Penetrationstests, Teil 1: Kalkuliertes Risiko

Die weitaus meisten Sicherheitsstandards und -vorschriften, enthalten einen Part zum Thema Risikoanalyse. Diese Anforderung findet sich beispielsweise in HIPAA, PCI-DSS, der Datenschutz-Grundverordnung der EU, NIST und SANS, um nur einige...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Die weitaus meisten Sicherheitsstandards und -vorschriften, enthalten einen Part zum Thema Risikoanalyse. Diese Anforderung findet sich beispielsweise in HIPAA, PCI-DSS, der Datenschutz-Grundverordnung der EU, NIST und SANS, um nur einige zu nennen.

Was genau ist eine Risikoanalyse? In diesem Prozess untersuchen Sie, wo ein System Schwachstellen aufweist, wie wahrscheinlich es ist, dass diese ausgenutzt werden und welche möglichen Konsequenzen einem Unternehmen dadurch drohen.

Die Kunst der Risikoanalyse
Das PCI-Team (Payment Card Industry) liefert dazu eine formellere Definition:

Ein Prozess, bei dem wichtige Systemressourcen und Bedrohungen identifiziert, Verlustrisiken (d. h. das Verlustpotenzial) basierend auf der geschätzten Auftrittshäufigkeit und den Kosten quantifiziert und (optional) Empfehlungen ausgesprochen werden, wie Ressourcen für Gegenmaßnahmen verteilt werden sollten, um das Gesamtrisiko zu minimieren.

Die Risikoanalyse ist allerdings deutlich mehr als ein Punkt auf der To-do-Liste, den man nach einem Gespräch mit dem IT-Administrator abhaken kann. Es gibt formale Methoden, die Sie zugrunde legen können, um einen eigenen Risikoanalyseplan zu erstellen – wie zum Beispiel Octave.

Die Methodologie sieht in der Regel so oder so ähnlich aus:
1. Inventarisieren Sie digitale Bestände: Identifizieren Sie wichtiges geistiges Eigentum, personenbezogene Kundendaten, Router, Server und Anwendungen sowie sonstige Software, die für die Geschäftsprozesse essenziell sind.

2. Identifizieren Sie Bedrohungen oder potenziell bedrohliche Personen in Bezug auf digitale Bestände: Regierungen anderer Staaten, kriminelle Cyber-Gangs, Hacktivisten, verärgerte Mitarbeiter und Führungskräfte, die Ihr geistiges Eigentum stehlen und es vielleicht bei der Gründung eines eigenen Unternehmens einsetzen wollen.

3. Testen Sie das System auf Schwachstellen und Sicherheitslücken, die ausgenutzt werden können: schwache Passwörter, unsichere Webanwendungen, zu locker gefasste BYOD-Richtlinien usw.

Bei Punkt 3 des Analyseprozesses heißt es: die Ärmel hochkrempeln! Bis vor nicht allzu langer Zeit haben Unternehmen sich bei ihren Sicherheitsmaßnahmen auf eine statische Liste von Risikoprüfungen verlassen: „Wir haben einen Portscan-Test bestanden, die Antiviren-Signaturen sind aktuell, und die Passwörter der Mitarbeiter mindestens sechs Zeichen lang. Mehr können wir nicht tun!“

Hier kommen Penetrationstester ins Spiel. Angesichts einer dynamischen Bedrohungsumgebung mit raffiniert vorgehenden potenziellen Angreifern benötigen Sie für die Risikoanalyse einen Profi mit viel Praxiserfahrung.

Ein Penetrationstester muss her
IT-Sicherheitsteams haben schon kaum die Zeit, sich über veröffentlichte CVEs (Common Vulnerabilities and Exposures) auf dem Laufenden zu halten – geschweige denn über neue Zero-Day-Exploits und Phishing-Techniken, von denen vielleicht derzeit nur gemunkelt wird. Sie brauchen also jemanden, der sich einzig und allein darauf konzentriert, Ihr System zu knacken.

Auch die Autoren von Standards, haben das mittlerweile eingesehen. In PCI-DSS 3.0 wurden die Anforderungen in Bezug auf Penetrationstests deutlich erhöht. Das US-amerikanische National Institute of Standards and Technology (NIST), das kürzlich mit der Entwicklung des Cybersecurity Framework beauftragt wurde, hat sich ebenfalls mehrfach deutlich für Penetrationstests und kontinuierliche Risikoanalysen ausgesprochen.

