Trotz perfektem Patching, immer noch anfällig!
Wenn Unternehmen expandieren und neue Softwaresysteme einführen, wächst die Zahl der potenziellen Schwachstellen, denen sie ausgesetzt sind, exponentiell an. Ein Blick auf die National Vulnerability Database (NVD) oder Common Vulnerabilities and Exposures (CVE) zeigt, dass die Zahl der Open-Source-Schwachstellen in den letzten Jahren stark zugenommen hat und dies viele Möglichkeiten für Hacker ermöglicht.
Das Zuordnen und Patchen von Schwachstellen für eine große Organisation kann eine große Herausforderung sein. Ein sicherheitsbewusstes Unternehmen wird wahrscheinlich über ein engagiertes IT-Team verfügen, das hart daran arbeitet die Schwachstellen zu lokalisieren und zu patchen. Bei allem Engagement besteht jedoch immer die Gefahr, dass sie Mühe haben werden alles abzudecken. Der Patching-Prozess ist nur eine Bestandsaufnahme des aktuellen Wissenstandes bekannter kritischster Probleme, innerhalb des eigenen Unternehmens.
Selbst wenn es gelingt, “kritische” und “hohe” Schwachstellen zu patchen, arbeiten Sie wahrscheinlich mit den statistischen Werten des Common Vulnerability Scoring System (CVSS). Bei dieser “Einheitsgröße” fehlt oft der Kontext zu Ihrem IT-Netzwerks, Ihrer Anwendungen und Datenbestände.
Es besteht kein Zweifel daran, dass die Scan- und Patch-Prozesse eine wichtige Methode zur Reduzierung potenzieller Angriffsflächen sind. Selbst wenn Sie diese perfektionieren, können Sie immer noch gehackt werden.
Das Problem mit dem Schwachstellenmanagement
Es gibt zahlreiche Szenarien, die von Schwachstellenmanagement-Tools nicht berücksichtigt werden. Dazu gehören der menschliche Faktor, die Konfigurationsrichtlinien für die Sicherheitskontrolle, die Stärke der Passwort-Richtlinie und die Verwaltung der privilegierten Zugriffe, sowie die korrekte Konfiguration des Systems. Angriffe beginnen in der Regel mit einem Endpunkt, an dem der Angreifer erfolgreich z.B. Social Engineering einsetzt, oft durch gezieltes Phishing. Einmal drin, analysieren und bewerten die Angreifer Ihr Netzwerk und bewegen sich lateral, um das auszunutzen, was sie können, und somit sich Zugang zu sensiblen Daten verschaffen.
Angesichts der immer raffinierteren Angriffe und der immer fortschrittlicheren Fähigkeiten und dateifreien Missbrauchstechniken ist es von zentraler Bedeutung, das Problem aus der Perspektive des Angreifers anzugehen. Es sind nicht unbedingt die von Scannern entdeckten kritischen Schwachstellen, die bei Angriffen ausgenutzt werden: Durch geduldiges Untersuchen und Entwickeln eines echten Verständnisses der Widerstandsfähigkeit Ihres Netzwerks können Angreifer Taktiken anwenden, die speziell darauf ausgerichtet sind, Schwachstellen mit “mittlerem” oder sogar “niedrigem” CVSS-Schweregrad auszunutzen.
Die Möglichkeiten sind endlos, von einfachen Relay-Techniken bis hin zu fortgeschrittenen Group Policy Object (GPO) Hijacking-Schemata. Sie können Man-in-the-Middle-Techniken (MitM) einsetzen, um Anmeldeinformationen zu erhalten, oder DHCP-Spoofing-Angriffe, das Knacken von Passwörtern, die Ausnutzung von Endpunkten und die anschließende Ausnutzung durchführen, um ihren Angriff weiter voranzutreiben. Wenn Angreifer in Ihrem Netzwerk Fuß gefasst haben, können sie dann nach kritischen Daten wie persönlichen Finanzdaten suchen oder Wege finden, sich Zugang zu kritischen Anwendungen zu verschaffen.
