Vulnerability Scan, Penetration Test, 360° und Red Team Assessment: Wann brauche ich was?

secresearch - 9/4/2023 - Empfehlung

Wer unsere Webseite durchsucht hat, wird feststellen: Wir bieten viele Arten von Audits an. Insbesondere mehrere Versionen des Penetrationt Test stechen ins Auge. Doch warum unterscheiden wir hier bzw. was sind die Unterschiede? Und wann empfehlen wir welches Audit? Das möchten wir in diesem Blog-Beitrag kurz erklären.

Viele Audittypen, unterschiedliche Zwecke.

Warum wir unterscheiden

Bei all diesen Dienstleistungen handelt es sich um offensive Dienstleistungen, das bedeutet das Unternehmen (oder Testobjekt) wird aus der Sicht eines Angreifers gesehen und angegriffen (eine Ausnahme stellt der Vulnerability Scan dar). Das Ziel ist es immer Schwachstellen zu finden um diese beheben zu können. Die Herangehensweise, der Umfang und und das Ziel sind jedoch sehr unterschiedlich. Daher haben wir uns entschlossen diese in unterschiedliche Seiten und Kategorien zu unterteilen.

Vulnerability Scan

Ein Vulnerability Scan ist eine hochautomatisierte Methode um in kurzer Zeit möglichst viele Schwachstellen zu finden. Dabei wird ein fester Bereich an IP-Adressen (intern oder extern) festgelegt, die mit Scannern durchsucht werden. Wir setzen hier auf eine eigene Kombination unterschiedlicher Scanner um ein möglichst umfangreiches Bild zu erhalten.

Durch die hohe Automatisierung kann ein großer Bereich (zum Beispiel ein Firmennetzwerk mit hunderten oder tausenden Hosts) in relativ kurzer Zeit nach Schwachstellen durchsucht werden. Dieser grosse Vorteil kommt auch mit einem grossem “Aber”: So gut automatisierte Scanner mittlerweile auch sein mögen, sie können in der Regel nur bereits bekannte Schwachstellen finden. Eine kleine Ausnahme ist hier die Kombination mit Web-Scannern, wie wir sie zusätzlich verwenden um bestimmte Klassen von Schwachstellen in Web Applikationen und -Seiten zu finden.

Doch es muss klar gesagt werden: (Noch) kann kein Scanner Ergebnisse liefern wie dies ein/e erfahrene/r menschliche/r Analyst/in kann.

Doch heisst das, dass wir bei einem Vulnerability Scan nur “auf den Knopf drücken” und dann Geld für die Arbeit der Maschine verlangen? Natürlich nicht!

Einerseits sind die Scanner teilweise kostenpflichtig und wir entwickeln diese auch intern weiter – dies ist ein Teil der Leistung. Andererseits gibt es einige wichtige Aufgaben, die noch nicht durch Maschinen erledigt werden können. So muss im Vorhinein der Scan vorbereitet werden, das Setup muss durchgeführt werden und auch während und nach des Scans sind unsere Analyst:innen gefragt: Die Ergebnisse die der Scanner liefert müssen überprüft werden (um False Positives auszuschliessen), es benötigt eine Interpretation und Anleitung zur Behebung. Dies sind alles Aufgaben, die unsere erfahrenen Analyst:innen übernehmen.

Wann sollte ich einen Vulnerability Scan durchführen?

Insbesondere wenn es noch keinen Überblick über die Schwachstellen oder gar die Sicherheitslage in einem Unternehmen gibt eignet sich ein Vulnerability Scan um ein Lagebild zu erhalten.

Ein Vulnerability Scan eignet sich auch besonders als wiederkehrende Sicherheitsüberprüfung, denn nach einmaliger Einrichtung sind die Kosten für regelmässige Scans deutlich geringer. Neue Schwachstellen und Geräte können gefunden werden, während sich die Ausgaben gering halten lassen. Ein Ersatz für einen Penetration Test oder gar Red Teams Assessment sind Scans jedoch nicht.

