Web-Apps und Remote-Access-Zugänge sind für Cyberkriminelle oft Einfallstore, um an die Kronjuwelen Ihrer Organisation zu gelangen. Die Folgen reichen vom Daten-Diebstahl bis hin zu verheerenden Ransomware-Attacken. Um eine Web-App oder einen externen Zugang auf Herz und Nieren zu prüfen, bedarf es eines simulierten Hackerangriffs, der in Fachkreisen als „Penetration Testing“ bezeichnet wird. Auf diese Weise kommen oft Schwachstellen zum Vorschein, die beim Aufsetzen der Sicherheitsarchitektur nicht einkalkuliert oder schlicht übersehen wurden.
Die Sicherheitslage im IT-Sektor wird von Jahr zu Jahr kritischer. In seinem Data Breach Verification Report für das Jahr 2022 hat der Telekommunikationsanbieter Verizon einen Anstieg von 13 % bei den für Unternehmen besonders fatalen Ransomware-Attacken ermittelt – das ist mehr als in den vergangenen fünf Jahren zusammen. Bei mehr als der Hälfte der über 5.000 analysierten Angriffen waren demnach Web-Applikationen oder Remote-Access-Zugänge involviert.
Besorgniserregend ist auch die Leichtigkeit, mit der die Cyberkriminellen an sensible Daten und interne Zugänge gelangten: 95 % der Cyber-Einbrüche erforderten von den Angreifern maximal fünf Schritte. Dabei erfolgen rund 80 % der erfolgreichen Angriffe von professionell agierenden Gruppen, die sich der organisierten Kriminalität zuordnen lassen und die entsprechend systematisch sowie effizient vorgehen.
Sicherheit durch simulierte Attacken
Um die bestehende Sicherheitsarchitektur eines Unternehmens inklusive Web-Apps und Remote-Zugängen auf den Prüfstand zu stellen, eignen sich umfassende Penetration Tests, kurz „Pen Tests“ oder „PTs“. Dabei führen beauftragte Personen oder Teams (die „Pen-Tester“) externe Attacken auf ein definiertes Ziel durch, um etwaige Sicherheitslücken aufzuspüren. Die hohen Anforderungen an solche komplexen Testreihen können in den PTES Technical Guidelines nachgelesen werden.
Ein solcher Test setzt sich laut den Richtlinien des Open Worldwide Application Security Project (OWASP) aus zwölf Kategorien zusammen, die zentrale Sicherheitsaspekte wie Identitätsmanagement, Autorisierung, Fehlerbehandlung und Kryptografie enthalten. Vorweg muss sich der Kunde für eine von drei grundlegenden Herangehensweisen entscheiden:
- Black Box – die schnellste und kostengünstigste Variante, die einen Hackerangriff wie in der Realität ohne Kenntnisse der internen Strukturen simuliert. Allerdings müssen die Pen-Tester innerhalb eines engen Zeitrahmens agieren, während echte Hacker über ein nahezu unbegrenztes Zeitfenster verfügen.
- Gray Box – die Pen-Tester erhalten vorab wichtige Hintergrundinformationen zur Systemarchitektur und können sich auf User-Level authentifizieren.
- White Box – die teuerste Variante mit den präzisesten Ergebnissen setzt ein umfangreiches Briefing der Pen-Tester voraus und verleiht diesen Root-Level- oder Administratorrechte.
Bei jeder dieser Varianten setzen vergleichsweise günstige Angebote für einmalige Penetration-Tests in der Regel auf weitgehend automatisierte Vulnerability Scans. Diese enthalten eine große Menge an False Positives und verweisen auf eine Vielzahl unwichtiger Schwachstellen, was die Suche nach geschäftskritischen Fehlern extrem aufwändig gestaltet. Darüber hinaus hat der Kunde in diesen Fällen kaum Einfluss auf die Testprozeduren und kann entscheidende Systeminformationen nicht an die Tester weitergeben. In der Summe führen all diese Nachteile zu hohen internen Folgekosten und einem erheblichen Zeitaufwand.
