Leitfaden für moderne Penetrationstests [Teil 3]: Routine oder Kunst?
Um die Artikelserie über Penetrationstests abzuschließen, werden wir überlegen, was für erfolgreiche Penetrationstests wichtiger ist: ein routinemäßiger Schritt-für-Schritt-Ansatz, wie er in einem Handbuch beschrieben wird, oder eine Improvisation anhand der eigenen Gefühle und vorhandenen Erfahrungen.
Ein Standard für die Kunst
Obwohl ein Pentest manchmal eine Art chaotischer Spielplatz sein könnte, sollte die Dokumentation immer in Ordnung sein. Eine der komplexesten Herausforderungen für einen Pentester ist eine effektive Beschreibung seiner Arbeitsergebnisse für einen Kunden. Dies ist der Moment, in dem “pure Kunst” standardisiert wird.
Die Cyber Kill Chain von Lockheed Martin wird häufig verwendet, um die Zusammenhänge zwischen verschiedenen Erkenntnissen und Sicherheitslücken aufzuzeigen sowie die Vorgehensweise zu verstehen, wie diese von einem Angreifer kombiniert werden können, damit er uneingeschränkten Zugriff auf das Zielobjekt und ein lokales Netzwerk des Endkunden erhält. Dieses Modell gibt auch Aufschluss darüber, welchen Schaden der Kunde im Falle eines erfolgreichen Angriffs erleiden könnte.
Vulnerability Scanner liefern beispielsweise einige grundlegende Informationen über den möglichen Angriff. Die Ausnutzung der Sicherheitslücken ermöglicht den vollständigen Zugriff auf Zielobjektteile. Nachfolgende Post-Exploitation und Privilegien-Eskalation werden beschrieben, um dem Kunden zu zeigen, wie weit die Angreifer gehen können, wie lange sie unentdeckt bleiben können und welche Schäden verursacht werden können.
Unglücklicherweise (oder glücklicherweise) sind “auffällige” Ergebnisse bei Pentests nicht so verbreitet, natürlich nicht ohne Grund. Aber was ist, wenn wir die Kreativität abschalten und nur die Standards einhalten? Finden wir es heraus.
Es gehören immer zwei dazu
Wenn dieser Weg nicht die gewünschten „auffälligen“ Ergebnisse verspricht, kann der Experte seine Forschungsabsicht ändern: Statt nach einem Schlupfloch suchen, wird er sich auf den Nachweis der Sicherheit des Zielobjekts konzentrieren, vor allem, wenn der „Checklisten“-Ansatz bei diesem Projekt vorherrscht. Eine solche Änderung der Intention während des Tests kann dazu führen, dass die Ergebnisse zu sehr von der Realität abweichen.
Auf den ersten Blick mögen beide Forschungsvorhaben gleich aussehen. Jedes erfordert jedoch eine andere Argumentation und zwingt Pentester zur Änderung ihrer Einstellung. Zum Beispiel, könnte der Experte statt der Schwachstellensuche mehr Aufmerksamkeit der Dokumentation des Beweismaterials für einen ordnungsgemäßen Umgang mit den Sicherheitsfunktionen eines Zielobjekts oder der Erstellung einer Liste von Prioritäten und Zielen für die nächste Pentest-Sitzung mit diesem Zielobjekt schenken. Obwohl eine ordentliche Dokumentation immer von Vorteil ist, werden echte Hacker sie nicht führen. Sie werden improvisieren – und zwar auf eine organisierte Art und Weise.
Aufgrund eines großen Unterschieds zwischen diesen beiden Forschungsrichtungen und folglich den Methoden und Herangehensweisen erfordern fundierte Penetrationstests die Teilnahme von mindestens zwei oder mehr Spezialisten.
Der erste Experte oder die erste Gruppe von Experten wird improvisieren, um die effektivsten Wege zur Umsetzung des Kill-Chain-Modells zu finden. In der Zwischenzeit werden sich die anderen mit der Routine-Projektarbeit beschäftigen: Sammeln von Risikonachweisen, Dokumentation der Ergebnisse und Auflistung von Angriffsvektoren für die zukünftigen Pentest-Projekte bei diesem Zielobjekt. Diese Arbeitsteilung in “routinemäßige” und “künstlerische” Aufgaben ermöglicht maximale Effektivität und professionelle Verbesserung von Spezialisten als Künstler auf ihrem Gebiet.
