Automatisierte Penetrationstests umsichtig angehen

Automatisierung von Penetrationstests alleine reicht nicht. Tools können außerdem nicht alles erledigen. Eine sinnvolle Herangehensweise ist gefragt.

Sind Sie von Penetrationstests überfordert? Vielen Menschen geht das so. Die Flutwelle an Testanforderungen, die beispielsweise PCI DSS, Geschäftspartner, Kundenanforderungen oder Datenschutzvorgaben mit sich bringen, scheinen unendlich zu sein. Penetrationstests können entmutigend wirken. 

Man muss sich nur die Anzahl der Systeme und Anwendungen, kombiniert mit der Komplexität des Netzwerks, ansehen. Deswegen führen InfoSec-Profis lediglich „der Form halber“ diverse Prozesse durch, um Konformitäts-Anforderungen zu erfüllen oder versuchen andere Möglichkeiten zu finden, um diese Tests komplett übergehen zu können. 

Aber zu welchem Preis? Es ist wie überall im Leben. Eine halbherzige Herangehensweise an Penetrationstests wird auch nur ein halbgares Resultat liefern. Bei Konformität und Informations-Risiken ist das allerdings ein Problem und es wird unausweichlich zu Datensicherheits-Verletzungen führen.

Wer mit dieser wichtigen Business-Funktion Probleme hat, kann auch hier wie bei vielen anderen Security-Management-Aufgaben mit Automatisierung an die Sache herangehen. InfoSec-Profis können seit Jahren Aufgaben wie Log-Management, Einspielen von Patches und Quell-Code-Analyse automatisieren. Automatisiert man gewisse Teile bei den Penetrationstests, lassen sich somit die notwendigen Ressourcen reduzieren und man behält dennoch die Integrität des Penetration-Testing-Prozesses bei. Allerdings muss man umsichtig an die Sache herangehen.

Automatisierung mit Bedacht

Zunächst einmal sollten Sie Ihren speziellen Fall von „Penetrationstest“ so gut wie möglich definieren und identifizieren, was Sie damit eigentlich erreichen wollen. Einige sehen darin simple Schwachstellen-Scans, um einen Auditor zu beschwichtigen. Andere wollen beweisen, dass Sie eine einzelne Sicherheitslücke finden, die sich möglicherweise ausnutzen lässt. Ich bevorzuge eine breitere Schwachstellen-Bewertung, bei der alles mit einer IP-Adresse oder URL ein potenzielles Angriffsziel ist.

Fangen Sie mit den wichtigsten Systemen an. Unter Umständen muss man auch das Netzwerk mit einbeziehen, weil externe, böswillige Hacker und Angestellte keine Grenzen kennen. Testen Sie alle Aspekte der Systeme und versuchen Sie diese von allen Seiten anzugreifen. Andernfalls ist dieses Security-Programm so oder so gescheitert.

Diese Herangehensweise ist im Speziellen im Zusammenhang mit „automatisierten“ Penetrationstests wichtig. Warum? Weil Sie mit den derzeitigen Tools nicht jeden Test für jedes System und jede Applikation automatisieren können. Zum Beispiel lassen sich die meisten Funktionen automatisieren, die schwache Passwörter auf Netzwerk-Hosts identifizieren. 

Das gilt aber nicht für die assoziierten Prozesse, die über das Login hinausgehen, um das Netzwerk zu durchsuchen, Daten zu manipulieren und so weiter. Man nennt diese Form von Tests authentifizierte Schwachstellen-Scans (Authenticated Vulnerability Scans). Sie lassen sich zwar skripten, allerdings ist das keine echte Automatisierung.

Das gilt auch für das Entdecken von Exploits für Schwachstellen in Anmelde-Mechanismen für Web-Applikationen, Anwendersitzungs-Management und SQL Injection. Individuelle Funktionen wie das Finden von SQL Injection und das Extrahieren Daten aus der Datenbank lassen sich automatisieren. Den kompletten Prozess kann man nicht als „Ein-Klick-Lösung“ umsetzen. Der Einsatz von Menschen und Fachwissen ist notwendig, um gezielt vorgehen und die besten Resultate erzielen zu können.

Tools sind lediglich Hilfsmittel

Der Wunsch nach Automatisierung hat zu einigen neuen Funktionen in populären Schwachstellen-Scannern geführt. Dazu gehören die Spezial-Software für das Cracken von Passwörtern in Web-Applikationen wie der Acunetix Web Vulnerability Scanner. Metasploit Pro lässt sich nutzen, um an Kommandozeilen-Aufforderungen zu kommen und Backdoors einzuschmuggeln.

Aber auch diese Tools automatisieren den Prozess nicht komplett. Bei Metasploit Pro muss die IT-Abteilung zum Beispiel zuerst einen Schwachstellen-Scanner wir Nexpose oder Nessus laufen lassen, um die Security-Lücken zu identifizieren. Die Anwender-Schnittstellen von Metasploit Pro und kommerziellen Schwachstellen-Scannern sind relativ einfach. Das gilt aber nicht für alle Tools aus dem Bereich Pen-Testing. Wer kein technisches Training genossen hat, ist an dieser Stelle vielleicht etwas verloren.

Das Tolle an Penetrationstests in der heutigen Zeit ist die Menge an verfügbaren Test-Tools. Damit können Tester etwa Passwörter bei unverschlüsselten Notebooks oder drahtlosen Netzwerken binnen Minuten knacken. Auch das Starten einer Phishing-Kampagne via E-Mail zu Testzwecken ist sehr einfach möglich. 

Zugriff auf Netzwerk-Freigaben und persönliche Informationen lässt sich recht schnell ermöglichen. Allerdings ist das mit etwas mehr Aufwand verbunden als mit nur einem Klick. Penetrationstester haben möglicherweise fortschrittliche Tools in der digitalen Werkzeugkiste. Die Erkennung, das Aufzählen und das Reporting der Ergebnisse lassen sich allerdings nicht vollständig automatisieren. Meiner Meinung nach wird das auch so bleiben.

Eine tiefgreifende Security-Untersuchung ist mehr als nur ein paar IP-Adressen oder URLs eingeben und auf Los zu klicken. Bestimmte Prozesse und Workflows lassen sich hinsichtlich der Effizienz optimieren. Kreativität und gutes Fachwissen werden allerdings für den Ausgang entscheidend sein. Im Endeffekt ist es egal, wie viele „Exploits“ der Penetrationstest erkennt. IT-Profis müssen abwägen, was ein echtes Security-Risiko ist und was nicht.

Über den Autor:
Kevin Beaver arbeitet als Berater, Gutachter und Referent zum Thema Informationssicherheit für Principle Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments und Risikomanagementanalysen. Beaver ist zudem Autor und Co-Autor zahlreicher Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close