noch schneller als zuvor umzusetzen – diese Dynamik erhöht aber auch das Risiko, Schwachstellen und Sicherheitsprobleme zu übersehen.
Da die Analysen des Attack Path Managements kontinuierlich 24×7 laufen, verrät die Plattform den Unternehmen zu jedem beliebigen Zeitpunkt
- welche Gefahrenpotenziale es gibt und
- wie diese durch Änderungen der Umgebung beeinflusst werden.
Attack Path Management Services helfen daher,
- schnell und einfach die Auswirkungen neuer Sicherheitslücken (z. B. Log4j) zu verstehen,
- das Cyberrisiko zu messen und zu quantifizieren, um anderen Stakeholdern einen sofortigen Überblick zu geben und
- zu verstehen, was getan werden kann, um Gefahrenpotenziale schnell und effizient zu beseitigen.
Volker Röthel:„Tobi, offensichtlich macht es keinen Sinn, tägliche oder wöchentliche Penetrationstests zu machen, weil sie in den Produktivsystemen „Unruhe“ erzeugen. Sie werden gezielt in produktiven Umgebungen durchgeführt und erfordern daher viel Vorbereitung und haben mögliche Nebenwirkungen. Wenn ich es richtig verstehe, verfolgt XM Cyber in dieser Hinsicht einen anderen Ansatz. Welche Vorteile bietet eine sichere und kontinuierliche Attack Path Analyse, bei der keine aktiven Exploits verwendet werden?„
Tobias Träbing: „Eine sichere und kontinuierliche Attack Path Analyse ohne aktive Exploits oder Schadcode hat mehrere entscheidende Vorteile:
- Erstens werden dadurch keine Störungen/Fehlalarme erzeugt. Die Sicherheits-Teams sind in der Regel schon mehr als beschäftigt – warum sollte man sie mit weiteren Warnungen aus Testläufen überhäufen?
- Darüber hinaus kann man in der Regel keine aktiven Exploits in Produktivumgebungen ausführen, da man damit Ausfallzeiten oder eine Verschlechterung der Service-Qualität für die Endanwender von geschäftsrelevanten Anwendungen riskieren würde.
Man muss aber gleichzeitig in der Lage sein zu verstehen, die betreffenden geschäftsrelevanten Anwendungen ausreichend gesichert sind, und man muss dies kontinuierlich bewerten können. Daher ist die sichere und kontinuierliche Attack Path Analyse entscheidend, um genau dieses Ziel zu erreichen.“
Volker Röthel: „Tobi, warum ist 1 +1 eigentlich mehr als 2, wenn man Pentesting mit Attack Path Management kombiniert?“
Tobias Träbing: „Man bekommt das Beste aus beiden Welten, wenn man Attack Path Management mit Pentesting kombiniert. Auf der einen Seite erlangt man vollständige Kontrolle über die gesamte Umgebung, mit kontinuierlicher Simulation aller Angriffspfade auf sämtliche kritischen Assets. Auf der anderen Seite entlastet man wertvolle Ressourcen (d.h. das Pentesting Team) von Aufgaben, die leicht automatisiert werden können.
Dadurch können die Pentester sich mit den Bereichen befassen, die ihr fundiertes Wissen und ihre Expertise erfordern.
Und da Du Deine Frage mit einer Gleichung begonnen hast, will ich selbst auch noch ein paar Zahlen hinzufügen. Unternehmen haben in der Regel 11.000 Sicherheitsrisiken, die von Angreifern ausgenutzt können, aber nur 2 % dieser Risiken liegen an sogenannten Choke Points, die zu kritischen Assets führen. Das Attack Path Management kann genau diese 2 % herausgreifen, und nach der Behebung können Penetrationstests bestätigen, dass die Türen an diesen Stellen fest verschlossen sind.“
Tobias Träbing: „Volker, wie lassen sich Penetrationstests, Attack Path Management und damit verbundene Services in eine umfassende Sicherheitsarchitektur integrieren?“
Volker Röthel: „Penetrationstests sind ein probates Mittel, um das Sicherheitsniveau einer bestimmten Komponente gründlich zu evaluieren. Insbesondere bei Anwendungen können Penetrationstests bereits während der Entwicklung durchgeführt werden, so dass potenzielle Schwachstellen frühzeitig erkannt und Designentscheidungen entsprechend angepasst werden können.
Die kontinuierliche Attack Path Analyse hingegen zeichnet sich durch einen hohen Grad an Automatisierung von Aufgaben aus, die ansonsten mühsam und fehleranfällig manuell durchgeführt werden müssten. Dazu gehört unter anderem das Auffinden von nicht gepatchter Software und das Überprüfen von Konfigurationen. Da die Plattform permanent läuft, bietet sie auch einen permanenten Überblick über mögliche Veränderungen im Netzwerk.
Wenn man den kontinuierlichen Einsatz von Attack Path Management mit regelmäßigen Penetrationstests kombiniert, profitiert man damit von dem Besten aus beiden Welten. Im nächsten Schritt sollte man die beiden Disziplinen dann in eine umfassende Sicherheitsarchitektur integrieren, eine Verbindung zum SOC/SOAR herstellen und damit die Sicherheitslage sukzessive und kontinuierlich verbessern.
Unsere Attack Path Management Services entlasten unsere Kunden dabei noch mehr, indem wir ihnen den Aufwand für die kontinuierliche Attack Path Analyse abnehmen.“
Tobi Träbing: „Nun, Volker, was ist Dein Fazit? Was erzählst Du Deinen Kunden jetzt?“
Volker Röthel: Die interessantesten Erkenntnisse aus meiner Sicht sind:
- Durch Kombination von Penetrationstests und Attack Path Management können Unternehmen ihre mögliche Angriffsfläche drastisch reduzieren. Beide Disziplinen sollten daher Teil einer allgemeinen Sicherheitsstrategie sein.
- Penetrationstests erweisen sich als besonders geeignet, wenn es darum geht, „über den Tellerrand hinauszuschauen“ und unerwartete Angriffsflächen zu finden und sind ideal für die eingehende Analyse bestimmter Bereiche
- Attack Path Management Services sind andererseits optimal für die kontinuierliche Kontrolle und nachhaltige Verbesserung der gesamten Sicherheitslage
- Für mich sind die schieren Zahlen ziemlich beeindruckend – 11.000 Sicherheitsrisiken in einer durchschnittlichen Umgebung, aber nur 2% an Choke Points, die zu kritischen Ressourcen führen. Dies allein reicht aus, um den Wert der Attack Path Analyse in Kombination mit Penetrationstests an den richtigen Stellen aufzuzeigen
- Mein ultimatives Fazit ist, dass sich die beiden Disziplinen perfekt ergänzen
Fazit
Hat dieser Expert Talk Ihr Interesse geweckt? Wenden Sie sich mit Ihren Fragen gerne an Volker und Tobi und werfen Sie einen Blick auf unsere Datenblätter, um mehr über unsere Attack Path Management Services zu erfahren.
