Pentest, Assessment oder Audit?
Sie möchten an der Sicherheit Ihrer Organisation arbeiten, aber wissen nicht, wo Sie anfangen sollten? Wenn Sie darüber nachdenken, Ihre Sicherheit extern beurteilen zu lassen, dann denken Sie an einen Pentest? Dann ist dieser Artikel für Sie!
In diesem Artikel gehe ich auf die Unterschiede und Vor- sowie Nachteile der jeweiligen Möglichkeiten ein, damit Sie eine fundierte Entscheidung treffen können, welches Werkzeug zu Ihren Zielen und Ihrer Lage passt.
Pentests
Immer wieder begegnen mir Kunden, die einen Penetrationstest beauftragen wollen.
Ich habe dann meistens die folgenden vier Fragen an den Kunden:
1. Haben Sie eine EDR/XDR Lösung, welche es Ihnen unter anderem ermöglicht, spezifische Geräte zu isolieren?
2. Nutzen Sie LAPS oder einen ähnlichen Mechanismus in Ihrem Active Directory?
3. Haben Sie ein Konzept für Logging bzw. sammeln Sie Logs für einen angemessenen Zeitraum manipulationssicher an einer zentralen Stelle (SIEM)?
4. Nutzen Sie Windows Enterprise oder Pro?
Die Beantwortung dieser wenigen Fragen reicht oftmals aus, um sich einen ersten Eindruck zu verschaffen, wo der Kunde Sicherheitstechnisch steht.
Wenn der Kunde diese Fragen komplett oder größtenteils mit nein beantwortet, dann rate ich generell von einem Pentest ab.
Oftmals stößt das auf Unverständnis. Doch dieses rührt leider von einem fehlenden Verständnis von Risikomanagement, daher möchte ich gerne an dieser Stelle oberflächlich darauf eingehen, warum ein Pentest für so einen Kunden faktisch nicht nur das falsche Werkzeug im Werkzeugkasten ist, sondern darüber hinaus sogar schädlich sein kann und weshalb ich bei solchen Kunden mich und den Kunden schütze, in dem ich keinen Pentest anbiete.
100% Sicherheit gibt es in der IT nicht. Sicherheit ist eine Frage von Ressourcen (in Form von ergriffenen Maßnahmen und Mitarbeitern, also Geld).
Auf der anderen Seite stehen die Angreifer, welche Ihre Ressourcen (Geld) einsetzen, um einen Angriff auf Ihre Organisation zu monetarisieren (zumindest bei finanziell motivierten Angreifern).
Dabei rechnen Angreifer wie andere auf Gewinn ausgelegte Organisationen mit einem Return of Investment (ROI).
Ihr Ziel sollte also sein, ihr Security-Budget einzusetzen, um die Angriffskosten zu erhöhen, und damit den ROI von finanziell motivierten Angreifern zu minimieren.
Dabei ist das einzige was Sie limitiert, Ihre Ressourcen bzw. Ihr Security-Budget.
Nehmen wir nun ein Beispiel aus meinen eingangs erwähnten Fragen: Sie haben kein LAPS und nutzen kein Windows 10 Enterprise. Das bedeutet in den meisten Fällen, dass es einen lokalen Administrator gibt, welcher auf allen Geräten der Organisation das gleiche Passwort hat. Es ist bekannt dass man auf einem Windows 10 Pro Gerät (ohne Credential Guard) mittels Tools wie Mimikatz den NTLM hash des lokalen Administratorkontos erlangen kann und eine Pass the Hash Attacke durchzuführen könnte. Dadurch erlangt ein Angreifer unter Umständen nach der Kompromittierung einer einzelnen Maschine die administrative Kontrolle über alle netzwerkseitig erreichbaren Maschinen. Ein Worst-Case-Szenario.
Das ist ein bekanntes Playbook von Angreifern.
Nun haben Sie die Wahl. Möchten Sie, dass wir Ihnen das beweisen und für diesen aufwendigen und zeitintensiven Pentest einen mittleren 5-Stelligen Betrag abrufen, oder möchten Sie das Geld lieber in die Implementierung von Maßnahmen stecken, die diesen Angriff unmöglich machen, wie z.B. LAPS?
Die Antwort sollte klar sein. Ein Pentest ist ein wichtiges Werkzeug im Werkzeugkasten, wenn alle bekannten Playbooks durch ergriffene Maßnahmen adressiert wurden. Ein Pentest kann helfen, Black Swans, also Risiken, von denen Sie nichts wissen, zu identifizieren. Aber er macht dann Sinn, wenn alle anderen Möglichkeiten zur Identifizierung von Risiken ausgeschöpft, und die jeweiligen Risiken adressiert wurden.
Wenn dies nicht gegeben ist, sollten Sie definitiv keinen teuren Pentest einkaufen. Dieser würde Ihr Security-Budget verbrennen, Ihnen nur maginalen Mehrwert bieten und daher Ihrer Sicherheitsposition mehr schaden als helfen. Denn das Budget das Sie in die Umsetzung von Maßnahmen stecken könnten, kann leider nur ein Mal ausgegeben werden.
