Penetration Test, Vulnerability Assessment oder Red Teaming?

19. Juni 2024

An dieser Stelle möchten wir Ihnen einen Teil der Produkte näher bringen und erläutern, worin sich diese unterscheiden.
Im Bereich Sicherheitsaudits bieten wir die Produkte Vulnerability Assessment, als auch Penetration Test und Red Teaming an. Doch was sind die Merkmale dieser Produkte und worin unterscheiden sich Diese? 

Vulnerability Assessment 

Unter Vulnerability Assessments versteht man eine automatisierte Suche nach bekannten Schwachstellen. Ein Vulnerability Assessment ist die grundlegendste Methode, eine IT-Infrastruktur abzusichern. Professionellen Schwachstellenscannern suchen dabei automatisiert bekannte Lücken in Firewalls, Applikationen, Webseiten und Servern.  
Erkannte Schwachstellen können häufig durch Änderungen in der Konfiguration eines Service oder durch ein Update behoben werden.  
Auf diese Weise kann schon ein Großteil der Gefahren aus dem Netz gebannt werden. Auch Kriminelle scannen das gesamte Netz durchgängig und halten so nach leichten Opfern, sogenannten Low Hanging Fruits Ausschau. 

Penetration Test

Ein Penetration Test ist im Gegensatz zu einem Vulnerability Assessment deutlich umfangreicher. Zwar beginnt ein Penetration Test in der Regel auch mit einem Vulnerability Assessment, um eben die genannten „Low Hanging Fruits“ auch zu entdecken und in einem abschließenden Bericht zu vermerken. Jedoch beinhaltet ein Penetration Test auch diverse Maßnahmen, die manuelles Eingreifen und Umsetzen eines IT-Sicherheitsanalysten, auch bekannt als White Hat Hacker, notwendig machen.  
Nur entdeckt man auch individuelle Konfigurationsfehler von Systemen. 

Ein weiterer Zusatz eines Penetration Test im Vergleich zu einem Vulnerability Assessments ist die Überprüfung von Services nach schlecht gesicherten Benutzeraccounts und Daten, die nicht für jedermann zugänglich sein sollten.  

Auch prüfen Penetration Tester nicht nur öffentlich verfügbare Services, sondern auch unternehmensinterne Systeme und noch nicht veröffentlichte IT-Produkte. Dazu kann es nötig sein, dass Analysten direkt vor Ort im Unternehmen tätig werden oder spezielle Zugänge eingerichtet werden, um den Analysten die interne Infrastruktur verfügbar zu machen. 

Eine interne Prüfung ist nötig, um zum Einen Innentätern zuvor zu kommen, aber auch um ein Fortbewegen innerhalb des Netzwerkes zu erschweren, wenn der Hacker bereits Zugang zum internen Netzwerk bekommen hat. 

Red Teaming 

Die Königsdisziplin der IT-Sicherheitsaudits ist das sogenannte Red Teaming. 

Hierbei werden zwar auch Elemente der vorherigen beiden genannten Arten genutzt, jedoch agiert das Analystenteam als Angreifer. Dabei ist auch denkbar, das die Angreifer dabei auch auf physische Weise versuchen, Zugang zum Unternehmensnetzwerk zu bekommen. Das Überwinden von schlecht gesicherten Türen oder unaufmerksamen Mitarbeitenden sind hier denkbare Fälle. Auch andere Social Engineering Methoden wie Phishing könnten hier eingesetzt werden. 

Während bei Vulnerability Assessments und Penetration Tests die IT-Abteilung bzw. das Verteidigerteam (Blueteam) des zu untersuchenden Unternehmens aktiv am Fortschritt der Aktion mit beteiligt wird, verläuft ein Red Teaming anders. Ein eingeweihtes White Team, das als Schiedsrichter und Kontakt zum Auftraggeber agiert, prüft den Fortschritt des Red Teamings und entscheidet, welche Meldungen und Informationen an das Verteidigerteam weitergeleitet werden.  

Durchschnittlich befinden sich Hacker bereits 175 Tage im Netzwerk ihrer Opfer, bevor die Unternehmen sie überhaupt entdecken.  

Das Angreiferteam, als Red Team bezeichnet, geht während des Audits so vor, wie es ein realer Angreifer tun würde. Dazu gehört auch, dass Verschleierungstaktiken angewandt werden. Die Auditoren simulieren so ein Vordringen in das Unternehmensnetzwerk, wie es bei einem echten Hackerangriff der Fall wäre.  
Auf diese Weise können nicht nur die bestehenden Abwehrmaßnahmen des Unternehmens besonders auf Wirksamkeit geprüft werden. Auch der menschliche Faktor der Verteidiger wird überprüft und geschult, um die Erkennung eines Angriffs in Zukunft zu verbessern. Durch Red Teaming erhält ein Blue Team die Möglichkeit, die Verteidigungsmechanismen in Aktion zu sehen und Abläufe zu trainieren.  

Das White Team beobachtet die getroffenen Maßnahmen und deren Wirksamkeit, um sie anschließend zu bewerten und die richtigen Lehren aus gemachten Fehlern zu ziehen. 

Wichtig zu wissen ist, dass es bei einem Red Teaming nicht darum geht alle Schwachstellen zu finden, sondern die notwendigen, um sich innerhalb des Netzwerkes bewegen und auf Daten zugreifen zu können. 

