Automatisierte Penetrationstests – regelmäßige Tests für mehr IT-Sicherheit
Ein Trend der letzten Jahre ist die Automatisierung von Penetrationstests. Technisch ist das Thema nicht neu. Bereits 2007 haben erste Anbieter mit Rapid Penetration Testing und der Integration von Portscanner, Vulnerability Scanner und Exploit Framework geworben. Die DARPA hatte 2016 mit der Cyber Grand Challenge ebenfalls einen Wettbewerb für automatische Angriffs- und Verteidigungseinrichtungen ausgeschrieben.
Bei einem automatisierten Penetrationstests werden nicht nur wie im Vulnerability Scanning die möglichen Schwachstellen identifiziert, sondern auch konkrete Angriffe durchgeführt. Dadurch kann konkret geprüft werden, ob die Lücke ausgenutzt werden kann und welcher Schaden bei der Ausnutzung der Schwachstelle entstehen würde.
Automatisierte Penetrationstests ergeben großen Sinn bei externen Penetrationstests, also Angriffen aus dem Internet. Bei diesen Angriffen werden in der Regel einzelne Schwachstellen und Sicherheitslücken ausgenutzt und geprüft, ob Zugang zum internen Netzwerk oder Zugriff auf Daten möglich ist.
Vorteile automatisierter Penetrationstests
Ein automatisierter Penetrationstest hat mehrere Vorteile. In erster Linie können automatisierte Penetrationstests günstiger und häufiger durchgeführt werden. Manuelle Penetrationstests sind aufwändiger und benötigen Mitarbeiter mit speziellen Kenntnissen. Anschließend müssen Daten ausgewertet und ein Bericht geschrieben werden. In automatisierten Penetrationstests erfolgen Scannen, Angriffe und Auswertung automatisch, auch der Bericht mit Gewichtung der wichtigsten Maßnahmen wird automatisch erstellt.
Vor allem sehr große Infrastrukturen können kaum vollständig von Hand geprüft werden. Hier liegt der Vorteil automatisierter Tests klar auf der Hand. Auch für kontinuierlich durchgeführte Penetrationstests, z.B. in der Entwicklungspipeline einer Webanwendung ist die Automatisierung notwendig.
Einschränkungen automatisierter Tests
Die wichtigste Einschränkung automatisierter Tests ist, dass ihnen die menschliche Kreativität fehlt. Einen offenen Dienst mit einem Portscanner zu identifizieren ist trivial. Eine potentielle Schwachstelle mit einem Vulnerability Scanner zu identifizieren ist ebenfalls seit Jahren Standard, wie die verschiedenen Cloud-basierten automatischen Systeme zum Schwachstellenmanagement belegen.
In einem Penetrationstest einen einfachen Konfigurationsfehler als Türöffner für eine Kette von Angriffen zu nutzen, die dem Angreifer am Ende vollständige Kontrolle über die Domain geben ist in einem automatisierten Test schlicht nicht möglich. Gerade bei internen Penetrationstests sind manuelle oder hybride Tests den komplett automatischen Tests noch weit überlegen.
In jüngerer Zeit hält natürlich auch künstliche Intelligenz Einzug in Penetrationstests. Hierdurch werden Penetrationstests natürlich besser, können jedoch natürlich noch nicht mit dem Erfindungsreichtum menschlicher Angreifer mithalten.
Vorteile automatisierter Pentests
- Automatisierte Penetrationstests sind schneller durchzuführen als manuelle Penetrationstests.
- Sie ermöglichen es, schnell einen Überblick über die Sicherheit eines Netzwerks zu erhalten.
- Automatisierte Penetrationstests können viele Tests gleichzeitig ausführen, was zu einer schnelleren Identifizierung von Schwachstellen führen kann.
- Sie können dazu beitragen, dass die Sicherheit eines Systems verbessert wird, da sie in der Lage sind, Schwachstellen frühzeitig zu erkennen.
- Automatisierte Penetrationstests ermöglichen es, die Ergebnisse in einer übersichtlichen Form zu speichern und zu analysieren und strengen Compliance Vorgaben gerecht zu werden
- Die Ergebnisse aus dem regelmäßigen Pentest können als Faktor in die Kennzahlen der Informationssicherheit einfließen
Nachteile automatisierter Pentests
- Automatisierte Penetrationstests können nicht in die Tiefe gehen und sind daher nicht in der Lage, alle möglichen Schwachstellen zu erkennen.
- Bei automatisierten Penetrationstests fehlt die Kreativität eines Menschen, um alle Szenarien zu simulieren, die ein menschlicher Angreifer ausführen könnte.
- Automatisierte Penetrationstests können nicht die Kontextualisierung berücksichtigen, die bei manuellen Penetrationstests erforderlich ist.
- Automatisierte Penetrationstests können „noch“ nicht die Fachkenntnisse und Erfahrungen eines langjährigen Penetrationstesters ersetzen.
Pen Testing as a Service (PTaaS) mit hybriden Penetrationstests
Erstmal vorab – Was heißt eigentlich PTaaS (Pentesting-as-a-Service)? Damit werden Unternehmen die Ressourcen zur Verfügung gestellt, die sie für die Durchführung von gezielten und kontinuierlichen Penetrationstests und deren Umsetzung benötigen. Es bietet Unternehmen mit weniger Erfahrung in der IT-Sicherheit einen Partner und eine Plattform, die ihnen alles bietet, was sie zum Aufbau eines erfolgreichen Bedrohungs- und Schwachstellenmanagements benötigen.
Zum Umfang gehören beispielsweise eine Wissensdatenbank, um die internen Sicherheitsteams bei der Behebung von Schwachstellen zu unterstützen, sowie optional Unterstützung durch die eigentlichen Pentester, die eine Schwachstelle entdeckt haben.
PTaaS ist sehr flexibel und kann alles abdecken, von einem vollständigen Penetrationstest bis hin zu benutzerdefinierten Tests, deren gesetzliche Anforderungen eine hohe Compliance-Belastung darstellen. Insbesondere mit dem neuen IT-SiG 2.0 kommen große Herausforderungen und Nachweispflichten für den Status der IT-Sicherheit auf die Unternehmen zu.
Hybride Penetrationstests
Als besonders effektiv haben sich hybride Penetrationstests herausgestellt. Dabei werden manuelle und automatisierte Penetrationtests kombiniert. Dies ermöglicht eine flexible und an die Bedürfnisse des Unternehmens angepasste Durchführung, beispielsweise monatlich oder quartalsweise. So können Unternehmen sicherstellen, dass ihre Netzwerke und Systeme ständig überwacht werden und potenzielle Schwachstellen frühzeitig erkannt und beseitigt werden. Bei hybriden Penetrationstests ergänzen sich die Vorteile von manuellen und automatisierten Pentests.
Steigerung der Cyber Resilienz duch automatisierte Penetrationstests?
Ein Unternehmen muss eine Reihe von Maßnahmen treffen, um seine Cyber Resilienz aufzubauen und zu verbessern. Dazu gehören das Etablieren einer positiven Fehlerkultur, die Entwicklung und Umsetzung vorausschauender Prozesse sowie die Nutzung passender Technologien, wie beispielsweise PTaas oder manuelle Penetrationstests.