Proact Blog

Wie Sie Ihre Schwachstellen handhaben können

Robert Wortmann (Head of Strategic Security Consulting, Proact Germany) and Oliver Kett (Professional Services Engineer, Proact Germany)

Vulnerability Scanning, Patch Advisory oder Penetration Testing, was brauche ich wirklich?

In den letzten Jahren wurden wir von unseren Kunden immer wieder gefragt, wie Schwachstellen am Besten gefunden und behoben werden können. Neben dem eigenen Interesse ist hier meistens besonders wichtig, was der Gesetzgeber oder ein bestimmtes Audit fordert. Im heutigen Blogpost wollen wir uns deswegen zuerst mit den Grundlagen beschäftigen und zwischen den verschiedenen Arten der Schwachstellenscans unterscheiden. Für ein etwas plastischeres Verständnis stellen wir uns hierfür eine Stadt aus dem Mittelalter vor, die durch eine hohe Mauer geschützt wird.

Vulnerability Scanning / Blackbox Scan

Der zumeist einfachste und am weiten verbreitetste Test ist das maschinelle Prüfen von Schwachstellen, der sogenannte Blackbox-Test. Der Blackbox-Test kommt dabei einem Angreifer Natur Skript Kiddie näher, da der Tester hier außer den zu testenden IP Adressen keinerlei Informationen über verwendetes Betriebssystem, laufende Software und Aufbau des Netzwerkes erhält. Blackbox Tests machen meistens eher für externe Dienste Sinn, da man intern mit Informationen überschüttet wird und diese kaum mehr verarbeiten kann. Für interne Systeme gibt es also sinnvollere Testszenarien, auf die wir später kommen werden.
Beispiel Mittelalter Stadt: beim Blackbox Test befinden wir uns außerhalb der Stadtmauern und wissen nicht, was hinter diesen Mauern abläuft. Um das herauszufinden suchen wir die Stadtmauer nach Lücken im Mauerwerk ab. Wenn an irgendeiner Stelle ein Stein fehlt, wagen wir einen Blick durch dieses Loch. Am Ende berichten wir der Stadt, an welcher Stelle ein Stein fehlt und wie dieser geschlossen werden soll.

Penetration Testing / Whitebox Scan

Im Gegensatz dazu erhält der Prüfer bei einem Whitebox-Test möglichst viel Informationen und auch Login Daten zu den Systemen, um so auch weiterführende Tests durchführen zu können. Dafür bekommt man aber auch viel mehr Informationen: Wird bei einem Blackbox-Test etwa nur überprüft, ob SSL/TLS Zertifikate valide sind und ob modere Ciphers eingestellt sind, so kann bei einem beispielsweise Whitebox-Test auch ein Man-In-The-Middle Angriff gestartet werden. Bei diesem Angriff wird versucht, sich in die die Kommunikation zwischen Client und Server hineinzuhängen und so sämtlichen Datenverkehr mitzuschneiden. Wenn es dann gelingt, nicht nur den Datenverkehr mitzuschneiden, sondern auch noch den Client auf veraltete Verschlüsselungsmethoden zurückzustufen, dann kann man den Datenverkehr komplett mitlesen. Dazu braucht man sich “nur” als Server auszugeben, der ausschließlich veraltete und bereits geknackte Verschlüsselungsmethoden beherrscht und so die eigentlich verschlüsselten Daten mit vertretbarem Aufwand (teilweise wenige Sekunden) in Klartext umwandeln.
Beispiel Mittelalter Stadt: um die innere und äußere Sicherheit der Stadt zu überprüfen, versuchen wir einerseits von außen in die Stadt zu gelangen um innerhalb der Stadtmauern dann noch die innere Sicherheit zu überprüfen. Dabei schauen wir nicht nur oberflächlich durch die Fenster der Häuser, sondern versuchen die Schlösser zu knacken und den Schmuck zu stehlen.

