Der Penetrationstest ist vorbei und der Kunde hat den Bericht erhalten. Viele Kunden von uns, die bisher noch keinen oder wenige Penetrationstests gemacht haben, sind nach dem abgeschlossenen Penetrationstest erstmal ratlos. Sie halten den Bericht in ihren Händen und fragen sich: Wie nun vorgehen? Wie nutze ich die Erkenntnisse aus dem Penetrationstest am besten, um meine Organisation, Systeme und Anwendungen vor Angriffen zu schützen?
Daher wollen wir in diesem Beitrag einen kurzen Einblick in übliche Aktivitäten geben, die nach einem Penetrationstest stattfinden.
1. Nachfragen – auch nach der Abschlussbesprechung!
IT-Sicherheit ist mitunter ein kompliziertes Thema. Wir geben unser Bestes, IT-Sicherheits-Probleme und ihre Lösungen in unseren Berichten so gut wie möglich zu erklären. Dennoch gibt es manchmal Nachfragen. Besonders geeignet dafür sind die Abschlussbesprechungen, die wir mit unseren Kunden nach Auslieferung des Berichts durchführen. Falls aber doch mal etwas auch noch nach der Abschlussbesprechung unklar sein sollte: Kontaktieren Sie uns einfach. Wir helfen gerne.
2. Risiko-Nachbewertung
Unsere Analysten und Berater sind sehr erfahren in der Bewertung von IT-Sicherheits-Risiken. Aber niemand kennt Ihre IT-Umgebung und Ihr Business so gut wie Sie. Daher kann es sinnvoll sein, dass bei einigen wenigen unserer Schwachstellen die von NSIDE abgegebene Risikoeinschätzung, meist um maximal eine Stufe nach oben oder unten, angeglichen werden soll. Diese Vorgehensweise ist vor allem bei größeren Unternehmen (mindestens 500 Mitarbeiter) mit erfahrenen Ansprechpartnern für IT-Sicherheit üblich – insbesondere mit Praxiswissen zur Risikobewertung. Wenn Sie keine Erfahrung mit Risikobewertungen haben, raten wir von einer Änderung der Risikoklassen ab.
3. Behebung & Zuweisung
Das Wichtigste, was ein Kunde nach Abschluss eines Penetrationstests (oder auch Red Team Assessments) tun sollte, ist, die gefundenen Schwachstellen zu beheben. Hierbei müssen vor allem zwei Aspekte beachtet werden. Erstens: Wer behebt eine Schwachstelle? Zweitens: Bis wann ist, abhängig von den verschiedenen Risikoeinstufungen, die Schwachstelle zu beheben? NSIDE empfiehlt bezüglich der zeitlichen Dimensionen abhängig von den Risikoeinstufungen folgende Vorgehensweise:
- Kritisch (Critical): Sofort und ohne Verzögerung zu beheben, auch im Produktivbetrieb. Für kritische Schwachstellen sollte alles stehen und liegen gelassen werden. Bei kritischen Schwachstellen besteht meistens ein immanentes Risiko, dass diese sofort und ohne Weiteres durch Angreifer mit großem Schadenspotential ausgenutzt werden können.
- Hoch (High): So schnell wie möglich zu beheben, allerdings geordnet. Für Schwachstellen mit hohem Risiko sollte überlegt werden, wie diese so schnell wie möglich, allerdings nicht zwingend mit Unterbrechung des Produktivbetriebs, behoben werden können. Bei mit hohem Risiko eingestuften Schwachstellen besteht oft die Gefahr, dass diese Schwachstellen durch Angreifer – unter gewissen Einschränkungen für Angreifer oder Ausnutzung der Schwachstelle – mit großem Schadenspotential zeitnah attackiert werden können.
- Mittel (Medium): Sollten geordnet und zeitnah behoben werden. Folgt normalerweise auf die Behebung der Schwachstellen mit kritischer und hoher Risikoklassifizierung.
- Niedrig (Low): Schwachstellen mit niedrigem Risiko können irgendwann behoben werden, es besteht allerdings zeitlich nur geringe Dringlichkeit. Kunden können sich auch entscheiden, das Risiko von solchen Schwachstellen in Kauf zu nehmen und diese nicht beheben – empfehlenswert ist es aber, auch solche zu beheben.
- Info: Schwachstellen mit „Info“-Einstufung werden fälschlicherweise oft vergessen und behandelt wie „eine Stufe unter niedrigem Risiko“. Dies ist allerdings keineswegs zu empfehlen! Schwachstellen mit Info-Bewertung sind solche, bei denen NSIDE die Auswirkungen oder Implikationen von etwas, was während des Tests aufgefallen ist, nicht abschätzen konnte. Daher sollten Info-Schwachstellen auf jeden Fall durch den Kunden genauer bezüglich Ursache und Auswirkungen untersucht werden. Gegebenenfalls muss das Risiko durch den Kunden angeglichen werden.
Der Zeitplan zur Behebung der Schwachstellen muss in Zusammenarbeit mit verschiedenen Ansprechpartnern festgelegt werden – je nach dem, welche Parteien ein berechtigtes Interesse haben, ein Wort mitzureden. Hierzu können zum Beispiel Operations, Product Owner, Entwickler oder Systemadministratoren zählen. Dies ist je nach Firma und je nach Gegenstand des Penetrationstests aber unterschiedlich. Wer die Schwachstelle zu beheben hat, hängt meist vom Ort des Root Cause ab und wer normalerweise für diese Stelle und deren Entwicklung oder Betrieb zuständig ist (Frontend-Code, Backend-Code, Server, Mobile App, Active Directory, usw.).