Fazit

Der Vulnerability Scan ist ein gutes Werkzeuig zur wiederkehrenden oder erstmaligen Feststellung von Schwachstellen, intern oder extern.

  • Der Umfang (Scope) ist eine Liste von IP Adressen, Hosts oder Subdomains
  • Der Test ist ausschließlich technisch
  • Hoher Automatisierungsgrad
  • Breite Abdeckung, aber kein “Test in die Tiefe”
  • Unbekannte Schwachstellen werden nicht gefunden
  • Der Aufwand richtet sich nach der Anzahl der zu prüfenden Hosts/IPs
  • Geringe Kosten in Relation zur Menge der zu prüfenden Objekte

Hier geht es zu unserem Vulnerability Scan oder direkt zum Kontakt.

Penetration Test

“Wir brauchen einen Penetration Test” – diesen Satz haben bestimmt viele Menschen gehört oder gesagt, die sich mit Sicherheit in ihrer Organisation beschäftigen. Doch was ist der Penetration Test und wie ist diese Leistung bei Sec-Research definiert und wie unterscheiden wir zu unseren anderen Leistungen?

Der Penetration Test wird von erfahrenen Penetration Tester:innen (Anaylst:innen) durchgeführt. Dabei werden im ersten Schritt auch automatisierte Werkzeuge wie Scanner verwendet. Diese dienen jedoch nur als Einsprungspunkt und zur Informationsbeschaffung für die Analyst:innen. Wir verwenden die hier erlangten Informationen nur um die einen Überblick zu bekommen und suchen dann manuell nach Schwachstellen. Hierbei können auch bis dato unbekannte Schwachstellen entdeckt werden oder organisatorische/prozessuale Schwachstellen.

Auch der Umfang/Scope unterscheidet sich bei einem Penetration Test. Wir definieren einen Penetration Test als Leistung mit einem “well-defined” Scope. Folgend finden sich einige Beispiele für derartige Scopes:

  • Interner Penetration Test: Wir erhalten Zugang zu einer internen Netzwerkdose oder einem internen Client und testen entweder das Netzwerk oder den Client und das Netzwerk. Dieser Test simuliert insbesondere Angreifer die Zugriff auf einen Client erhalten oder sich bei einer Netzwerkdose einfach anstecken. Hier wird alles angegriffen und getestet was erreichbar ist. Der Scope ist hier das gesamte interne Netzwerk inklusive erreichbarer Services und Applikationen.
  • Externer Penetration Test: Hier wird das Netzwerk von Aussen angegriffen. In der Regel erhalten wir hier keine besonderen Zugangsdaten sondern müssen diese entweder besorgen, Schwachstellen ausnutzen und finden oder Authentifzierungen umgehen. Dieser Test ist besonders wichtig wenn es darum geht die Angriffsfläche aus dem Internet zu identifzieren. Angegriffen und getestet wird hier i.d.R. die gesamte extern erreichbare Infrastruktur – von Web-Servern über Seiten bis hin zu VPN Services. Der Scope ist die gesamte extern erreichare Infrastruktur inklusive Applikationen und Webseiten.
  • Web Penetration Test: Dieser Test eignet sich, wenn eigene Web-Applikationen oder -seiten entwickelt wurden, die über das Internet erreichbar sind oder als Produkt vertrieben werden. Wenn es sich um eine Web-Applikation mit Login handelt erhalten wir hier i.d.R. Zugangsdaten zur Applikation. Hier geht es darum, Schwachstellen zu finden, die ein Angreifer mit Zugang zur Web-Applikation (und u.U. mit Zugangsdaten) ausnutzen könnte. Der Scope ist hier die Web-Applikation inklusiver aller relevanter Komponenten.
  • App Penetration Test: Auch der Penetration Test einer mobilen App (Android oder iOS) ist ein gut und scharf begrenzter Umfang. Hier Testen wir die App nach den Standards des OWASP MASVS (OWASP Mobile Application Security Verification Standard). Als Umfang/Scope wird die App inklusive der Backend-Dienste definiert.