Wir sehen es als unsere Pflicht an, Sie über diesen Umstand zu informieren und Ihnen stattdessen alternativen anzubieten. Alternativen wie ein Cybersecurity Assessment, eine maßgeschneiderte Beratung, sowie Unterstützung bei der Implementierung von Maßnahmen.
Auch wenn Sie die eingangs erwähnten Fragen mit „Ja“ beantworten konnten, bedeutet das nicht zwangsläufig, dass Ihre Organisation bereit für einen Pentest ist.
Dies lässt sich nur in einem Individuellen Gespräch klären. Kontaktieren Sie uns gerne für ein kostenloses 30-Minütiges Erstgespräch.
Assessments
Ein Assessment ist fast immer das Werkzeug der Wahl, wenn es darum geht, die Sicherheitslage einer Organisation als ganzes zu bewerten bzw. Ihnen weiter zu helfen, in dem wir Ihnen auf eine kostengünstige Art und Weise Empfehlungen geben.
Ein Assessment ist wie der Name schon sagt eine Bewertung und unterscheidet sich von einem Pentest dahingehend, dass Schwachstellen holistisch identifiziert, aber nicht ausgenutzt werden. Dies spart kosten.
Des weiteren bekommen Sie bei den von uns ausgeführten Assessments einen ca. 60-Seitigen Report, der Ihnen Handlungsempfehlungen gibt und diese priorisiert. Sie bekommen also eine Roadmap an die Hand, mit der Sie entweder selbst oder mit unserer Unterstützung direkt los legen können, Ihre Situation zu verbessern.
Kontaktieren Sie uns gerne für weitere Informationen.
Audits
Ein Audit ist keine Bewertung, sondern eine Überprüfung. Für eine Überprüfung wird geprüft, ob der IST-Zustand, dem SOLL-Zustand entspricht.
Der SOLL-Zustand kann z.B. ein Standard wie ISO27001:2022, TISAX oder NIS2 sein.
Hier muss man zwischen Konformität und Sicherheit unterscheiden.
Standards wie z.B. ISO27001 erfordern meist, dass Sie Prozesse und Richtlinien definiert haben. Der SOLL-Zustand ist also, dass Sie z.B. ein Dokument haben, welches einen Prozess beschreibt, über den Sie regelmäßig Ihre Switches updaten. Die Existenz solch eines Dokuments sagt jedoch nichts darüber aus, ob diese Praxis auch gelebt wird.
Audits sind daher ein wichtiges Werkzeug im Werkzeugkasten, wenn Sie sich z.B. ISO27001:2022 oder TISAX zertifizieren lassen möchten, oder, z.B. als Zulieferer der Automobilindustrie, müssen.
Audits haben jedoch nur einen begrenzten Scope und bewegen sich innerhalb der Vorgaben, die ein gewisser Standart verlangt. Das Ergebnis eines Audits ist daher nicht holistisch und wenig geeignet, eine Aussage über die tatsächlichen Risiken einer Organisation zu treffen.
Natürlich orientiert sich auch ein Assessment an etablierten Standards wie z.B. CISv8, jedoch kann man bei einer Bewertung vom Standard abweichen. Nehmen wir das CISv8 Safeguard 1.2 als Beispiel:
„Stellen Sie sicher, dass es einen Prozess gibt, der sich wöchentlich mit nicht autorisierten Assets befasst. Das Unternehmen kann das Asset aus dem Netzwerk entfernen, dem Asset den Fernzugriff auf das Netzwerk verweigern oder das Asset unter Quarantäne stellen.“
Haben Sie ein Dokument das diesen Prozess beschreibt? Super, damit ist diese Maßgabe im Kontext eines Audits erfüllt.
Aber wird der Prozess gelebt? Haben Sie die technische Möglichkeit, Assets aus dem Netzwerk zu entfernen? Nutzen Sie eine portbasierende NAC Lösung oder eine zertifikatsbasierende Lösung nach 802.1x?
Ist eine portbasierende NAC Lösung überhaupt noch zeitgemäß?
Die Frage in einem Audit adressiert also das „ob“, und ein Assessment geht darüber hinaus und adressiert zusätzlich das „wie“.
Kontaktieren Sie uns gerne, wenn Sie mehr Informationen zu den verschiedenen Audits wünschen, die wir anbieten.
Wenn Sie selbst Auditor sind, können wir Sie ebenso unterstützen, in dem wir Ihnen Möglichkeiten an die Hand geben, Ihre Prozesse effizienter zu gestallten.
Fazit
Ich hoffe, diese Übersicht über unsere Dienstleistungen hilft Ihnen zu beurteilen, wann Sie zu einem Pentest, Assessment oder Audit greifen sollten.
Alle haben eine Daseinsberechtigung, und es kommt auf die Ziele und Reife Ihrer Organisation an, welches Werkzeug geeignet ist.