Offensive Cybersicherheit: Warum Penetrationstests nicht ausreichen

Um die Sicherheit von Daten und Informationssystemen zu gewährleisten, ist es wichtig sicherzustellen, dass die implementierten Maßnahmen wirksam sind. Dafür ist es unerlässlich, einen offensiven Ansatz zu verfolgen. Über Penetrationstests hinaus wird empfohlen, das gesamte Sicherheitssystem auf die Probe zu stellen, indem es realistischen Angriffssimulationen unterzogen wird.

In den letzten Jahren wurden die Vorschriften zum Datenschutz und zur IT-Sicherheit erheblich verschärft. Sie verlangen von den Organisationen, geeignete Maßnahmen zu ergreifen, um Risiken zu verhindern und auf Vorfälle zu reagieren. Dies bedeutet die Umsetzung klarer Sicherheitsrichtlinien, die Sensibilisierung der Teams, die Bereitstellung von Bedrohungserkennungssystemen und die Einrichtung von Verfahren, um effektiv auf Angriffe zu reagieren.

In die Offensive gehen

Sobald die Cybersicherheitsmaßnahmen ergriffen wurden, ist es wichtig, sie zu testen. In den Schutz Ihrer Systeme zu investieren, ist gut. Sicherzustellen, dass die ergriffenen Maßnahmen wirksam sind und die umgesetzten Elemente die gesetzten Ziele im Falle eines Angriffs oder Vorfalls erfüllen, ist besser. Dafür muss ein offensiver Sicherheitsansatz verfolgt werden.

"Jede Umgebung weist Schwachstellen und Verwundbarkeiten auf. Daher ist es wichtig, das Sicherheitssystem durch Tests auf die Probe zu stellen. In diesem Zusammenhang können von Organisationen mehrere Ansätze in Betracht gezogen werden. Diese reichen von standardmäßigen Penetrationstests bis hin zur Simulation eines realen Angriffs", erklärt Thomas Pianezzola, Mitglied des Cyberforce Offensive Security Teams.

"Die verschiedenen Ansätze sind komplementär und erfüllen spezifische Ziele. Es geht darum, ausnutzbare Schwachstellen zu identifizieren, um sie beheben zu können."

Nicht auf Penetrationstests beschränken

Um ihre Sicherheitssysteme zu testen, greifen Marktteilnehmer am häufigsten auf Penetrationstests in klar abgegrenzten Bereichen zurück.

"Es ist nicht ungewöhnlich, dass die Vorschriften, denen sie unterliegen, sie dazu verpflichten, regelmäßig definierte und eingeschränkte Bereiche wie Firewalls, VPNs oder andere spezifische Elemente des IT-Systems zu testen", kommentiert Anthony Maestre, Mitglied des Cyberforce Offensive Security Teams.

"Dieser Ansatz zielt in erster Linie darauf ab, die Anforderungen an die Einhaltung von Vorschriften zu erfüllen, beispielsweise im Rahmen eines Audits. Da diese Tests jedoch in der Regel sehr gezielt sind, ermöglichen sie es nicht, die Sicherheit einer gesamten Umgebung oder die Gesamteffektivität der implementierten Maßnahmen zu überprüfen. Sich auf diese Tests zu beschränken, kann ein falsches Sicherheitsgefühl vermitteln."

Diese Art von Penetrationstests stellt hauptsächlich sicher, dass die Konfigurationen den festgelegten Richtlinien entsprechen und die ergriffenen Maßnahmen den erwarteten oder geforderten Standards entsprechen. Sie können sich je nach festgelegtem Umfang oder den erwarteten Ergebnissen sogar als nutzlos erweisen.

Gegnersimulation: Das gesamte Sicherheitssystem auf die Probe stellen 

Über Penetrationstests hinaus ist es ebenso wichtig, potenzielle Schwachstellen zu identifizieren, indem das gesamte Sicherheitssystem getestet wird.

"Dafür kann man einen Ansatz namens Adversary Simulation verwenden", erklärt Anthony Maestre.

"In diesem Zusammenhang erhält ein externes Team wie unseres den Auftrag, zu versuchen, in das System der Organisation einzudringen, indem es breitere Angriffsvektoren verwendet, wie sie von echten Angreifern genutzt werden. Es handelt sich um eine Simulation eines realen Angriffs."

Das erste Ziel: Zugang von außen erlangen 

Im Rahmen einer solchen Übung (die in der Regel zwei Wochen dauert) sucht das Cyberforce Offensive Security Team von POST nach direkt ausnutzbaren Schwachstellen, indem es Techniken verwendet, die auch von Angreifern genutzt werden. Dazu können sie Phishing-Kampagnen durchführen, Social-Engineering-Ansätze verwenden, versuchen, auf exponierte Server zuzugreifen, oder, falls erforderlich, versuchen, auf physische Infrastrukturen zuzugreifen.

"Das erste Ziel ist es, Elemente wie Schwachstellen, E-Mails, Anmeldedaten oder Passwörter zu erhalten, die es uns ermöglichen, in die Systeme des Unternehmens einzudringen", erklärt Thomas Pianezzola.

"Sobald diese Zugänge erhalten sind, werden wir versuchen, im System zu bleiben und dann unsere Privilegien so weit wie möglich zu erhöhen, indem wir bestehende Sicherheitslücken ausnutzen."

Dieser offensive Ansatz ermöglicht die Identifizierung von Schwachstellen, die einen Zugang von außen ermöglichen, und testet die gesamte interne Infrastruktur, um Punkte zu finden, die korrigiert werden müssen, um die Gesamtposition der Organisation zu stärken.

Was ist ein Assume Breach?

"Trotz unserer Bemühungen ist es nicht immer möglich, von außen in das System des Kunden einzudringen", erklärt Thomas Pianezzola.

"Das bedeutet jedoch nicht, dass ein Dritter nicht erfolgreich wäre. Wenn man genügend Zeit und Mittel hat, kann jedes System kompromittiert werden."

Wenn es dem POST-Team nach zwei oder drei Tagen der Versuche nicht gelungen ist, auf die Systeme zuzugreifen, können sie eine Alternative vorschlagen, um dennoch die Robustheit des Informationssystems des Unternehmens zu testen.

"Wir können dann einen Test mit einem Ansatz namens Assume Breach durchführen. In diesem Fall gibt uns die Organisation Zugang zu ihren Systemen über eine Fernzugriffslösung wie Citrix oder ein VPN, was es uns ermöglicht, eine Kompromittierung durch einen erfolgreichen Phishing-Angriff zu simulieren, oder eine Backdoor auf einem exponierten Server zu installieren und so dessen Kompromittierung zu simulieren", erklärt Anthony Maestre.

"Unsere Aufgabe besteht dann darin, von diesem Zugang aus im System voranzukommen, mit dem Ziel, die höchstmöglichen Autorisierungsstufen zu erreichen. Dieses Ziel erfordert in der Regel verschiedene Schritte wie die Erkundung, die Etablierung von Persistenz oder die Kompromittierung mehrerer Systeme durch laterale Bewegungsangriffe. Dies ermöglicht es uns zu überprüfen, ob die vorhandenen Sicherheitsmaßnahmen—wie die Trennung, Systeme zur Erkennung und Reaktion auf Vorfälle, die Konfiguration von Rollen und Berechtigungen usw.—einen optimalen Schutz gewährleisten."

Schwachstellen entdecken, um sie zu beheben 

Jede offensive Sicherheitsübung führt zu einem dokumentierten Bericht, der zeigt, wie das "angreifende" Team in das System eindringen und sich darin fortbewegen konnte. Das Ziel ist es, der Organisation zu ermöglichen, die identifizierten Schwachstellen zu beheben.

Entdecken Sie alle unsere Cybersicherheitslösungen.