Der Unterschied zwischen Vulnerability-Scans und Penetrationstests
In today’s digital world, it is increasingly important to ensure that your company’s aggregated information
Es gibt verschiedene Arten von Methoden und Standards, die in der IT-Welt verwendet werden, um eine Grundlage für sichere Betriebsverfahren zu schaffen. Dabei geht es nicht nur um IT-Infrastruktur und Software, sondern auch um die beteiligten Menschen.
Bei unserer täglichen Arbeit stolpern wir über Tests, bei denen es unseren Kunden an sicheren Routinen für das Patch-Management, die Kodierung und das Testen mangelt und sie die möglichen Risiken einfach nicht verstehen. Es ist unsere Aufgabe, ihnen zu helfen. Wir müssen sie aufklären, wo und wann sie es brauchen. Wir als Sicherheitsexperten müssen uns selbst um die Sicherheit kümmern, damit unsere Kunden wissen, dass wir uns um ihre Sicherheit kümmern.
Mit der großen Umstellung auf die Nutzung von Computern anderer Leute (auch bekannt als "Cloud") zur Unterstützung von On-Premise-Infrastrukturen, Plattformen und Diensten müssen neue Richtlinien und Verfahren in Betracht gezogen werden. Diese "neuen" Umgebungen werden oft so dargestellt, als seien sie vollkommen sicher. An und für sich mögen sie das sein, aber was Sie auf dem Fundament aufbauen, ist eine ganz andere Geschichte. Sie können das stärkste Fundament bauen, aber wenn die Struktur, die darauf sitzt, zusammenbricht... was nützt es dann?
Sind Ihre Daten gesichert?
Dies bringt uns zu externen Drittanbietern. Die meisten Unternehmen benötigen mehrere Lösungen für den täglichen Arbeitsablauf. Nicht alle diese Anforderungen können mit internen Ressourcen oder maßgeschneiderten Anwendungen erfüllt werden. Die Gründe dafür können unterschiedlich sein, aber die Kosten sind in der Regel ein wichtiger Faktor bei dieser Entscheidung. Entweder kostet das Unternehmen mit der aktuellen Lösung zu viel Zeit, oder die Entwicklung einer eigenen Lösung wäre zu teuer, um sie zu erstellen, zu entwickeln und zu warten. Wenn Sie sich ein Problem vorstellen können, gibt es in der Regel andere, die dasselbe Problem haben. Und oft gibt es irgendwo im Internet eine Lösung für dieses Problem.
Das große Verkaufsargument ist, dass es sich um einen sofort einsatzbereiten Dienst handelt, der von jemand anderem gepflegt wird. Alles, was Sie tun müssen, ist ihn zu nutzen. Das bringt natürlich auch einige potenzielle Probleme mit sich. Sie haben nicht die volle Kontrolle über das, was geschieht. Und warum sollten Sie das auch? Sie haben jemand anderen dafür bezahlt, sich darum zu kümmern!
Wenn Sie Ihre Daten in fremde Hände geben, möchten Sie sichergehen, dass sie ordnungsgemäß und sicher behandelt werden. Wenn Sie ein Unternehmen auf sein Produkt ansprechen, sollten Sie einige Dinge beachten:
- Transparenz
- Flexibilität
- Verschlüsselung
- Sicherheit
Transparenz
Die Nutzung vieler sozialer Medienplattformen ist "kostenlos", und Sie müssen lediglich deren Bedingungen und Konditionen akzeptieren. Wenn Sie ein Produkt kaufen, sollten Sie bestimmte Rechte haben, wenn es darum geht, was Sie kaufen, sowie eine legitime Ausrede, um sich zu beschweren, wenn etwas nicht so ist, wie es beworben wird.
Eine der ersten Fragen, die man dem Anbieter stellen sollte, lautet: "Wie sieht Ihre Sicherheitspolitik aus? Was sind Ihre Sicherheitsverfahren? Führen Sie regelmäßig oder überhaupt Penetrationstests durch? Und können wir diese Berichte sehen?". Ja, das sind mehr als eine Frage. Es ist nicht immer so einfach.
Unsere Überlegungen dazu sind... wenn sie auf diese Antworten nicht vorbereitet sind, haben sie die Sicherheit nicht als Priorität. Wenn sie nicht bereit sind, ihre Richtlinien und Verfahren mitzuteilen, haben sie der Sicherheit möglicherweise keine Priorität eingeräumt. Wenn sie die Ergebnisse früherer Penetrationstests nicht mitteilen wollen, versuchen sie möglicherweise, etwas zu verbergen.