Organisiertes Chaos + organisierte Ordnung
Die Sicherheit der Kunden hängt von vielen Aspekten ab, wie zum Beispiel der Organisation von Penetrationstests, ihrer langfristigen Planung, dem jahrelangen Management der Risiken, der Integration der Ergebnisse verschiedener Jahre, der Verwendung früherer Ergebnisse und der Planung zukünftiger Einbrüche. Bei Infopulse überwachen wir jahrelang die Risiken bei den Zielobjekten der Kunden und betrachten die Penetrationstests nicht als einmalige Maßnahmen, sondern als einen der Prozesse im Sicherheitsmanagement.
Zur Verwaltung der Sicherheitsaspekte und Risiken, die bestimmten Sicherheitslücken
Unsere Erfahrung bei Infopulse zeigt, dass es besser ist, die oben genannten Frameworks zu verwenden und sowohl unsere eigenen Entwicklungen als auch die unserer Kunden dadurch zu ergänzen, sodass wir die Anforderungen der Kunden erfüllen und ihre Erwartungen übertreffen können.
Es ist wichtig, nicht nur die Schwachstellen zu finden und zu zeigen, wie sie ausgenutzt werden können, sondern auch mögliche Schäden sowie deren Wahrscheinlichkeit einzuschätzen. Kreative Freiheit ist sowohl bei den Einbruchsversuchen als auch bei der Risikobewertung und den Techniken für die Risikoevaluierung angemessen. Wir müssen z. B. vorhersagen können, wie viel Training, Wissen, Erfahrung und Ressourcen ein Angreifer braucht, um einen gegebenen Angriff auszuführen. Wenn man sich jetzt hier noch die Risikobegrenzungsplanung dazu denkt, ist das Gemälde vollendet.
Zusammenfassend lässt sich sagen, dass einige Phasen der Sicherheitsprüfung standardisierte Ansätze erfordern. Parallel helfen kreative Ansätze, das volle Potenzial von Risikobewertungsprojekten zu erschließen. Aus diesem Grund benötigt man bei den Penetrationstests sowohl die technologischen Kompetenzen als auch die Talente eines Künstlers für den größtmöglichen Nutzen der Kunden und den Schutz ihrer legitimen Interessen.
Fazit
Internationale Standards und Best Practices können unterschiedliche Details und Schwerpunkte aufweisen. Standards entstehen aus der Erfahrung der anderen heraus und werden zu Recht als Eckpfeiler für die Lösung der oben genannten Herausforderungen der Sicherheitsprüfung angesehen.
Standards sollten jedoch niemals das einzige Werkzeug sein, auf das man sich verlässt. . Viele Schwierigkeiten muss man aus den eigenen Erfahrungen heraus lösen und nicht nur die der anderen zu Rate ziehen,z. B. bei der Planung, Vorbereitung und Schätzung der wirtschaftlichen Effektivität von Risikobewertung, im Management von technischen und rechtlichen Problemen usw.
Der Schlüssel zum Erfolg bei einem Cybersicherheitsprojekt, bei der Risikobeurteilung und im Sicherheitsmanagement ist eine effiziente Kombination der eigenen und fremden Erfahrungen.
Informationssicherheitsstandards sind nur in Verbindung mit eigenen geheimen Methoden ein effektives Tool.
Durch eine vernünftige Kombination von Standards und untypischen kreativen Initiativen können sich Penetrationstester am effektivsten auf der “hellen Seite der Macht” beweisen, also in Projekten für Risikoanalyse und Penetrationstests. Als eine Mischung aus Routine und Kunst zeigen die Penetrationstests erstklassige Ergebnisse in den Projekten für die Bewertung von Sicherheitsrisiken und Sicherheitsmanagement, die von Unternehmen sehr geschätzt werden.