Security Checks jenseits der Compliance: Wie erweitertes Pentesting versteckte Schwachstellen aufdecken kann 

Morsche Tür mit Schloss
Inhaltsverzeichnis

Um sich besser gegen moderne Cyberbedrohungen zu schützen, muss bei Cyber Security Checks wie Pentesting der Schwerpunkt auf Sicherheit und nicht nur auf die Einhaltung von Vorschriften gelegt werden. Rein dem Standard zu folgen ist nicht förderlich. Viele Organisationen betrachten Pentesting und Co. lediglich als regulatorische Anforderung, statt als Möglichkeit, ihre allgemeine Sicherheitslage zu stärken. So können Compliance-orientierte Pentests kritische Schwachstellen übersehen, wenn sie sich nur primär darauf konzentrieren, Standards zu erfüllen. 

Fehlende Identifikation komplexer Angriffsflächen 

Eines der größten Probleme ist, wenn beim Pentesting nur der Fokus auf die Normen PCI-DSS oder ISO 27001 gelegt wird. Diese sind zwar grundsätzlich zuverlässig, aber nicht vollumfänglich. Meist gibt es noch weitere Bereiche, welche mit diesen Normen nicht abgedeckt werden. Hierbei geht es insbesondere um folgende Themen: 

  1. Tests spezifischer Schnittstellen 

Im „normalen“ Pentest werden meist werden keine spezifischen Schnittstellen getestet, sondern Standard-Schnittstellen verwendet. Folglich werden z.B. nur die Microsoft / AD, die üblichen Webservices über PHP oder Javascript und HTTPS oder Linux / sshd-Schnittstellen geprüft. Dies umfasst selten auch Schnittstellen von branchenspezifischen Tools oder API’s. Für umfassende Sicherheit braucht es spezielle Tests für Schnittstellen der jeweiligen Branchentools eines Unternehmens. 

  1. Tiefergehende API-Analyse 

APIs sind zu einer zentralen Angriffsstelle moderner Infrastrukturen geworden. Undokumentierte oder schlecht dokumentierte APIs sollten mittels fortgeschrittener Techniken (Fuzzing, JWT-Manipulation, Direct Injection Attacks) analysiert werden. Diese Tests gehen über die grundlegenden API-Prüfungen hinaus. 

  1. Erweiterte Netzwerksegmentierungsanalysen 

Netzwerksegmentierung kann sehr sinnvoll sein, wenn Sie richtig angewandt wird. Allerdings muss diese auch korrekt umgesetzt sein, damit ein infiziertes Gerät nicht die Möglichkeit hat, das „eigene“ bzw. „zugeteilte“ Netz zu überwinden und somit die gesamte Infrastruktur zu gefährden. Meist wird dies nicht getestet oder gar verifiziert. Hierdurch können gefährliche Brücken zwischen Netzwerken entstehen, womit ein Angreifer Zugriff auf verschiedenste Ressourcen erlangen kann. 

Unbeachtete und versteckte Angriffsvektoren 

Fortschrittliche Security Checks helfen dabei Schwachstellen zu finden, die in Standardbewertungen oft übersehen werden. Dadurch werden versteckte Bedrohungen innerhalb von Systemen und Netzwerken aufgedeckt, die sonst unerkannt bleiben würden. 

Zudem ist es wichtig, Anwendungen und Dienste auf ihre Sicherheit zu überprüfen. Meist geht es bei der Authentifizierung bloß nach dem Prinzip: „Simpel für den Benutzer“. Dies stellt ein Problem dar, da Sicherheit und Nutzerfreundlichkeit meist konträrer zueinanderstehen. Dies kann ein Angreifer nutzen, um Zugriff auf die Systeme zu erlangen. 

  1. Active Directory 

Im Active Directory (AD) lauert ein riesiger Angriffsvektor. Hier werden zentralisiert alle Anmeldeinformationen, Rechte und vieles mehr verwaltet. Compliance-getriebene Checks prüfen oft nur grundlegende Fehlkonfigurationen, während fortgeschrittenes Pentesting die Möglichkeit von Kerberos-basierten Angriffen wie Kerberoasting, ADCS-Missbrauch und das Abgreifen von GPP-Credentials analysiert.  

