Bannerbild

Netzwerk-Pentests als Multi-Tool der IT-Security

Penetrationstests im eigenen Netzwerk dienen primär dazu, Sicherheitslücken aufzuspüren, um diese dann schließen zu können. Klar soweit. Es wäre aber zu kurz gesprungen, das mächtige Mittel Pentesting nur dafür einzusetzen.

Wie läuft ein Pentest ab?

Klassische Netzwerk-Pentests laufen aus der Kunden-Perspektive in der Regel sehr vergleichbar ab: Man plant den Einsatz mit einer Spezialistin und an Tag X beginnt diese mit dem Test. Während dieser läuft wird eventuell zu gewissen Themen Rücksprache gehalten – hoffentlich nicht nur, wenn ein Service geplatzt ist. Nach Abschluss des Tests wird der Report erstellt und nach Y Tagen zugestellt. Dieser enthält die Findings, aus denen nun Hausaufgaben für die eigenen IT-Teams abgeleitet werden müssen. Dann kommt die Rechnung, und nächstes Jahr beginnt das Spiel erneut.

Dabei ließe sich aus dem wichtigsten Teil, dem eigentlichen Penetrationstest, noch viel mehr rausholen. Hier zeigen wir in drei Beispielen, wie das geht.

Validierung und Optimierung von SIEM & SOC

Im Optimalfall wird ein SIEM während eines laufenden Pentests blinken wie die Weihnachtsdeko in kitschigen Hollywood-Filmen. Die spannenden Fragen sind hier:

  • Welche dieser Alarme wurden nicht durch den Pentest ausgelöst?
  • Welche Attacken des Pentests haben keinen Alarm ausgelöst?

 

Um diese Fragen beantworten zu können, müssen schlicht alle Aktionen, die beim Pentest ausgeführt werden, an das SIEM geschickt werden.

Dann ist es sogar möglich, automatisiert auf diese Fragen zu antworten: Sobald eine Log-Meldung vom Pentest empfangen wird, kann (durch die Korrelation im SIEM) geprüft werden, ob innerhalb einer Zeit X eine passende Meldung der Security-Infrastruktur eingeht. Ein smartes Pentest-Tool liefert diese Funktion mit – darauf sollten Sie also achten.

Die hier gezeigten Aktionen (Relay-Attacke und Enumeration von CIFS-Shares) sollten im SIEM alarmiert werden

Pentests als Training für Blue-Teams

Die „Angreifer“ in einem Pentest werden gerne als „Red Team“ bezeichnet, deren Gegenspieler sind demnach die „Blue Teams“ – also die eigenen Security-Spezialisten, die dafür sorgen, dass möglichst nichts passiert. Und wenn doch, wissen diese, was zu tun ist. Wissen sie doch, oder? Wissen Sie, dass sie das wissen? Das sollten Sie wissen!

Pentests eignen sich also nahezu perfekt als Brandschutzübung für Blue Teams.

  • Werden aus den Meldungen (z.B. im SIEM) die richtigen Schlüsse gezogen?
  • Werden die relevanten Leute über Vorfälle informiert?
  • Welche Sofortmaßnahmen werden eingeleitet?
Über einen einfachen Regler kann bestimmt werden, wie „laut“ ein Pentest ist

Automatisiertes Pentesting

Hierbei hilft automatisiertes Pentesting, denn damit können vergleichbare Angriffe wiederholt durchgeführt und protokolliert werden. Sind SIEM-Regelwerk und SOC-Prozesse optimiert, wird der nächste Pentest etwas weniger auffällig konfiguriert, woraufhin die Erkennungsmechanismen der Security-Lösungen nachgeschärft werden.
In diesem Kreislauf lassen sich Angriffstechniken und deren Erkennung immer weiter tunen.

Unterstützung von Proof-of-Values

Gefühlt werden täglich neue, bahnbrechende Security-Lösungen auf den Markt geworfen – eine unersetzlicher als die andere und zu jedem Bereich gibt es viele verschiedene Anbieter. Auch wenn auf Ihrer Short-List für das (hier mal angenommene) Endpoint-Protection-Projekt nur noch drei Hersteller stehen, müssen Sie sich zwischen diesen entscheiden. Und das hoffentlich auch aufgrund der Qualität und der Wirksamkeit der Lösung. Und genau hier helfen wir mit dem automatisierten Pentest: Sie installieren die drei Lösungen auf unterschiedlichen Rechnern im Netz und lassen deren Logs an eine zentrale Stelle schicken, im besten Fall an Ihr SIEM. Dann führen wir Angriffe auf diese Rechner aus. Echte, allerdings auf sichere und protokollierte Art. Denn nur so können die EPP-Lösungen auch ihre Leistungsfähigkeit zeigen, denn – nein – das Herunterladen und Ausführen von eicar.exe ist kein richtiger Test!

Mehr zum Thema

Neben diesen drei Beispielen für die Aufwertung von internen Netzwerk-Pentests gibt es einige Punkte, die für den dauerhaften Einsatz smarter Pentest-Tools sprechen, statt allein auf externe Dienstleister zu setzen. Wie das einfach machbar ist, erklären wir im folgendem Video.

< Zurück zur Übersicht
fernao.com | Insights | Blog | Netzwerk-Pentests als Multi-Tool der IT-Security