Bild generiert durch OpenAI's DALL·E
Der Titel mag gewagt erscheinen, aber er trifft den Nagel auf den Kopf: Unternehmen geben Millionen für Schwachstellentests ihrer Umgebungen aus, mit welchem Erfolg?
In der sich ständig weiterentwickelnden Welt der Cyber Security sollten Unternehmen stets auf der Suche nach den effektivsten Methoden sein, um ihre digitalen Assets zu schützen. Während Schwachstellenscanner einst das Nonplusultra waren, zeigt sich zunehmend, dass diese Werkzeuge nicht mehr den aktuellen Anforderungen gerecht werden.
Erstens ist das Durchführen eines Schwachstellenscans, die auf bekannten Schwachstellen basieren, nahezu wertlos.
Es ist wird angenommen, dass ein Angreifer jede gefundene Schwachstelle erfolgreich ausnutzen kann - ist dem so? NEIN.
Kann nur eine Schwachstelle mit einem CVSS Score von 9.8 einen massiven Schaden ausreichen und eine Schwachstelle mit dem CVSS Score von 5.4 nicht? NEIN.
Finden klassische Schwachstellenscanner "Konfigurationsprobleme" in einer Active Directory oder auf einem Endgerät/Server? NEIN.
Besitzen alle dieser "Konfigurationsprobleme" eine CVE und werden somit in Schwachstellenscannern gefunden? NEIN.
Verbindet ein klassischer Schwachstellenscanner die Schwachstellen und baut einen Attacktree auf? Jeder einzelner Schritt hat eine eigene CVE (und somit einen eigene CVSS Score) wird einzeln dargestellt - ist dargestellt, das diese zusammen einen Supergau darstellen können? NEIN.
Was sind Schwachstellenscanner?
Nach der etwas detailreichen Einleitung - widmen wir uns einmal neutral dem Thema.
Schwachstellenscanner sind automatisierte Werkzeuge, die Netzwerke, Systeme und Anwendungen auf bekannte Sicherheitslücken untersuchen. Diese Scanner durchforsten die IT-Infrastruktur und identifizieren potenzielle Schwachstellen, in benannten Systemen, basierend auf einer Datenbank bekannter Sicherheitslücken.
Diese Werkzeuge spielten in der Vergangenheit eine wichtige Rolle in der Cyber Security, indem sie es Unternehmen ermöglichten, regelmäßig ihre Systeme auf Schwachstellen zu überprüfen. Sie sind schnell und automatisiert, was es Unternehmen erleichtert, ihre Netzwerke regelmäßig zu scannen, ohne erheblichen manuellen Aufwand zu betreiben.
Limitierungen von Schwachstellenscannern
Trotz ihrer Nützlichkeit haben Schwachstellenscanner erhebliche Einschränkungen:
Oberflächliche Analyse: Schwachstellenscanner erkennen in der Regel nur bekannte Schwachstellen, die in ihrer Datenbank verzeichnet sind. Neue oder speziell angepasste Angriffe können sie oft nicht identifizieren.
Fehlende Kontextbewertung: Schwachstellenscanner bieten wenig bis keine Einblicke in den Kontext der gefundenen Schwachstellen. Sie bewerten nicht, wie kritisch eine Schwachstelle im spezifischen Kontext eines Unternehmens ist.
Häufige Fehlalarme: Schwachstellenscanner neigen dazu, viele Fehlalarme zu generieren. Das kann dazu führen, dass Sicherheitsteams Zeit und Ressourcen auf unwichtige oder falsche Bedrohungen verwenden.
Keine Ausnutzung der Schwachstellen: Schwachstellenscanner können Schwachstellen identifizieren, sind aber nicht in der Lage, diese auszunutzen, um die tatsächlichen Auswirkungen zu bewerten. Dadurch bleibt unklar, welche Schwachstellen tatsächlich ein hohes Risiko darstellen.
Vorgegebener Scope: Schwachstellenscanner arbeiten oft innerhalb eines festgelegten Rahmens, was bedeutet, dass keine unbekannten Assets gefunden oder geprüft werden. Dies kann dazu führen, dass unbekannte Teile der Infrastruktur unentdeckt bleiben.