Die Angreifer verbessern und erweitern ständig ihre Fähigkeiten, und sie verfügen über immer mehr Werkzeuge. Wenn neue Techniken sich als wirksam erweisen, werden sie schnell über das Dark Web und verschiedene Foren verbreitet, so dass Cyber-Kriminelle keine tiefgreifenden technischen Kenntnisse benötigen. Dies ist ein Wettrüsten ohne Ziellinie. Sie müssen die richtige Denkweise annehmen und sich zu kontinuierlicher Verbesserung und Wachsamkeit verpflichten, um voranzukommen.
Automatisierte Penetrationstests zum Ausgleich der Waage
Sich zu verteidigen, ohne die Perspektive des Angreifers zu verstehen, ist eine unglaubliche Herausforderung. Der traditionelle Ansatz für Penetrationstests gibt Ihnen nur eine Momentaufnahme davon, wie ein Angreifer in Ihr Netzwerk infiltrieren kann. Allzu oft handelt es sich dabei um eine seltene Übung, die jährlich von einem Dritten oder vielleicht von einem internen spezialisierten Team durchgeführt wird.
Es ist sehr viel verlangt, sich darauf zu verlassen, dass alle Daten gesammelt werden und ein Angriff in einem begrenzten Zeitrahmen durchgeführt wird. Angreifer beschränken sich nicht auf Bürozeiten oder Wochentage. Maschinelle Penetrationstests, die sich dieser Herausforderung stellen, beseitigen diese Mängel, indem sie Ihnen rund um die Uhr einen Überblick über Ihre Sicherheitssituation verschaffen und Ihnen verwertbare Erkenntnisse liefern, die sich auf Ihre spezifischen Systeme beziehen.
Wenn Penetrationstests zu einer erschwinglichen täglichen Übung werden, kann der Verteidiger als Erster ausnutzbare Schwachstellen erkennen und beheben, bevor schlechte Akteure sie finden und ausnutzen können. Automatisierte Penetrationstests bieten auch eine überlegene Möglichkeit, Ihre Schwachstellenbehebung zu fokussieren und zu priorisieren, je nachdem, wo de facto das größte Risiko für Ihr Unternehmen liegt.
Die Besten, der Schlimmsten austricksen
Um eine starke Sicherheitshaltung aufrechtzuerhalten, müssen Sie viele verschiedene Elemente im Auge behalten. Wenn Sie sich nur auf das Schwachstellenmanagement konzentrieren, können Sie sich vorstellen, dass Sie die Haustür sicher zuschlagen, aber es besteht die Gefahr, dass Sie hinten ein Fenster offengelassen haben. Um einen besseren Einblick zu erhalten, wie sich Angreifer Ihrem Netzwerk nähern werden, sind Pen-Tests von entscheidender Bedeutung und die Automatisierung kann Ihnen rund um die Uhr und in Echtzeit das kontinuierliche Bild liefern, das Sie benötigen.
Ein großer Mehrwert ist, dass ein stärkeres kontextbezogenes Verständnis der Schwachstellen und Verwundbarkeiten in Ihrem Netzwerk auch dazu beiträgt, Ihren Patching-Prozess zu stärken. Anstelle eines einheitlichen CVSS-Ansatzes können Sie Patches auf der Grundlage dessen erstellen, was für Ihr spezifisches Unternehmen das größte Risiko darstellt. Sie können dann die Probleme beheben, die Ihnen am meisten Sorgen bereiten, und Ihre Testszenarien sofort erneut ausführen, um die Wirksamkeit Ihrer Maßnahmen zu validieren und den Angreifern einen Schritt voraus zu sein.
Möchten Sie mehr über die Lösung erfahren, kommen Sie gerne auf mich zu. Ich freue mich auf Ihre Nachricht.
Vielen Dank für Ihre Zeit!
Sven Schmidt | Gründer & Geschäftsführer der SnD-IT Solutions |
E-Mail: s.schmidt@snd-it.de
Tel.: +49 7243 200 476-0