- Artikel: Starke Passwörter für unsichere Zeiten
- Artikel: Die richtige Passwort-Sicherheit in Krisenzeiten
- Artikel: IT- und Passwort-Sicherheit im Homeoffice – die richtige Strategie und die richtigen Tools
- Outpost24 Penetration Testing as a Service
- Outpost24 Risikobasiertes Vulnerability Management
- Kostenlose Überprüfung der Angriffsfläche Ihrer Webanwendungen
- Über diesen Beitrag
Alternative PTaaS: Penetration Testing as a Service von Outpost24
Aufgrund der hohen versteckten Kosten, der zeitintensiven und personalbindenden Auswertung und der Beschränkung auf einen einmaligen Testzyklus denken viele IT-Verantwortliche über Alternativen nach. Infrage kommen daher oft Paketangebote mit dem Penetration Testing als kontinuierliche und auf den jeweiligen Kunden maßgeschneiderte Serviceleistung.
„Penetration Testing as a Service“ (PTaaS) ermöglicht eine dauerhafte, automatisierte Überprüfung der Anwendung auf Schwachstellen mit Validierung der Ergebnisse durch manuelle Pen-Tests. Damit lässt sich beispielsweise flexibel die Systemsicherheit nach der Implementierung von neuem Code oder erweiterten Features prüfen, ohne einen neuen Beschaffungsprozess für einen Penetration-Test zu starten.
Die Vorteile einer PTaaS-Strategie:
- Geschwindigkeit: Statt einer wochen- oder gar monatelangen Vorbereitungszeit lassen sich Penetration Tests via PTaaS innerhalb weniger Tage auf den Weg bringen.
- Persönliche Zusammenarbeit: Die IT-Spezialisten des Unternehmens können direkt mit den verantwortlichen Pen-Testern von Outpost24 kommunizieren und damit spezielle Anforderungen besser übermitteln sowie Rückfragen zu den Schwachstellen oder deren Remediation stellen. Über ein PTaaS-Portal erfolgt diese Kommunikation nahezu in Echtzeit und parallel zum laufenden Pen-Test.
- Transparentes Reporting: Die Auswertung umfangreicher, generischer Reports mit unzähligen für die eigene IT-Umgebung irrelevanten Daten kostet viel Zeit und Nerven. Maßgeschneiderte Reports, die ohne lange Wartezeiten schon während des Penetration-Tests an den Kunden übermittelt werden, können zeitnah und deutlich schneller ausgewertet werden. Bei auftretenden Fragen stehen Mitarbeiter des PTaaS-Anbieters mit Rat und Tat zur Seite.
- Validierung der Ergebnisse und Maßnahmen: Einer der größten Vorteile von PTaaS ist die kontinuierliche Validierung von implementierten Maßnahmen, sodass sich Änderungen der Sicherheitsarchitektur aufgrund der Empfehlungen in den Reports ohne großen Zeitversatz prüfen lassen. Wiederholte Validierungsanfragen gehören zum guten Ton bei PTaaS-Anbietern, da sich der Code ständig verändert.
Penetration Testing as a Service – das Beste aus beiden Welten
Als langjähriger Sicherheitspartner von mehr als 2.000 Unternehmen in aller Welt hat Outpost24 ein PTaaS-Angebot entwickelt, das ganz auf die Bedürfnisse verschiedener IT-Strukturen abgestimmt ist. Der umfassende Sicherheitsservice steht auf drei zentralen Säulen:
- Automatische Scans: Ein automatisierter Scanner für Applikationssicherheit vereint hohe Geschwindigkeit mit präzisen Resultaten, wodurch das unkomplizierte Monitoring über längere Zeiträume ermöglicht wird.
- Manuelle Tests: Die Ergebnisse der Pen-Tests und der automatischen Scans werden von CREST-zertifizierten Sicherheitsexperten validiert. Logikfehler und versteckte Hintertüren werden damit zuverlässig aufgespürt und der Kunde im persönlichen Dialog mit allen nötigen Informationen und Gegenmaßnahmen versorgt.
- Kontinuierliches Monitoring: Bei größeren Änderungen an der Software führen die Sicherheitsexperten bei Bedarf auch weitere detaillierte Penetration Tests durch, um neu entstandene Risiken zu bewerten und bei Bedarf zusammen mit dem Kunden zu reagieren.
Weitere Informationen sowie direkten Zugriff auf informative Webinare und Demos finden Sie unter https://outpost24.com/de/loesungen/penetration-testing-as-a-service.
kommentar field