Was tun Penetrationstester eigentlich?
Das ist ein weites Feld, IT-Sicherheitsforscher haben die Aktivitäten eines Penetrationstesters aber in die folgenden vier Phasen eingeteilt: Planung, Informationsbeschaffung, Angriff und Bericht.

Penetrationstester suchen übrigens nicht nur in einer Software nach Schwachstellen. Sie denken wie ein Hacker: Wenn sie sich im System befinden geht die eigentliche Arbeit erst richtig los. Sie durchforsten weiter die Ordnerhierarchien und starten auf dieser Grundlage neue Angriffe.

Und genau das unterscheidet einen Penetrationstester von jemandem, der schlicht und einfach Sicherheitslücken finden soll, zum Beispiel mithilfe von Portscannern oder Virensuch-Software.

discovery-attack

Quelle: NIST

Angreifer sind heutzutage Spezialisten darin, den Perimeterschutz mit Phishing oder anderen Social-Engineering-Techniken zu umgehen. Sie haben es also möglicherweise gar nicht auf Software-Schwachstellen abgesehen, um in Ihr System zu gelangen.

Schlüsselwort: Post-Exploitation
In den folgenden Beiträgen dieser Serie wollen wir Ihnen die Angriffsphase nach dem Eindringen ins System näher erläutern. Penetrationstester nennen das die „Post-Exploitation-Phase“ – also alles was Hacker dann sehen und potenziell tun, wenn sie bereits durch die Tür hereinspaziert sind.

Einige dieser Tricks sind: Pass-the-Hash, das Knacken von Passwörtern und das Exfiltrieren von Daten.

Im nächsten Beitrag beschäftigen wir uns mit den sogenannten RATs (Remote-Access-Trojaner). RATs sind eine Form von APTs (Advanced Persistent Threats) und bestehen aus zwei Teilen. Der Serverteil steckt in einer Phishing-E-Mail oder ein Hacker installiert ihn manuell. Der RAT versteckt sich dann in einer anderen häufig eingesetzten Software – zum Beispiel Windows Explorer.

Der Client-Teil wird von Hackern per Fernzugriff verwendet, um Verzeichnisse zu durchsuchen, bestimmte Muster in Dateien zu finden und anschließend zusätzliche Malware hochzuladen und zu installieren.

Wenn Hacker RATs verwenden, sind die Angreifer eigentlich nicht an Ihrem System angemeldet! Sie kommunizieren lediglich bei Bedarf mit dem RAT-Servermodul. Überwachungs-Tools, die nach ungewöhnlichen Aktivitäten bei Anwendungen suchen, werden sie also nicht unbedingt erkennen.

Mit RATs haben Hacker quasi den Fuß in der Tür zum System. Und RATs erlauben es, erste kleine Post-Exploitation-Schritte zu unternehmen.

The post Penetrationstests, Teil 1: Kalkuliertes Risiko appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

penetrationstests,-teil-7:-exfiltration-und-schlussfolgerungen
Penetrationstests, Teil 7: Exfiltration und Schlussfolgerungen
In unserer Blog-Serie haben wir einige Ideen vorgestellt wie man Sicherheitslücken im System mithilfe einfacher Testsoftware identifizieren kann. Es existieren natürlich auch komplexere Tools wie beispielsweise Metasploit, mit denen man...
penetrationstests,-teil-4:-die-seitwärtsbewegung
Penetrationstests, Teil 4: Die Seitwärtsbewegung
Wenn Penetrationstester ins System gelangt sind kann man sich ihre Aktivitäten ein bisschen vorstellen wie die einer Armee oder Rebellengruppe, die ein besetztes Land plündert. Man schmarotzt sich durch das...
netzwerkdatenflussüberwachung-erklärt:-netflow,-sflow-und-ipfix-im-vergleich
Netzwerkdatenflussüberwachung erklärt: NetFlow, sFlow und IPFIX im Vergleich
Die Netzwerkdatenflussüberwachung ist eine Lösung, mit deren Hilfe die Netzwerkdatenverkehrsflüsse analysiert werden können, um einen reibungslosen und sicheren Betrieb des Unternehmensnetzwerks zu gewährleisten.
8-tipps,-um-die-datenschutz-apokalypse-zu-überleben
8 Tipps, um die Datenschutz-Apokalypse zu überleben
Heutzutage kann sich die Arbeit im Datenschutzbereich so anfühlen, als müssten Sie eine Zombie-Apokalypse überstehen – Horden von Bots und Keyloggern sind pausenlos auf der Suche nach Nahrung. Genau wie...