Leitfaden für moderne Penetrationstests.Teil 1: Zwei Extreme
Leitfaden für moderne Penetrationstests [Teil 1]: Zwei Extreme - Banner
Zurück

Leitfaden für moderne Penetrationstests [Teil 1]: Zwei Extreme

Bereit oder nicht, hier komme ich, du kannst dich nicht verstecken – Unbekannter Penetrationstester
In den letzten Jahren haben Penetrationstests als Dienstleistung einen recht guten Platz auf dem Markt für Informationssicherheit erlangt. Trotz einiger kleinerer Probleme in diesem Bereich der Risikoanalyse, die mit spezifischen Aspekten der Terminologie, Methodik, Technologie, des Marketings und Managements verbunden sind, werden Pentests im Allgemeinen als eine der wichtigsten Cybersicherheitsmaßnahmen angesehen, die für einen angemessenen Schutz vor Cyberattacken erforderlich sind.

Infopulse startet eine Artikelreihe über Cybersicherheit, die der Kunst und der Wissenschaft der Penetrationstests widmet.

Im ersten Teil unseres Blogbeitrags werden wir die Durchführbarkeit sowohl bestehender Pentest-Standards als auch innovativer Ansätze aufzeigen. Wir werden außerdem die Wichtigkeit der Vorbereitungen auf Penetrationstests, einschließlich der Entwicklung von Pentest-Designspezifikationen (Rules of Engagement), unterstreichen.

Haftungsausschluss. Geschichten und Beispiele, die in dem folgenden Artikel vorgestellt werden, stellen praktische Aspekte der Anwendung verschiedener Arten von Penetrationstests aus eigenen Erfahrungen und Best Practices von Infopulse dar.

Die Grundunsicherheit bei Penetrationstests

Das Informationssicherheitsmanagement auf Projekt- und Prozessbasis unterscheidet sich von den anderen Bereichen des IT-Ingenieurwesens und -Managements. Die wesentlichen Unterschiede bestehen in der Notwendigkeit folgender Maßnahmen:

  • Bewertung und Verarbeitung von abstrakten unbestimmte Werten, z. B. Werten, die sich auf mögliche zukünftige Ereignisse oder Sicherheitsrisiken beziehen;
  • Formalisierung dieser Ungewissheiten und Umgang damit bei der Entscheidungsfindung;
  • Aufbau eines hohen Maßes an Glaubwürdigkeit für einen Kunden, intensives Lernen und Informieren des Kunden.

Penetrationstests sind keine Ausnahme aus dieser Regel.

Pentest als Dienstleistung ist eine Forschungsaktivität mit vornherein unbekannten Ergebnissen. Somit birgt sie viele Unbekannte und Herausforderungen. Zunächst sollte man die Ziele und Aufgaben korrekt festlegen. Dann muss man den Grad beim Erreichen dieser Ziele sowie die Qualität des Erreichens bewerten. Die letzte und die schwierigste Aufgabe wäre, die Komplexität der Arbeit zu prognostizieren, d. h. vorauszusehen, ob es arbeitsintensiv wird, und folglich das endgültige Budget festzulegen.

Mit anderen Worten, es ist sehr schwierig vorwegzunehmen, wie ein Penetrationstest ablaufen wird, welche Zielobjekttests durchgeführt werden, wie komplex und zeitaufwendig sie sein werden und welche Ergebnisse erzielt werden.

Eine gängige Praxis unter freiberuflichen Pentestexperten ist die Berechnung ihrer Sätze ausgehend von der Größe und dem Budget des Kunden sowie anderen irrelevanten Annahmen anstelle von dem erwarteten Mehrwert der Pentest-Ergebnisse. Große IT-Dienstleistungsunternehmen haben dagegen flexible Vertragsbedingungen, z. B. SLA, Festpreis, Zeit-und-Material und andere Modelle, die in Bezug auf Budget und Endergebnisse viel genauer und präziser sind.

Das Geheimnis liegt in der Messung der Arbeitsintensität. Wie bei jeder anderen Dienstleistung sollte eine Schätzung für den Penetrationstest im Voraus erfolgen, vor allem, um die Bedingungen mit dem Kunden koordinieren und ein Budget dafür ermitteln zu können.