Beschränkte Prüfung: Die Überprüfung basiert ausschließlich auf festgelegten Mustern aus CVEs (Common Vulnerabilities and Exposures). Dadurch werden keine Konfigurationsschwachstellen oder Angriffe im Arbeitsspeicher erkannt oder gespeicherte Passwörter bleiben ungeschützt.
Keine Korrelation von Schwachstellen: Schwachstellenscanner sind nicht in der Lage, verschiedene Schwachstellen miteinander zu korrelieren. Dies bedeutet, dass zwei kleinere Schwachstellen, die zusammen einen katastrophalen Angriff ermöglichen könnten, übersehen werden können.
Unzureichende Priorisierung: Die Priorisierung von Schwachstellen erfolgt auf Basis von CVSS (Common Vulnerability Scoring System) Bewertungen, nicht jedoch auf Basis der Kritikalität der Umgebung oder der potenziellen Auswirkungen eines Angriffs.
Was sind Penetrationstests (Pentests)?
Penetrationstests sind umfassende Sicherheitsprüfungen, bei denen ethische Hacker die Systeme eines Unternehmens durch kontrollierte Angriffe testen. Ziel ist es, Sicherheitslücken zu identifizieren und zu bewerten, indem versucht wird, diese Schwachstellen tatsächlich auszunutzen. Pentests können verschiedene Formen annehmen, darunter:
Black Box Testing: Die Tester haben keinerlei Informationen über die Zielsysteme.
White Box Testing: Die Tester haben vollständige Informationen über die Zielsysteme.
Grey Box Testing: Die Tester haben begrenzte Informationen über die Zielsysteme.
Die Zukunft der Cyber Security: Warum Schwachstellenscanner sterben
Unternehmen geben Millionen von Dollar für die Sicherheit ihrer Umgebungen aus, ist ein einfaches "ersetzen" eines Schwachstellenscanners ausreichend um die Sicherheit zu erhöhen? Absolut nicht - auch ein Dinosaurier kann die Sicherheit erhöhen.
Allerdings in einer aktuellen Lage, wo IT-Personal knapp und IT-Security Mitarbeiter noch knapper sind - müssen die Ressourcen effizient genutzt werden - somit muss sich auch die Sichtweise im Management ändern.
The twist...
Sollten Sie jetzt denken, dass ich "klassische" Penetrationstest empfehlen würde - liegen Sie leider nicht ganz korrekt.
Das Durchführen von Penetrationstests auf bekannten Schwachstellen ist nahezu wertlos. Es ist sicher anzunehmen, dass ein Angeifer jede bekannte Schwachstelle ausnutzen kann. Schließlich wurde sie aus gutem Grund als Schwachstelle identifiziert! Interessiert es Sie, ob jemand das Loch in meinen Systemen ausnutzen kann? Nein, nicht wirklich. Sie brauchen keinen Beweis dafür, dass seitliche Bewegungen (lateral Movement) innerhalb meines Netzwerks aufgrund dieser Schwachstelle möglich sind. Was Sie interessiert, ist, dass das diese Schwachstelle gestopft wird. Es ist zwar für Penetrationstester unterhaltsam, diese Schwachstellen auszunutzen - aber es beweist nichts und kostet letztendlich nur Geld.
Geben Sie einem geübten und geskillten Pentester beliebig Zeit und Ressourcen, wird dieser eine perfekte Leistung abliefern - dies kann sich heute allerdings kaum bzw. kein Unternehmen leisten. Geplante Pentests haben allerdings immer einen gewissen Scope und Zeitrahmen. Ein treffender Vergleich dazu wäre ein Pentester, der vor drei Türen steht: Eine Tür ist zugeschweißt, eine ist abgeschlossen und eine ist nur ins Schloss gefallen. Natürlich wird der Pentester zunächst die Tür wählen, die nur ins Schloss gefallen ist. Ob sich hinter der zugeschweißten Tür etwas Wertvolles befindet, bleibt danach unklar – vorausgesetzt, der Pentester ist geübt genug. Diese Situation zeigt, dass auch bei Pentests nicht alle möglichen Schwachstellen entdeckt werden können, wenn der Scope und die Zeit begrenzt sind. Der Fokus liegt oft auf den offensichtlichen und leicht zugänglichen Schwachstellen, während tiefere, komplexere Probleme möglicherweise unentdeckt bleiben. Ob ein Pentester diesen Skill und diese Zeit hat - bleibt oft dem Unternehmen verborgen.