In jedem Fall sollte aber festgelegt werden, wer die Schwachstelle zu beheben hat und bis wann.
4. Schwachstellen-Management & Nachverfolgung
Um nachverfolgen zu können, welche Schwachstellen bestehen oder bestanden, wer für diese zuständig ist und bis wann diese zu beheben sind, empfiehlt sich ein Schwachstellen-Management-Prozess. In seiner grundlegendsten Form kann dieser aus Excel-Tabellen bestehen – eine Tabelle pro Test und Prüfobjekt. Besserenfalls jedoch wird dies in einer Datenbank oder einem Issue oder Ticket Tracker verwaltet. In den Tabellen bzw. Issues/Tickets wird festgehalten, wann eine Schwachstelle entdeckt wurde, was ihre Risikoeinstufung ist, ihre potentiellen Auswirkungen, der technische Hingergrund, wer sie zu beheben hat und bis wann. Wenn Schwachstellen nicht innerhalb der Frist behoben werden, werden die zuständigen Personen kontaktiert. Sobald die Schwachstellen behoben sind, wird ihr Status entsprechend auf „erledigt“ gesetzt. Somit wird Ordnung in die Schwachstellen und ihre Behebung gebracht und Verantwortliche verlieren nicht den Überblick. Wenn ein Informationssicherheits-Managementsystem (ISMS) besteht, zum Beispiel nach ISO 27001, sollte sich das Schwachstellenmanagement in dieses eingliedern.
5. IOC-Analyse
In einigen wenigen Fällen – besonders bei mit hohem oder kritischem Risiko bewerteten Schwachstellen, die direkt aus dem Internet ausnutzbar waren – ist leider eine so genannte IOC-Analyse ratsam. IOC steht für „Indicator of Compromise“, also Indikatoren, die für die Ausnutzung einer Schwachstelle sprechen. Wenn nämlich eine Schwachstelle mit entsprechender Risikoeinstufung bereits in der Vergangenheit bestand und aus dem Internet angreifbar war, ist unbedingt zu prüfen, ob ein Angriff bereits stattgefunden hat. Sonst hat man im schlimmsten Fall bereits Angreifer im eigenen Netz oder auf eigenen Systemen, ohne es zu wissen. Eine IOC-Analyse findet heraus, ob eine Schwachstelle bereits ausgenutzt wurde, sodass weitere Gegenmaßnahmen ergriffen werden können.
6. Nachtesten (Retesting)
Wenn alle Schwachstellen behoben sind und man sich nicht sicher ist, ob die Behebung korrekt ist oder ob die Behebung eventuell umgangen werden kann, ist ein Retest ratsam. Bei einem Retest werden keine neuen Schwachstellen entdeckt, sondern nur untersucht, ob die bereits in der Vergangenheit entdeckten Schwachstellen korrekt behoben wurden – und zwar so, dass ein Angreifer auch die Behebungen nicht umgehen kann. Wenn Sie sich sicher sind, dass alle Schwachstellen korrekt behoben wurden, ist ein Retest nicht notwendig.
7. Neutests
Penetrationstests verifizieren die Sicherheit eines Systems bezüglich der aktuellen Bedrohungslage. Da sich sowohl Systeme wie auch Bedrohungslage ändern und weiterentwickeln, sind Penetrationstests keine Maßnahme, die nur einmalig ausgeführt wird und danach nie wieder. Wenn Infrastrukturen, Systeme oder Anwendungen größere Änderungen erfahren, sollten diese erneut getestet werden, damit sichergestellt werden kann, dass die Änderungen keine neuen Sicherheitsrisiken eingeführt haben. Aber auch ohne Änderungen sollten Neutests durchgeführt werden, da sich die Welt jenseits des Prüfobjekts ändert: Neue Angriffstechniken werden entwickelt und neue Schwachstellen in bestehenden Komponenten werden entdeckt und öffentlich bekannt, sodass Angreifer diese ausnutzen können.
Wie oft ein Prüfobjekt Neutests unterzogen werden sollte, ist abhängig von der Exposition des Prüfobjekts (Aus dem Internet erreichbar? Aus der gesamten Firma erreichbar? Nur für einen eingeschränkten Nutzerkreis erreichbar?) sowie vom Umfang der Änderungen, die am Prüfojekt vorgenommen werden. Meist werden Neutests 12 bis 24 Monate nach dem letzten Test oder, falls es einen gab, dem Retest durchgeführt.
Schlusswort
In diesem Artikel haben wir die häufigsten, wenn auch nicht alle, Aktivitäten vorgestellt, die nach einem Penetrationstest durch unsere Kunden durchgeführt werden. Wir hoffen, dass wir damit ein wenig Klarheit ins Dunkel gebracht haben, falls Sie oder Ihre Firma noch nicht so viel Erfahrung mit Penetrationstests oder Red Team Assessments haben. Falls Sie weitere Fragen haben, kontaktieren Sie uns einfach – wir helfen Ihnen gerne!