  1. Firmware von IoT Geräten 

Meist setzen Unternehmen auch IoT Geräte ein, welche teils nie Updates bekommen. Diese Geräte arbeiten zum Teil im Netzwerk und werden kaum berücksichtigt. Allerdings stellt das ein großes Sicherheitsrisiko dar, da diese Geräte meist nie bis selten aktualisiert werden. Folglich laufen sie meist unter dem Radar und arbeiten dabei mit einer unsicheren Firmware. Diese beinhaltet möglicherweise Sicherheitslücken, die ohne einen spezifischen Test ggf. nie auffallen. Dasselbe kann für die Firmware von Geräten wie z.B. Druckern oder gar Arbeitsstationen gelten. Durch einen Pentest kann man diese Geräte auf vorhandene Sicherheitslücken überprüfen.  

  1. Software-Installationen 

Es können Angriffe über verschiedene Einfallstore erfolgen. Hierzu zählen unter anderem manipulierte Anwendungen (auch OpenSource kann dazu gehören), sowie Software von Drittanbietern, welche ggf. Sicherheitslücken enthalten. Auch Updates der jeweiligen Software müssen auf ihre Quelle untersucht werden. Dabei kann ein Pentest Aufschluss auf die Angreifbarkeit der Software bieten. Oftmals sind auch CVE’s dokumentiert und auf diese kann geprüft werden. 

  1. Insider-Bedrohungen 

Es kommt immer wieder vor, dass Nutzer mit eigentlich eingeschränkten Rechten diese missbrauchen, um mehr Zugriff zu erlangen. Ein „normaler“ Mitarbeiter hat selten das Recht, administrative Tätigkeiten durchzuführen. Dennoch gibt es bei falsch konfigurierten Geräten oder Konten schnell die Möglichkeit, diese zu missbrauchen. Dies trifft ebenfalls auf Systeme bzw. Geräte zu, die nicht aktualisiert worden sind oder für welche es kein Update gibt. Insbesondere betrifft dies IoT-Systeme. Um Insider-Bedrohungen zu vermeiden und solche Sicherheitslücken aufzudecken, können simulierte Angriffe genutzt werden, die mit geringen Berechtigungen begonnen werden und wo geprüft wird, ob sich durch die Ausnutzung von Schwachstellen der Angriff eskalieren lässt. 

  1. Physikalischer Zugriff auf Systeme 

Es ist wichtig, Zugänge zu sichern und diesen Prozess stets zu monitoren. Es kann zuweilen vorkommen, dass unberechtigte Mitarbeiter an Orte gelangen, die Ihnen eigentlich verwehrt bleiben sollen. Hierzu gehören AP’s Switche und ggf. sogar Server. Durch ein simples Umstecken eines Kabels kann ein enormes Sicherheitsrisiko entstehen. Ein Pentest kann aufdecken, ob bereits Geräte entsprechend falsch angeschlossen oder durch Manipulation angreifbar gemacht wurden. 

Kontinuierliche und proaktive Pentesting-Strategien 

Ein auf Compliance ausgerichteter Ansatz beinhaltet typischerweise geplante Security Checks, doch versteckte Schwachstellen entstehen oft durch sich weiterentwickelnde Bedrohungen. Proaktives und regelmäßiges Pentesting ermöglicht es, die Sicherheitslage kontinuierlich zu bewerten. Einige dieser Techniken werden im Folgenden beschrieben. 

  1. Kontinuierliche Schwachstellenbewertungen mit integrierter Automation 

Durch Pentesting können mit erfahrenem Personal und / oder Partnern verschiedenste Tools und Methoden eingesetzt werden, um das Netzwerk sowie Konfigurationen und die eingesetzten Applikationen auf Schwachstellen zu überprüfen. Durch Automatisierung in Verbindung mit maschinellem Lernen können Scans auf der Grundlage früherer Ergebnisse angepasst werden. Dieser Ansatz konzentriert sich auf komplexere Muster von Schwachstellen. 