Das Unschätzbare schätzen

Es gibt verschiedene Methoden für die Schätzung des Pentest-Arbeitsaufwandes. In den meisten Fällen dominiert die vorherige Serviceerfahrung alle anderen Schätzungen.

Darin liegt auch der größte Fehler. Die Erfahrung kann von einem Anbieter zum anderen und von einem Projekt zum anderen variieren.
Wir wollen keinen Universalitätsanspruch bei der Beschreibung der Schätzmethoden in diesem Artikel erheben. Stattdessen werden wir zwei polare Überlegungen hervorheben und aufzeigen, die häufig in der Pentest-Serviceplanung verwendet werden: Checklisten und Red Teaming. Wir gehen dabei von der Möglichkeit aus, zwei ideale Extremfälle, d. h. zwei entgegengesetzte Ansätze bei der Planung eines Projekts für Penetrationstests identifizieren zu können.

Lasst uns nun ein Pentest-Spiel in Begleitung von Methoden der mathematischen Analyse spielen.

Pentests: Schach, aber kein Matt

Checklisten bemessen die Vorausplanung des Arbeitsumfangs und schränken die Freiheit und Kreativität eines Penetrationstesters ein. Letzteres kann ein Nachteil sein oder auch nicht, schließlich geht es in den Checklisten darum, den Penetrationstest als eine vordefinierte Testreihe zu planen, wie es im OWASP-Test-Guide oder beim EC-Council steht.

Einige Kunden wählen diesen Ansatz, weil er einfach und unkompliziert ist. Bei diesem Ansatz ist das Erstellen von Berichten zur Sicherheitsbewertung recht simpel. Nach der Durchführung einer bestimmten Reihe von Tests erhält der Kunde einen Nachweis über den Erfolg oder Misserfolg des Penetrationsversuchs. Auf diese Weise kann man leicht die Basis für den Projektbericht festlegen, was auch eine relative Einfachheit bei der Bestimmung der Arbeitsintensität und somit bei der Berechnung der Projektkosten mit sich bringt.

Das Kernproblem besteht hier darin, dass Pentests immer zeitlich eingeschränkt sind, was Penetrationstester dazu verführt (und zwingt), ein negatives Ergebnis für einen schwierigen Testvektor zu verzeichnen. Diese Versuchung wird besonders dann dramatisch größer, wenn die Vergütung nicht von einem gelungenen Einbruch abhängt.

Mögliche Nachteile: Am Ende können die Ergebnisse in der Checkliste von der Realität sehr weit entfernt sein. Die größte Schwierigkeit ist, dass ein Pentest definitionsgemäß eine Imitation der Handlungen von Cyberkriminellen ist. Bei einem eingeschränkten Zeitrahmen sollte der Cybersicherheitsexperte nicht alle Tests einzeln durchlaufen. Stattdessen ist er gezwungen, nur die Bereiche zu testen, die am ehesten zu einem markanten, klaren Ergebnis, sprich: einem Einbruch, führen werden. Die Auswahl dieser Zielbereiche hängt hauptsächlich von der Erfahrung des betreffenden Spezialisten ab.

Fazit: Reale Penetrationstests sind eher eine Kunst und keine Technologie.

Jetzt kommen wir langsam zum zweiten Ansatz.

Red Teaming: Erobere den Fehler

Der Red-Teaming-Ansatz ist kein bloßer Fernangriff auf das Netzwerk mit Hilfe von Zero-Day-Exploits, die auf den Schwarzmärkten des Darknets frei verkauft und gekauft werden. Als der realistischste Modus des Penetrationstests bedeutet der Red-Teaming-Ansatz die kreative Freiheit der Pentester, gepaart mit hoher Motivation und ihrem guten Ruf.

Red Teaming kombiniert digitale Methoden und Mittel mit allen anderen, die im wirklichen Leben verwendet werden: Bestechung des Personals, physischer Einbruch ins Büro des Kunden (durch ein Beschäftigungsverhältnis) und sogar physische, biochemische oder psychologische Methoden zur Beeinflussung des Unternehmenspersonals usw.

Der Red-Teaming-Ansatz folgt den Tendenzen auf dem echten Hackermarkt. Bei der High-Level-Cyberkriminalität, Industriespionage und in den staatlichen Geheimdiensten bestehen ähnliche Ansätze, einschließlich der Vorbereitungen auf fortgeschrittene, andauernde Bedrohung (APT-Attacke).

