Automatisierte Penetrationstests unterstützen beim Sicherheitsmanagement

Security-Profis nutzen automatisierte Penetrationstests, um wiederkehrende Aufgaben effizienter zu bearbeiten und Schwachstellen schneller zu finden.

Sieht man sich digitale Security-Toolkits von Sicherheitsexperten an, spielen automatisierte Penetrationstests eine entscheidende Rolle. Als Teil eines umfassenden Security-Programms können diese Tools sehr schnell die Sicherheit von Systemen, Netzwerken und Applikationen evaluieren und eine hohe Anzahl an Bedrohungen feststellen. Security-Profis sollten diese Tools allerdings nur als Zusatz sehen und nicht als Ersatz für manuelle Tests.

Was sind automatisierte Penetrationstests?

Während eines Penetrationstests führen Security-Profis gezielte Angriffe auf Systeme und Anwendungen aus. Damit finden Sie heraus, ob man sich unautorisierten Zugriff auf Systeme ergaunern kann. Das Ziel dieser Tests ist, böswillige Hacker so gut wie möglich zu imitieren. Dafür werden dieselben Tools und Techniken verwendet, mit denen auch echte Angreifer Sicherheitslücken ausnutzen können.

Penetrationstests gelten im Allgemeinen als beste Möglichkeit, um die Systemsicherheit zu testen, da sie nah an der Realität sind. Will man diese Tests angemessen ausführen, benötigt man dafür aber Fachwissen und Zeit. Im Idealfall besitzt der Tester ein gleichwertiges oder besseres Fachwissen als die potenziellen Angreifer.

Da Penetrationstests sehr aufwendig sind, automatisieren viele Unternehmen Teile davon. Der Test wird immer noch von einem qualifizierten Security-Profi überwacht. Allerdings sind viele der Schritte automatisiert, um sich der Routineaufgaben zu entledigen. Zum Beispiel setzen Tester auf Schwachstellen-Scanner, um eine große Anzahl an Systemen auf potenzielle Sicherheitslücken zu überprüfen. Hierfür werden automatisierte Exploit-Tools verwendet, die einen mehrstufigen Angriff starten.

Warum automatisierte Tests?

Der Einsatz dieser Tools bietet Unternehmen einige entscheidende Vorteile. Scannt man die Umgebung regelmäßig, ist die Erkennung neuer Schwachstellen schneller. Weiterhin können die Tools verglichen mit manuellen Tests eine große Anzahl an Systemen auf bekannte Sicherheitslücken prüfen. Zudem müssen hochqualifizierte Fachkräfte keine monotone Arbeit ausführen und können sich auf die Koordination des Tests konzentrieren, um die Expertise da einzusetzen, wo sie am wertvollsten ist.

Automatisierte Testing-Tools können auch eine Schlüsselkomponente für Konformitätsprogramme sein. PCI DSS (Payment Card Industry Data Security Standard) setzt zum Beispiel regelmäßige Schwachstellen-Bewertungen von Systemen voraus, die bei der Kreditkarten-Verarbeitung eingesetzt werden. Automatisierung ist die einzig realistische Möglichkeit, dieser Anforderung nachzukommen.

An dieser Stelle ist allerdings anzumerken, dass Automatisierung kein Allheilmittel für PCI-Konformität ist. Der Standard besagt: Ein Penetrationstest ist im Allgemeinen ein manueller Prozess. Während man einige Automatisierungs-Tools einsetzen kann, benutzt der Tester sein Fachwissen, um Zugriff zu einer Umgebung zu finden.

Die richtigen Tools wählen

Das digitale Toolkit eines Penetrationstesters sollte eine Auswahl diverser Automatisierungs-Tools beinhalten. Damit kann er so viel Arbeit wie möglich automatisieren und zusätzlich manuell eingreifen, sollte das notwendig sein. Die Auswahl an Tools sollte eine Management-Suite für das Erkennen von Netzwerk-Schwachstellen enthalten. Beispiele sind Nessus, Qualsys oder Rapid7. Diese Tools können schnelle und umfangreiche Scans von Netzwerk-Schwachstellen im gesamten Unternehmen ausführen.

Weiterhin sollten Penetrationstester Zugriff auf Web-Penetrations-Testing-Tools wie zum Beispiel Acunetix oder WebInspect haben. Damit untersucht man Web-Applikationen auf bekannte Sicherheitslücken wie SQL Injection oder Cross-Site Scripting.

Außerdem sollte sich in jedem Security-Arsenal das Open-Source-Tool Metasploit Framework befinden. Diese Anwendung, bestehend aus Daten zu Sicherheitslücken und Exploit-Tools, ist die Brücke zwischen automatisierten und manuellen Tests. Sollten Schwachstellen von den Netzwerk- oder Web-Bewertungs-Tools gefunden werden, kann der Tester evaluieren, ob ein Angreifer diese tatsächlich auch ausnutzen kann. Grundsätzlich ist das Metasploit Framework kostenlos. Einige kommerzielle Anbieter stellen grafische Schnittstellen und andere Tools zur Verfügung, die auf das Framework aufsetzen.

Automatisierte Penetrationstests können einen entscheidenden Vorteil für Security-Programme bieten. Mithilfe dieser Tools können Sie die Security der Systeme schnell und umfassend bewerten.

Über den Autor:
Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency (NSA) und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity, wo er als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter CISSP Study Guide und Information Security Illuminated.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close