Flexibilität
Auch wenn Sie ein fertiges Produkt kaufen, kann es erforderlich sein, es an die spezifischen Anforderungen Ihres Unternehmens anzupassen. Die tatsächlichen Bedürfnisse und Anforderungen sind dabei nicht der entscheidende Teil. Vielmehr kommt es darauf an, ob der Anbieter Ihren Bedürfnissen gegenüber aufgeschlossen ist. Interessieren sie sich für Ihre Fragen? Scheint er bereit zu sein, Ihnen bei der Lösung zu helfen? Können Kompromisse geschlossen werden?
Manche Dienste sind einfach nicht in der Lage, bei der Umsetzung flexibel zu sein. Dies könnte jedoch eine Gelegenheit sein, um zu sehen, wie das Unternehmen mit seinen Kunden umgeht.
Verschlüsselung
Der Einsatz von Verschlüsselung zum Schutz der Datenübertragung im Internet ist heute gängige Praxis. Ende 2018 liegt der Anteil des Datenverkehrs, der HTTPS verwendet, bei über 72 %. und steigt. Das ist eine enorme Steigerung gegenüber den Vorjahren! Und obwohl dies eine großartige Sache ist, garantiert es in keiner Weise, dass es richtig implementiert ist. Ist SSL/TLS ordnungsgemäß implementiert? Werden die neuesten Standards angewandt? Müssen Sie "zahlen, um mitzuspielen", um den besten Service und die beste Verschlüsselung zu erhalten? Befindet sich Ihre "sichere" Umgebung auf demselben Rechner wie die anderen Kunden, die nicht für die besten Sicherheitsoptionen bezahlen wollen? Da fühlen Sie sich doch ein bisschen unwohl, oder? Hat man vergessen, Ihnen das zu sagen? Huch! Ich schätze, Ihre schicke Verschlüsselung ist jetzt nicht mehr so wichtig...
Sicherheit
Schließlich kommen wir zu dem Hauptpunkt, warum wir hier sind und warum wir tun, was wir tun. Uns liegt die Sicherheit am Herzen. Nicht nur für unsere Kunden, sondern auch für uns selbst, denn in Wirklichkeit ist alles irgendwie miteinander verbunden.
In unserer täglichen Arbeit sehen wir eine Menge Probleme. Die OWASP Top 10 ist keine willkürliche Liste, sondern diese Probleme sind sehr weit verbreitet. Die Gründe, warum wir diese Probleme immer wieder sehen, sind endlos und wir könnten sie den ganzen Tag lang auflisten. Aber es scheint immer auf eine Sache zurückzukommen. Das menschliche Element ist oft das schwächste Glied in der Kette. Es spielt keine Rolle, welche ausgefallenen Sicherheitsprodukte und -dienste Sie kaufen; sie sind alle nutzlos, wenn sie nicht richtig konfiguriert, eingeschaltet/angeschlossen, nicht regelmäßig gepatcht oder zu schwierig zu verwalten sind.
Zussamenfassung
Genauso wie Sie einen potenziellen neuen Mitarbeiter gründlich überprüfen würden - gründliche Hintergrundüberprüfungen, gültige Referenzen, technisches Verständnis für die Aufgabe, für die Sie ihn einstellen -, sollten Sie bei der Prüfung einer potenziellen Bewerbung eines Dritten dieselben Verfahren und Methoden anwenden. Haben Sie mehr als einen plausiblen Kandidaten, tappen Sie nicht in die Kostenfalle. Schließen Sie diese Option nur nicht aus, bevor Sie diese tiefer gehenden Fragen zur Sicherheit gestellt haben.
Um Ihnen dabei zu helfen, haben wir eine Checkliste zusammengestellt, die als Fragebogen bei der Prüfung von Drittanbieterdiensten, die Sie möglicherweise in Anspruch nehmen möchten, verwendet werden kann und sollte. Wir haben einige Fragen hinzugefügt, die unserer Meinung nach einen guten Ausgangspunkt für die Bewertung der Sicherheitsreife der Anwendung eines Dienstanbieters darstellen.
ÜBER DEN AUTHOR
Mattias Döj ist ein sehr unkomplizierter Typ und schätzt es, neue Leute kennenzulernen und einzubeziehen. Während seiner Zeit in der IT-Sicherheit hat er global gearbeitet und ist um die Welt gereist, um eine Vielzahl von Penetrationstests durchzuführen.
Our recommandations
Die häufigsten Probleme die wir im IT-Security sehen
Most of the products you buy are aimed towards network and endpoint security. These will
Webinar: Wie man mit Application Security denkt und arbeitet
Die meisten von uns wissen, dass Sicherheit wichtig ist, aber wissen nicht wirklich, wie und wo man anfangen soll. In diesem Webinar werden wir über die Anwendungssicherheit sprechen, mit dem Schwerpunkt auf der Einbindung von Sicherheit in den Entwicklungsprozess, den häufigsten Angriffen und vieles mehr.