Gemeinsamkeiten und Unterschiede 

Gemeinsam haben alle Sicherheitsaudits das Endprodukt – dem Abschlussbericht. Hier erhält der Kunde ein umfangreiches Dokument, in dem wir sämtliche gefundenen Schwachstellen, die sogenannten „Findings“, auflisten und nach der Schwere des „Impacts“, dem Einfluss der Schwachstelle auf die Sicherheit des Unternehmens, bewerten. Anhand dieses Abschlussberichts kann das beauftragende Unternehmen seine Sicherheitslücken stopfen. Zugleich hat es eine Grundlage und einen Nachweis für sicherheitsbewusste Kunden sowie für Unternehmenszertifizierungen. 

Auch in der Beauftragung gibt es Gemeinsamkeiten. Wichtige Bestandteile sind dabei zum einen die PTA (Permission to Attack). Diese stellt gegenseitige rechtliche Absicherung darstellt und ein solches Sicherheitsaudit erst möglich machen. Ein Sicherheitsaudit wie ein Penetration Test, ein Vulnerability Assessment oder ein Red Teaming Assessment beinhalten häufig Maßnahmen, die unter normalen Umständen illegal wären. Durch die PTA erteilt das beauftragende Unternehmen den Auditoren jedoch die Erlaubnis, diese Maßnahmen auf die definierten Unternehmensstrukturen durchzuführen und befreit sie in gewissem Umfang vor rechtlichen Konsequenzen. Leichtfertiges Vorgehen und vorsätzliche Zerstörung bleiben selbstverständlich weiterhin strafbar.  

Ein weiterer Bestandteil der Beauftragung eines Sicherheitsaudits ist die Erstellung und Abstimmung von Regularien zwischen Auditoren und beauftragendem Unternehmen. Hierbei stimmen sich beide Seiten ab, ob bestimmte Findings bereits frühzeitig bekanntgegeben werden sollen, beispielsweise wenn es sich um besonders gravierende Schwachstellen handelt. Auch können Zeiträume definiert werden, in denen die Tests stattfinden sollen. Hierdurch kann man zum Beispiel verhindern, dass es im Unternehmen zu Einschränkungen der Verfügbarkeit der Systeme während besonders wichtigen Zeiträumen kommt. Dies kann kurz vor einer Hauptversammlung sein oder der Vorstellung eines neuen Produktes, bei der eine erhöhte Serverauslastung zu erwarten ist. 

Fazit – Welche Art von Sicherheitsaudits sollte mein Unternehmen durchführen? 

Diese Frage stellt sich natürlich. Die verschiedenen Auditverfahren haben jeweils Vor- und Nachteile, schließen sich jedoch gegenseitig nicht aus. 

Ein Vulnerability Assessment ist vom Umfang vergleichsweise gering und daher nicht allzu zeitintensiv. Die Ergebnisse lassen Rückschlüsse auf den allgemeinen Sicherheitszustand der Infrastruktur nach außen zu und schützen vor einem Großteil von Hackerangriffen. Bekannte Schwachstellen sind in den allermeisten Fällen mit einem Update oder kleinen Anpassungen in Konfigurationen beseitigt. Gleichzeitig bedeutet ein alter Patchstand schnell ein großes Sicherheitsrisiko, da häufig bekannt ist, wie Hacker diese Schwachstellen ausnutzen können. Diese Informationen sind meistens Teil von sogenannten „Proof of Concept“-Veröffentlichungen, die Sicherheitsforscher als Beweis für die Schwachstelle im Internet verbreiten. 

Aus diesem Grund empfehlen wir, ein Vulnerability Assessment in regelmäßigen und kurzen Abständen durchzuführen.  

Penetration Tests sind umfangreicher und aufwändiger, bieten jedoch deutlich mehr Sicherheit durch die Entdeckung von individuellen Fehlkonfigurationen. Ein solcher Test sollte zumindest bei der Einführung von neuen Services durchgeführt werden, jedoch grundsätzlich auch in regelmäßigen Abständen. Dabei sollten Sie auch die interne Infrastruktur bedenken. 

Am aufwändigsten ist tatsächlich ein Red Teaming. Nichtsdestotrotz ist es eine notwendige Maßnahme, um das Unternehmen umfassend vor Hackerangriffen zu schützen, Maßnahmen zur Verhinderung eines solchen umzusetzen sowie Reaktionsketten bei einem erfolgten Hackerangriff zu prüfen. Die Ausbildung der Verteidiger ist essenziell für eine schnelle Reaktionsfähigkeit. Nur Handlungssicherheit im Falle eines erkannten Hackerangriffs bietet die Möglichkeit der rechtzeitigen Eindämmung und Schadensbegrenzung. Red Teaming ist in Deutschland noch nicht weit verbreitet. Daher stehen die Chancen gut, dass eine Menge Unternehmen ihre Abwehrmaßnahmen noch nie „in Action“ gesehen haben. 

Vulnerability Assessment, Penetration Tests, Red Teaming – Wir hoffen, dass wir Licht ins Dunkel der Fachbegriffe bringen konnten.  Gerne beraten wir Sie bei der Auswahl des richtigen Produktes. 

Weitere Blogeinträge

So erreichst du uns:

HXNWRK
GmbH
Alfred-Bozi-Strasse 12
33602 Bielefeld
Route berechnen