Die extremste Manifestation dieses Ansatzes ist eine “Guaranteed Penetration”, die dem wirklichen Angriff eines Hackers ähnelt. Der Hauptunterschied liegt nur im Preis und in der Höhe des Schadens.

Während der Verhandlungen mit dem Kunden und vor dem Abschluss des Vertrages würde ein Penetrationstester den Vermögenswert des Kunden schätzen (z. B. 1 bis 10 Mio. USD). Daraufhin würde er den bestehenden Schutz auf eigene Kosten analysieren und einen Anteil (z. B. 5-10% des Vermögenswerts) in Rechnung stellen. Unter diesen Bedingungen würde der Pentester die Möglichkeiten aufzeigen, diesen Vermögenswert zu kompromittieren oder zu stehlen, und somit ein garantiertes Aufbrechen der Cyber-Abwehrmechanismen des Kunden gewährleisten. Ein Kompromiss oder Diebstahl könnte auch simuliert werden, um das Penetrationsmodell zu verifizieren. Dennoch ist es viel besser, die Fehler in der Verteidigung noch vor den echten Hackern zu entdecken.

Mögliche Nachteile: Red Teaming und “Garantierte Penetration” bringen eine Reihe von Problemen mit sich, die mit dem Vertrauen in den Pentester und einer hohen Wahrscheinlichkeit von Datenschutzhürden oder psychologischen Problemen verbunden sind. Der normale Betrieb einer Organisation kann während eines Penetrationstests gestört werden. Deswegen wird Red Teaming seltener verwendet als normale Pentests, und eine “Garantierte Penetration” in ihrer reinen Form findet äußerst selten statt.

Fazit: Reale Penetrationstests sind eher eine Spiel- und Investitionstätigkeit und kein Festpreis-Service.. Es ist wichtig, daran zu denken, dass echte Hacker eine gewisse Menge an Aufwand, Ressourcen und Zeit in die Vorbereitung des Angriffs investieren und viel mehr aus dieser “Investition” machen können. Wenn ein Penetrationstester versteht, dass er das Risiko des Nicht-Durchdringens eingehen könnte, bietet er ein Preismodell basierend auf den möglichen Penetrationsergebnissen an, z. B. sieht optional einen Bonus für einen erfolgreichen Einbruch vor. In einigen Fällen wird nur eine erfolgreiche Penetration als ein tatsächlich zu bezahlendes Ergebnis angesehen. Bei Red-Teaming-Tests bleiben der Preis und die Ergebnisse unter Kontrolle des Auftraggebers.

Red Teaming vs. Checklisten: Was soll man wählen?

Die Antwort ist einfach und lautet – “Nimm zwei“! Die tatsächliche Praxis bei den Penetrationstests sahnt die Vorteile sowohl von Checklisten als auch von Red Teaming ab. Bevor die Tests beginnen, sollten alle möglichen Bedrohungen, Angriffsvektoren und Methoden so detailliert wie möglich beschrieben werden. Es muss nicht unbedingt eine Prüfliste sein, sondern eher eine Auflistung der Komponenten- oder Bedrohungsprioritäten. So gewinnen die Pentester ihre kreativen Freiräume bei ihren Handlungen sowie die Fähigkeit, Erfahrungen aus der Vergangenheit zu nutzen und die Argumentation von Cyberkriminellen unter strikten Timing-Bedingungen zu modellieren.

Was einige spezielle gefährliche Tests beim Red Teaming betrifft, so ist es extrem wichtig, rote Linien zu definieren, damit der Kunde am Ende keinen wirklichen Schaden erleidet.

Im nächsten Teil unserer Artikelreihe werden wir über die Wichtigkeit der “Farbe” bei Penetrationstests diskutieren – Spaß beiseite! Wir wollen uns außerdem anschauen, wie Pentests im wirklichen Leben geplant werden.

Weitere Artikel

Wir haben eine Lösung für Ihre Anforderungen. Senden Sie uns einfach eine Nachricht, und unsere Experten werden sich so schnell wie möglich mit Ihnen in Verbindung setzen.

Vielen Dank!

Wir haben Ihre Anfrage erhalten und werden Sie in Kürze kontaktieren.