  1. Dev-Ops Integrationen 

Durch die Integration eines Dev-Ops Team und deren Workflows können Schwachstellen frühzeitig erkannt und entschärft werden. Dies betrifft das Einführen neuer Anwendungen oder das Patch-Management. Das Team Dev-Ops kann durch die wiederkehrenden Workflows und Pentests regelmäßige Security Checks durchführen; egal im welchem Stand der Einführung oder Entwicklung sich die Systeme befinden. Somit lassen sich Sicherheitslücken frühzeitig erkennen und eliminieren. 

  1. Pentests mit Threat Intelligence 

Durch die Anbindung an Systeme mit Threat Intelligence können Angriffsvektoren bei regelmäßigen Tests schnell entdeckt werden. Selbst neue Gefährdungen wie Trojaner oder Kryptografie-Tools werden schnell aufgespürt, da Vorfälle stets online analysiert und gemeldet werden. Es kann somit die „Schwarmintelligenz“ der Systeme genutzt werden. Ein einmal identifizierter Threat wird somit daran gehindert, weitere Systeme zu identifizieren. 

  1. Fortgeschrittene Malware-Analysen 

Erfahrene Tester können Werkzeuge nutzen und entwickeln, um die Effektivität der Sicherheitsabwehr eines Unternehmens gegen fortschrittliche Bedrohungen zu bewerten. Hierbei können verschiedene Maßnahmen zum Einsatz kommen, wie z.B. das Hinzufügen von Payloads (zur Umgehung von Antivirus- und Endpoint-Detection-and-Response-Tools) in Anfragen oder das Verwenden von zusätzlichen DLLs in Anwendungen.  

Fazit 

Pentesting, das über die bloße Einhaltung von Compliance-Vorgaben hinausgeht, verfolgt einen Ansatz, der Schwachstellen aufdeckt, die durch standardisierte regulatorische Vorgaben nicht erkannt werden. Diese tiefgehende Methodik bietet Organisationen eine realistische Einschätzung ihrer Sicherheitslage, indem sie versteckte Schwachstellen identifiziert, die von fortgeschrittenen Angreifern wahrscheinlich ausgenutzt werden könnten. Diese Strategie stärkt ihre Abwehrmechanismen und bietet besseren Schutz vor fortgeschrittenen Cyberbedrohungen. Die vorgestellten Methoden, welche von professionellen Pentestern verwendet werden, sind hochkomplex und sollten von geeigneten Mitarbeitern und / oder Partnern durchgeführt werden. 


Kennen Sie alle Schwachstellen Ihrer IT-Infrastruktur?
Nehmen Sie Kontakt mit uns auf und lassen Sie sich zu den Möglichkeiten von Pentesting as a Service beraten.

Advanced Persistent Threats (APTs) sind hochentwickelte Angriffe und darauf ausgelegt, unbemerkt in Netzwerke einzudringen, vertrauliche Daten zu stehlen und langfristig Schaden anzurichten.
Viele Unternehmen nutzen SOC oder reine MDR-Dienste. Obwohl beide Varianten für sich funktionieren können, unterscheiden sie sich erheblich in ihrem Umfang und ihrer Funktionalität.
Die Implementierung eines Security Operations Centers (SOC) ist ein komplexer, mehrstufiger Prozess, der sorgfältige Planung, Ressourcenzuweisung und kontinuierliche Verbesserung erfordert.

Cybersicherheit mit der Cyber Security Strategie von ujima

Wir analysieren Ihre Cyber Security und beraten Sie zu weiterführenden Maßnahmen, um Ihr Unternehmen digital so sicher wie möglich zu machen.

  1. Info-Telefonat vereinbaren
  2. Von Cyber Security Spezialisten beraten lassen
  3. Cybersicherheit steigern und Ihr Unternehmen bulletproof machen

kostenfrei und unverbindlich

Rufen Sie uns direkt an

Vielen Dank, dass entsprechende Cookie wurde gesetzt. Damit wird die Verarbeitung der Daten bei Ihrem nächsten Besuch unterbunden. Hier klicken um dich auszutragen.