In der Regel werden diese Arten von Tests nicht verdeckt ausgeführt, sondern sind innerhalb der Organisation bekannt. Ebenso ist der Testzeitraum fest definiert und erstreckt sich über einige Tage bis höchstens wenige Woche (je nach Umfang).

Wann sollte ich einen Penetration Test durchführen und welcher Umfang ist sinnvoll?

Es gibt verschiedene Szenarien, in denen ein Penetration Test sinnvoll ist:

  • Interner und externer Penetration Test werden oft kombiniert um ein aussagekräftiges Bild der Sicherheitslage zu erhalten. Dieser Test kann jeder Organisation ans Herz gelegt werden.
  • Web Penetration Tests eignen sich zur überprüfung der Sicherheit einer Web Eigenentwicklung. Zugekaufte Web Applikationen sollten i.d.R. durch den Hersteller geprüft werden.
  • App Penetration Tests sollten durchgeführt werden, wenn eine App selbst entwickelt wurde.

Fazit

Ein Penetration Test ist ein manueller Test auf einen gut definierten und abgegrenzten Bereich, der in die Tiefe geht und eine aussagekräftiges Bild über die Sicherheits des Testobjekts liefert.

  • Der Test findet auch prozessuelle Schwachstellen (Business Logik) und unbekannte technische Schwachstellen
  • Hauptsächlich manuelle Arbeit, Scanner und Tools werden von Testern nur als Hilfsmittel eingesetzt
  • Umfang ist scharf definiert, das Scope wird nicht verlassen
  • Der Aufwand richtet sich nach dem konkreten Test Objekten
  • Der Test geht in die Tiefe, der Umfang ist nicht beliebig erweiterbar

Hier geht es zu unserem Penetration Test oder direkt zum Kontakt.

360° Penetration Test

Der 360° Penetration Test kombiniert einige der oben genannten Szenarien. Das Ziel bzw. Scope ist hier die gesamte Organisation. Zusätzlich werden weitere Methoden wie Phishing, Social Engineering oder physischer Zugriff verwendet, um in die Organisation einzudringen. Der 360° Test kombiniert also viele Angriffsvektoren und -methoden und soll ein umfangreiches und gleichzeitig in die Tiefe gehendes Gesamtbild der Sicherheitslage liefern.

Beim 360° Test verwenden wir fortgeschrittene Methoden und simulieren eine Vielzahl von Angriffsszenarien. Im Vorgespräch wird festgelegt, welche Methoden eventuell nicht verwendet werden dürfen oder ob es bestimmte Einschränkungen gibt, um den Betrieb nicht zu gefährden.

Der 360° Test wird meistens teilweise verdeckt durchgeführt. Das bedeutet, dass die Test:innen zunächst unerkannt bleiben bzw. verdeckt von aussen arbeiten aber im Falle dass das Eindringen über externe Infrastruktur, Phishing oder physischen Zugriff nicht erlaubt ist oder nicht vollständig gelingt ein Assume Breach Szenario herangezogen wird, bei dem wir Zugriff auf ein Gerät erhalten. Dadurch soll der Aufwand reduziert werden und gleichzeitig ein möglichst realistisches Szenario emuliert werden.

Wann sollte ich einen 360° Penetration Test durchführen?

Ein 360° Penetration Test ist sinnvoll, wenn die Organisation bereits einen gewissen Standard bei der Informationssicherheit erreicht hat und die gesamte Organisation inklusive aller Massnahmen einem Härtetest unterzogen werden soll. Der 360° Test greift auf vielen Vektoren an, ist aber noch nicht so umfangreich wie ein Red Team Assessment.

Fazit

Der 360° ist umfangreich und tiefgehend. Er simuliert einen echten Angreifer bereits recht gut und ist sowohl in der Breite als auch im Detail sehr umfangreich. Das Ziel ist es hier, mögliche Wege zu finden, die zu einer vollständigen Kompromittierung der Organisation führen können.

Er setzt sich aus mehreren Modulen zusammen und wird teilweise verdeckt durchgeführt.

Hier geht es zu unserem 360° Penetration Test oder direkt zum Kontakt.

Red Team Assessment

Das Red Team Assessment ähnelt dem 360° Penetration Test, wird aber vollständig verdeckt durchgeführt. Dabei ist es wichtig zu wissen, dass das Ziel des Red Team Assessments auch die Prüfung der Reaktion des Blue Teams, also des internen Sicherheitsteams und der Prozesse ist.

Ebenfalls gibt es hier nur wenige Ausschlüsse aus dem Scope: Was zur Organisation gehört, darf auch angegriffen werden: Externe Infrastruktur, interne Infrastruktur, Phishing, Voice Phishing, W-Lan Angriffe, physischer Zugriff – angegriffen wird, was ein echter Angreifer auch angreifen könnte.

Wir versuchen hier, möglichst realistische, auf das Ziel angepasste Angreifertypen zu simulieren. Daher analysieren wir im Vorgespräch zunächst die Bedrohungslage und welche Angreifer es besonders auf das Unternehmen abgesehen haben könnten. So sind stark regionale oder politische bzw. in den Medien präsente Organisationen oft einem anderen Angriffsdruck und -typen ausgesetzt als zum Beispiel Unternehmen in der produzierenden Industrie.

Im Red Team Assessment werden nur noch Szenarien definiert, die sich stark auf die Organisation beziehen beispielsweise:

  • Umleitung von Zahlungsflüssen im internen System einer Bank
  • Diebstahl von Kundendaten bei einem Identity Provider
  • Lahmlegen der Produktion in einem Industriebetrieb (z.B. Ransomware)

Diese Szenarien gilt es zu erreichen, bzw. kurz davor zu stoppen um zu zeigen dass und wie dies möglich wäre.

In einem Red Team Assessment kann es sein, dass nicht sämtliche Komponenten im Scope getestet werden – hier handeln wir wie ein richtiger Angreifer, der möglichst effizient sein Ziel mit dem ihm zur Verfügung stehenden Mitteln erreichen will.

Gleichzeitig soll geprüft werden ob das interne Sicherheitsteam ausreichend auf einen derartigen Angriff reagiert. So werden Aktionen des Red Teams protokolliert und dann im Nachgespräch abgeglichen. Das interne Team wird dann geschult wenn es Angriffe nicht entsprechend entdeckt hat.

Das Red Team Assessment kann mehrere Monate dauern, der genaue Ablauf und das Assessment selbst ist nur wenigen Personen im Unternehmen bekannt.

Wann sollte ich ein Red Team Assessment durchführen?

Insbesondere wenn es ein internes Sicherheitsteam gibt oder ein hoher Reifegrad der Informationssicherheit besteht zahlt sich ein Red Team Assessment aus. Es gibt auch einen äusserst realistischen Einblick, wie ein echter Angreifer handelt und welche Schäden verursacht werden könnten.

Auch wenn das interne Sicherheitsteam geprüft oder geschult werden soll, ist ein Red Team Assessment das Mittel der Wahl.

Auch für Organisationen mit besonders hohem Schutzbedarf (Anwaltskanzleien, kritische Infrastruktur wie Banken, Energiebetreiber, etc.) ist ein Red Team Assessment das Mittel der Wahl um einen realistischen Blick auf die Sicherheit und Gefährdungslage zu erhalten.

Fazit

Das Red Team Assessment simuliert einen Angriff auf höchstem Level. Die Angreifer haben viele Mittel und Wege zur Verfügung und haben die Organisation als primäres Ziel ausgewählt.

Organisationen mit mittlerem Schutzbedarf oder die erst am Anfang stehen empfehlen wir eher zu einem 360° Test zu greifen oder zunächst eine Baseline Security durchzuführen.

Hier geht es zum Red Team Assessment oder direkt zum Kontakt.

Sie wissen noch nicht, was Sie brauchen? Kein Problem – kontaktieren Sie uns einfach unverbindlich!