Kritische Schwachstellen, die der Vulnerability Scanner Ihnen verschweigt.
von Stephan Scholz
Fühlen Sie sich sicher, weil Ihr Schwachstellen-Scanner grünes Licht gegeben hat? Haben Sie Ihre Systeme auf Compliance getrimmt und alle Audits erfolgreich überstanden? Dann sollten Sie sich trotzdem nicht zu sicher fühlen. Automatisierte Tools und Zertifikate sind wichtig, haben jedoch ihre Grenzen. Angreifer nutzen Einfallstore, die ein Vulnerability Scanner nicht findet. Erst mithilfe eines Penetration Tests verschaffen Sie sich ein vollständiges Bild Ihrer Sicherheit.
Verfasst von
E-Mail: Stephan.Scholz@bechtle.com
Ein Penetration Tester sieht sich regelmäßig mit der folgenden Ansicht konfrontiert: „Sie machen ja ohnehin nur einen Schwachstellen-Scan, und übertragen die Ergebnisse dann in einen Bericht“. Der Unterschied und der Mehrwert eines Penetration Tests im Vergleich zu einem automatisierten Verfahren wird oftmals nicht verstanden. Dabei bietet ein Schwachstellen-Scanner in erster Linie Folgendes: eine Übersicht von bekannten Schwachstellen, basierend auf den gefundenen Software-Versionen. Man erhält also vornehmlich eine Aussage über den eigenen Patch-Stand.
Der Weg des geringsten Widerstands.
Dem Angreifer bietet sich ein buntes Menü von Möglichkeiten und Angriffsmethoden. Bevor er sich die Mühe macht, Tools zum Ausnutzen von Schwachstellen zu suchen, verwendet er einfachere und schnellere Methoden, z.B. das Prüfen auf Default-Passwörter. Häufig befinden sich z.B. Drucker, Multifunktionsgeräte, VoIP-Telefone und andere IoT-Devices mit Default-Passwörtern im Unternehmens-Netz. Das Web-Interface und die Konfiguration kann dann mit einem einfachen Browser aufgerufen werden. Auf diesen Geräten befinden sich oftmals Usernamen und Passwörter für den Zugriff auf das Active Directory oder File Shares. In dem für ihn günstigsten Fall findet der Angreifer dabei sogar Domain Admin Credentials und hat in Windeseile die Domäne übernommen. Eine hochkritische Schwachstelle in Ihrer IT, die Ihr Schwachstellen-Scanner nicht gefunden hat!
Der Faktor Mensch.
Erpressungstrojaner (Ransomware) legen heutzutage ganze Produktionsnetze lahm und sorgen für massive Schäden in vielen Unternehmen. Hierbei gehen die Erpresser inzwischen intelligenter vor und erkunden im Vorfeld das Unternehmen möglichst umfangreich. Über Recherche in sozialen Netzen erstellen Angreifer ihr persönliches Organigramm mit Schlüsselpersonen des Unternehmens. Hier sind vor allem Führungskräfte, Mitarbeiter mit finanziellen Befugnissen sowie IT-Administration von Interesse. Über eine zielgerichtete E-Mail mit einem schädlichen Link oder Anhang werden anschließend Workstations infiziert oder Systeme verschlüsselt. Aber auch unbefugte Geldtransfers werden über die Inhalte der gefährlichen E-Mails angewiesen. Verlässt sich die IT-Leitung auf einen automatisierten Sicherheitscheck, bleiben hochkritische Bereiche, wie z.B. die E-Mail-Security, oft außen vor.
Scheinsicherheit durch Segmentierung.
Bieten Sie auch für Ihre Kunden Dienste im Internet an, z.B. in Form eines Web Shops oder Service Portals, so haben Sie möglichst Ihre Umgebung nach Best Practices entworfen. Ein Mittel für ein besseres Sicherheitsniveau bietet eine Multi Tier Architektur. Hierbei werden Kernkomponenten des Gesamtsystems aufgeteilt, beispielsweise nach Web Frontend, Application Server und Datenbank Server. Dieses mehrstufige Konzept suggeriert auf dem Schaubild eine Bastion, die ein Angreifer sich erst mühsam Schicht für Schicht erarbeiten muss. Schwachstellen auf Anwendungsebene, wie z.B. SQL Injection passieren jedoch mühelos die einzelnen Schichten und erlauben einen Zugriff direkt aus dem Internet auf den Datenbank Server im kritischen Server-Segment. Daher ist es wichtig, vor allem selbst entwickelte oder beauftragte Web Applikationen prüfen zu lassen. Zwar gibt es Schwachstellen-Scanner auch für den Bereich Web Security, jedoch lässt sich dieser nur bedingt automatisiert testen. Hier wird das Verständnis für die Anwendung und die logische Abfolge der einzelnen Schritte benötigt.
Bechtle Penetration Test – Kompetenz in allen Bereichen.
Unsere Penetration Tester sind vom renommierten SANS-Institut ausgebildet und über die GIAC/GPEN-Zertifizierung qualifiziert. Die Durchführung der Penetration Tests finden nach den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) statt. So wird ein sehr hohes Qualitätsniveau in allen drei Varianten des Penetration Tests gewährleistet. Beim externen Test simulieren wir die Angreifer aus dem Internet und prüfen alles was von außen erreichbar ist. Der interne Test nutzt als Einfallstor eine Standard LAN-Schnittstelle oder WLAN und prüft das interne Netz. Für eigene Web-Anwendungen, die nicht auf einem Standard-Produkt basieren, empfehlen wir zusätzlich einen Web Application Penetration Test, bei dem eine tiefe Analyse der Applikation durch Bechtle durchgeführt wird. Als Ergebnis erhalten Sie eine fundierte und realistische Aussage über Ihr Sicherheitsniveau, die weit über das Ergebnis eines automatisierten Scans hinausgeht.
Möchten Sie mehr zu diesem Themenkomplex erfahren? Dann sprechen Sie uns an!
Beitrag weiterempfehlen
