Penetrations-Test-Ergebnisse strategisch nutzen

AktuellessecuriCAD

Es gibt eine Vielzahl an Möglichkeiten, Informationen über die aktuelle Lage auf dem Weg zu mehr Sicherheit im Unternehmen zu erarbeiten. Einer dieser Methoden ist die Durchführung von Penetrations-Tests. Dabei ermittelt ein fachkundiger Penetrations-Tester den Sicherheits-Status, untersucht die Infrastruktur auf Schwachstellen und identifiziert wichtige Arbeitsschritte zur Absicherung der Infrastruktur. Wir zeigen Ihnen, wie Sie diese Informationen für die strategische Sicherheit weiterverarbeiten.

Die eigentliche Arbeit des Penetrations-Testers beginnt weit vor der Durchführung des Tests selbst. Nämlich mit der Vorbereitung und Abklärung der Rahmenbedingungen. In einem vorgelagerten Gespräch bzw. Workshop werden Motivation, Zielsetzung, Art und Limits sowie Umfang des Penetrations-Tests abgestimmt.

Im Laufe der Durchführung überprüft der Penetrations-Tester mit Hacker-Tools und -Methoden, wie weit ein potenzieller Angreifer in die Infrastruktur eindringen kann. Folgt man der klassischen Definition für Penetrations-Tests des Bundesamts für Sicherheit in der Informationstechnologie (BSI), agiert der Penetrationstester von außen und prüft, welche Wege in die Infrastruktur für einen Angriff nutzbar sind. Es ist jedoch auch möglich, einen Schritt weiter innen zu starten. Beim assume breach Ansatz wird angenommen, dass ein Angreifer den Perimeter-Schutz bereits überwunden hat. Der Penetrations-Test überprüft so, wie die inneren Schichten der Infrastruktur aufgebaut sind und wie sich Systeme schützen können.

Ist der Penetrations-Test durchgeführt, werden die Ergebnisse analysiert. Unter anderem auf strukturelle Schwächen. Findet man bei 30% der Server einen unzureichenden Patch-Stand, so ist es sinnvoller ein organisatorisches Problem “unzureichendes Patch-Management” anzunehmen, als eine Liste zu patchenden Systemen zu erstellen. Darüber hinaus werden die Ergebnisse in der Regel in ein Scoring-System überführt, um eine Bewertung der Schwachstellen vorzunehmen. Gängige Standards hierfür sind beispielsweise CVSS Common Vulnerability Scoring System, bzw. OWASP open web application security project. Wichtig bei der Bewertung von Schwachstellen ist die Auswirkung. Gibt es “nur” technische Auswirkungen oder auch solche auf das Geschäft.

Nachfolgend zur Bewertung der Findings geht es um die Darstellung der Ergebnisse beim Kunden und damit auch um die Ableitung von Empfehlungen. Welche Schwachpunkte sind priorisiert anzugehen? Welche technischen Schwachstellen haben eine hohe Priorität, jedoch keine Auswirkung auf den Geschäftsprozess? Als Ergebnis entsteht ein Aktionsplan.

Am Ende des Penetrations-Tests steigt der Kunde in den Aktionsplan ein. Erklärtes Ziel ist, die Maßnahmen umzusetzen, die eine bestmögliche Steigerung des gesamten Sicherheits-Niveaus bieten. Im Idealfall erfolgt im Anschluss an die Durchführung der Maßnahmen ein Nachtest des Penetrations-Testers. Dieser prüft ob die identifizierten Schwachstellen auch tatsächlich behoben sind.

Der Penetrations-Test hat als Ergebnis Maßnahmen, mit denen sich die Informations-Sicherheit strategisch verbessern lässt. Der Penetrations-Test selbst führt noch nicht zu mehr Sicherheit. Sondern zu den Erkenntnissen, welche Ansatzpunkte zielführend sind.

langfristige Sicherheits-Strategie auf der Grundlage von Penetration-Tests

Auch wenn der Penetrations-Test alleine noch nicht für mehr Sicherheit sorgt, ist er ein sinnvoller Grundstein für die Verbesserung. Aus den Ergebnissen lassen sich wichtige Rückschlüsse ziehen. Sie eignen sich darüber hinaus auch als Ausgangspunkt für eine Infrastruktur-Modellierung. Denn, im Zuge des Penetrations-Tests wurden Systeme, Kommunikation sowie Schwachstellen beleuchtet. Diese Informationen lassen sich organisatorisch wie technisch in eine Modellierung der Infrastruktur überführen. Dies reduziert den Modellierungs-Aufwand und sorgt für eine Plattform auf der zukünftige Entscheidungen getroffen werden können.

Die Modellierung der aktuellen Infrastruktur auf Basis der bereitgestellten Daten visualisiert das Netz samt Systemen, Datenflüsse und Übergänge. Durch den Import dieser Daten in ein CAD-Modell, erlaubt dies nicht nur die Visualisierung, sondern auch die Anpassung des Modells. Durch die Anpassung des Modells lassen sich alternative Infrastruktur-Konzepte darstellen. Die anschließende Resilienz-Messung auf Basis der Angriffs-Simulation zeigt dann, welchen Resilienz-Wert die Systeme in den unterschiedlichen Modellen haben. Mit diesen Modellen auf der Grundlage der Penetrations-Test-Ergebnisse lässt sich eine mittel- und langfristige Strategieplanung umsetzen.

Vorheriger Beitrag
resiliente Multi Cloud Strategie
Nächster Beitrag
Der Ernstfall will geübt werden

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien