Der Unterschied zwischen Vulnerability-Scans und Penetrationstests

In der heutigen digitalen Welt wird es immer wichtiger, sicherzustellen, dass die gesammelten Informationen Ihres Unternehmens nicht von anderen gefunden und entwendet werden können. Daher sollten Sie kontinuierlich an einer besseren Sicherheit arbeiten, indem Sie Tests durchführen, um herauszufinden, ob es Schwachstellen gibt. Wir wissen, dass Informationssicherheit schwierig sein kann, deshalb werde ich in diesem Artikel den Unterschied zwischen Schwachstellenscans und Penetrationstests erklären. Ich hoffe, dass er Ihnen ein besseres Verständnis der Tests und ihrer Bedeutung für Ihr Unternehmen vermittelt.

Vulnerability scan

Das Vulnerability Scan ist vollständig automatisiert, Sie fügen nur hinzu, welche Anlagen gescannt werden sollen. Sie sagen dem System, wonach es suchen soll, und dann geschieht alles automatisch. Wenn Sie regelmäßig Schwachstellen-Scans durchführen, erhalten Sie einen guten Überblick über Ihren Reifegrad, zum Beispiel bei jeder Veröffentlichung. Wenn Sie jede Woche eine neue Version herausbringen, kann es sinnvoll sein, in ein dynamisches oder statisches Schwachstellen-Tool zu investieren.

Beim Vulnerability Scan sucht das System aktiv nach Konfigurationsfehlern oder Schwachstellen, die auf Unzulänglichkeiten oder tatsächlichen Fehlern in Software, Server, Client, Switch, Router usw. beruhen. Oft handelt es sich um ein grundlegendes Problem im Code, entweder haben Sie etwas unwissentlich getan oder Sie haben etwas ausgelassen, z.B. in der Konfiguration.

Der größte Vorteil eines automatisierten Scans besteht darin, dass Sie viele der niedrig hängenden Früchte finden können, wie z. B. fehlerhafte Authentifizierung, Cross-Site Scripting (XSS) oder andere Arten von Injektionen. Das ist schon mal ein guter Anfang.

Beispiele für die häufigsten Schwachstellen in Webanwendungen finden sich unter anderem in der OWASP (Open Web Application Security Project) Top 10 Liste oder in Sans Top 25.

Penetrationstests

Penetrationstests, auch Pen-Tests genannt, sind manuelle Arbeiten. Hier geht man tiefer als nur die vorhandenen Schwachstellen zu überprüfen. Bei einem Pen-Test dringt man tiefer in das System ein, um Zusammenhänge zu erkennen und ein tieferes Verständnis der Geschäftslogik zu erlangen. Wenn Sie die Denkweise von Entwicklern und Lösungsanbietern verstehen, werden Sie wahrscheinlich zusätzliche Schwachstellen finden, denn der menschliche Faktor kann niemals ignoriert werden. Wir wissen, dass Menschen Fehler machen, wenn es um die Installation, Entwicklung und Verwaltung von Systemen geht. Diese Informationen könnte ein automatisches Scanning-Tool niemals abrufen, weil ihm das rationale Denken fehlt, das wir Menschen haben.

Ein Beispiel hierfür ist die Zugangskontrolle. Ein automatisiertes Tool zum Scannen von Webanwendungen kann nicht unterscheiden, ob die Daten, auf die es zugreifen kann, eine Sicherheitsverletzung darstellen oder nicht. Wenn ein "Standardbenutzer" auf Informationen zugreifen kann, auf die nur ein Administrator Zugriff haben sollte, dann sind die Zugriffskontrollen mangelhaft. Ein Mensch kann dies durch Analyse der Daten und der Vorgänge feststellen.

Eine kurze Geschichte über einen echten Fall:

"Bei einem unserer früheren Aufträge führten wir Pen-Tests an einer über das Internet zugänglichen Webanwendung durch und fanden eine Reihe von Schwachstellen, darunter eine nicht authentifizierte SQL-Injection. Die Schwachstelle ermöglichte das Auslesen von Daten aus der Datenbank, wie z. B. Benutzer und Hashes. Nach eingehender Analyse stellte sich heraus, dass die Hashes manipuliert worden waren, und nachdem wir verstanden hatten, wie, konnten wir die Passwörter knacken, uns in die Webanwendung einloggen und Dateien hochladen sowie Code auf ihrem Webserver ausführen.

Vom Webserver aus hatten wir vollen Zugriff auf das gesamte Produktionsnetz, was den Zugriff über die Domänencontroller ermöglichte. Einer davon wies mehrere Schwachstellen auf, und obwohl er durch einen neuen Domänencontroller und eine neue Domäne ersetzt wurde, wurde er weiterhin für die ältere Domäne verwendet. Die alte und die neue Domäne verfügten über ein gegenseitiges Vertrauen, was bedeutet, dass man unabhängig davon, ob man ein Konto in der einen Domäne hat, Zugriff auf Ressourcen in der anderen hat. Aufgrund einer Kombination aus schlechter Konfiguration, offensichtlichen Softwarefehlern, mangelnder logischer Trennung zwischen externen und internen Systemen sowie der Tatsache, dass der Kunde die alte Domäne nicht vollständig stillgelegt hat, konnten wir so weit in das Netzwerk und die Systeme des Unternehmens vordringen."

Hätten Sie nur einen Schwachstellenscan für die Anwendung und keine Penetrationstests durchgeführt, hätten Sie bestenfalls eine SQL-Injection gefunden, nicht aber die übrigen Schwachstellen.

Wiederkehrende Probleme, die wir in Unternehmen beobachten können

Ein häufiges Problem in Unternehmen ist, dass sie diese Tests nur als Teil eines Prozesses sehen, der auf Anforderungen wie PCI-DSS oder GDPR basiert. Sobald das Unternehmen seine roten (hohes Risiko) und violetten (kritisch) Markierungen in seinem Bericht überwunden hat, sehen sie die Aufgabe als erledigt an. Es wird nicht als wichtig erachtet, was man mit den Ergebnissen macht, der Fokus liegt auf dem Abhaken der Anforderungen.

Es besteht die Gefahr, dass bei einem Schwachstellen-Scan oder Pen-Testing einfach eine Art "Checkbox-Ansatz" verfolgt wird. Tatsache ist, dass die Umgebungen in vielen Fällen ein Jahr später immer noch gleich aussehen und die gleichen Schwachstellen und Konfigurationsfehler immer noch vorhanden sind. Die gleichen Tests werden durchgeführt und zeigen die gleichen Schwachstellen, was bedeutet, dass der Reifegrad um 0 % steigt. Wie im obigen Beispiel der Webanwendung - hätte das Unternehmen nur die Tests durchgeführt, ohne auf die Ergebnisse zu reagieren, hätte das böse enden können.

Eine bessere Kommunikation und ein besseres Verständnis der Tests und Ergebnisse könnten dieses Problem lösen. Sicherheit ist nicht leicht zu verstehen, weshalb es umso wichtiger ist, die Berichte genau durchzugehen und Hilfe bei der Klärung des Inhalts zu erhalten. Wenn man die Bedeutung der Ergebnisse nicht versteht, ist es schwierig, Maßnahmen zu ergreifen.

Das Risiko, keine Schwachstellensuche oder Penetrationstests durchzuführen

Wenn Sie kein klares Bild davon haben, wie die Sicherheit in Ihren verschiedenen Systemen aussieht, wissen Sie auch nicht, welche Schwachstellen bestehen und wie weit ein Außenstehender in die Systeme eindringen kann. Solange dieses Bild unklar ist, besteht immer die Gefahr, dass Sie einem Verstoß ausgesetzt sind. Dies wiederum kann für Sie als Unternehmen äußerst kostspielige Verluste verursachen. Nicht nur in Form von Geld, sondern auch in Bezug auf den Ruf und die Arbeit zur Behebung des Schadens. Wagen Sie es wirklich, dieses Risiko einzugehen?

Die Zusammenfassung

Der Einfachheit halber können Sie sich das Scannen von Sicherheitslücken als erste Stufe und Penetrationstests als nächste Stufe vorstellen. Der Scan ist der Vorläufer des Pen-Tests, ohne den menschlichen Aspekt des Ganzen. Er dient als Grundlage und bringt die vorhandenen bekannten Schwachstellen ans Licht. Nach den Grundlagen müssen Sie tiefer eindringen, um zu verstehen, wie die Entwickler und die Verwaltung die Systeme einrichten, Verbindungen erkennen und sicherstellen, dass Sie keine versteckten Türen haben.

Wenn Ihre heutige Sicherheitsarbeit mangelhaft ist und Sie keine Kontrolle darüber haben, was Sie dem Internet aussetzen, besteht ein höheres Risiko, dass Personen mit der Absicht, die Kontrolle über Ihre Infrastruktur zu übernehmen oder Ihre Daten zu entwenden, unbefugten Zugang erhalten. Deshalb ist es wichtig, dass Sie laufend Tests durchführen und auf der Grundlage der Testergebnisse handeln. Hören Sie auf, dies als eine Anforderung zu sehen, die umgesetzt werden muss, und sehen Sie es als eine langfristige Anstrengung für ein sichereres System und eine sicherere Umgebung.

Wie gesagt, wir wissen, dass es schwierig sein kann, im Bereich der IT-Sicherheit den Überblick zu behalten. Deshalb haben wir eine webinar mit dem Schwerpunkt Anwendungssicherheit, wo wir uns mit Schlüsselbereichen befassen werden, wie Einbeziehung der Sicherheit in den Entwicklungsprozess, was die häufigsten Angriffe sind und wann man sich für Open Source entscheiden sollte. Registrieren Sie sich für die Teilnahme, indem Sie auf das Bild klicken.

Über den Autor

Mattias-Recruiting

Mattias Döj ist ein sehr unkomplizierter Typ und schätzt es, neue Leute kennenzulernen und einzubeziehen. Während seiner Zeit in der IT-Sicherheit hat er global gearbeitet und ist um die Welt gereist, um eine Vielzahl von Penetrationstests durchzuführen.

Our recommandations