Welche Vorteile benötigen wir gegenüber einem Schwachstellenscanner?
Tiefgehende Analyse: Die Möglichkeit bekannte als auch unbekannte CVE-Schwachstellen identifizieren. Durch Überprüfung und die Fähigkeit Schwachstellen auszunutzen präzise Ergebnisse zu liefern.
Realitätsnahe Tests: Überprüfung von echten Angriffsvektoren und Bewertung der tatsächlichen Auswirkungen von Schwachstellen. Dies gibt dem Securityteam ein klareres Bild davon, wie ein echter Angriff aussehen könnte und welche Schäden er verursachen würde.
Kontextbezogene Ergebnisse: Berücksichtigung von spezifischen Kontext eines Unternehmens und Priorisierung Schwachstellen basierend auf dem tatsächlichen Risiko. Dies hilft, Ressourcen effizienter zu nutzen und sich auf die kritischsten Bedrohungen zu konzentrieren.
Nachvollziehbare Berichte und Empfehlungen: detaillierte Berichte, die nicht nur die gefundenen Schwachstellen auflisten, sondern auch konkrete Empfehlungen zur Behebung bieten. Dies ist besonders wertvoll für die langfristige Verbesserung der Security Landscape.
Erkennung unbekannter Assets: Identifizierung von unbekannte Assets und Überprüfung dieser, was zu einer umfassenderen Sicherheitsbewertung führt.
Umfassende Prüfung: Größerer Scope als nur bekannte CVE's - auch Konfigurationsfehler und menschliche Fehler müssen mit einbezogen werden.
Korrelation von Schwachstellen: Pentester sind in der Lage, verschiedene Schwachstellen zu korrelieren und potenzielle Angriffsketten zu identifizieren, die sonst unentdeckt bleiben würden.
Risikobasierte Priorisierung: Die Priorisierung erfolgt auf Basis der Kritikalität der Umgebung und der potenziellen Auswirkungen eines Angriffs, nicht nur anhand statischer Bewertungen.
Technologische Entwicklungen wie künstliche Intelligenz und maschinelles Lernen werden künftig eine noch größere Rolle in der Cyber Security spielen. Pentests, die diese Technologien integrieren, bieten Unternehmen die Möglichkeit, proaktiv und effizient auf neue Bedrohungen zu reagieren. Zudem wird die Bedeutung menschlicher Expertise in der Cyber Security weiterhin zunehmen, da automatisierte Tools allein nicht in der Lage sind, die Komplexität moderner Angriffe vollständig zu erfassen und zu bewerten.
Fazit
Schwachstellenscanner haben ihren Platz in der Geschichte der Cyber Security, aber ihre Zeit ist abgelaufen. Die Herausforderungen der modernen Bedrohungslandschaft erfordern tiefere und umfassendere Sicherheitsbewertungen, wie sie nur durch Penetrationstests erreicht werden können. Unternehmen, die ihre digitalen Assets effektiv schützen wollen, sollten auf Pentests setzen und die Limitierungen von Schwachstellenscannern hinter sich lassen.
Die Investition in Pentests ist nicht nur eine Reaktion auf die aktuellen Bedrohungen, sondern auch eine proaktive Maßnahme zur Sicherstellung der langfristigen Sicherheit und Widerstandsfähigkeit eines Unternehmens. In einer Welt, in der Cyberangriffe immer raffinierter werden, ist es entscheidend, stets einen Schritt voraus zu sein – und das gelingt am besten mit modernen Pentests.