Vulnerability Intelligence

Mittlerweile kommen täglich so viele neue Sicherheitslücken ans Licht, dass es beinahe unmöglich wird diese zu verarbeiten, denn nicht jede Sicherheitslücke trifft auch auf mich zu. Um also weiterhin Überblick über zutreffende Sicherheitslücken zu haben, müsste ich andauernd auf den Seiten der Softwarehersteller browsen oder die aktuellen CVE Definitionen verfolgen. Um diese Arbeit deutlich zu vereinbaren, sammeln Vulnerability Intelligence Systeme Informationen über Sicherheitslücken, die auf Ihre Infrastruktur zutreffen könnten. Sie erhalten am Ende also nur für Sie relevante Nachrichten und Handlungsempfehlungen, z.B. in Form eines Patch Advisorys.
Beispiel Mittelalter Stadt: in diesem Falle sind wir der stille Geheimdienst der Stadt. Wir befinden uns innerhalb der Stadtmauern und kennen die Daten der Bürger. Unsere Aufgabe ist es aktuelle Informationen über Bedrohungslagen zu sammeln und diese den geeigneten Personen bereitzustellen.

Was brauche ich um sicher zu sein?
Der richtige Schutz vor Schwachstellen ist nie einfach und mir persönlich ist kein Allerheilsmittel bekannt. Wenn wir die drei oben aufgeführten Techniken betrachten, verwenden wir meistens folgendes Konzept:

Vulnerability Scanning/Blackbox Scans sollten sinnvollerweise mindestens einmal im Monat, besser einmal pro Woche, für externe Dienste ausgeführt werden. Da diese Test zu großen Teilen automatisiert ausgeführt werden, hält sich der Aufwand zumeist in Grenzen.
Penetration Testing/Whitebox Scans stellen einen hohen Aufwand für Firmen und Dienstleister da. Auch die ToDos nach der Durchführung der Tests sind zumeist so zeitraubend, sodass Whitebox Scans in mittelständischen Unternehmen normalerweise nur einmal im Jahr Sinn ergeben.
Vulnerability Intelligence stellt im Gegensatz zu den anderen beiden Technologien natürlich einen stetigen Prozess dar, der möglichst automatisiert funktionieren sollte.

Wer sollte Tests durchführen
Auch wenn es verlockend erscheint, einen Penetrationstest selbst durchzuführen, so ist damit erstaunlich viel Arbeit verbunden. Und: Nicht nur das BSI empfiehlt einen externen Prüfer, damit extern beauftragten Prüfer frei von Interessenkonflikten sind und weder an Konzeption, Aufbau oder Betrieb des untersuchten Informationsverbundes mitgewirkt haben noch in Abhängigkeitsverhältnissen zu den Fachverantwortlichen stehen. Der PCI-DSS fordert quartalsweise einen externen Scan und erlaubt interne Scans nur nach Änderungen an der Infrastruktur, um herauszufinden, ob der externe Test noch bestanden werden kann. Auch sollten Sie bedenken, dass die Interpretation der Ergebnisse gar nicht so einfach ist. Denn alle auf dem Markt verfügbaren Produkte liefern – vor allem bei Blackbox-Tests – einiges an false positives. Sie müssen die Testergebnisse also genau prüfen und sicherstellen, ob eine gefundene Schwachstelle wirklich ein Problem ist. Sicherlich haben Sie Software im Einsatz, die aufgrund ihres Alters einfach nur alte Verschlüsselungsmethoden unterstützt – und das müssen Sie im Zweifel für jedes Produkt einzeln prüfen.
Auch ein Whitebox-Test bedarf einiges an Vorbereitung zu seiner Durchführung. Eine beliebte Falle, die sich stellen wird ist die Betriebsblindheit. „Das war schon immer so, da habe ich gar nicht mehr dran gedacht“ wird vielleicht der ein- oder andere dann zugeben müssen – wenn denn jemand anderes daran gedacht hat.
Unser Angebot an Sie, Vulnerability-Assessment- as-a-Service: wir scannen Ihre öffentlichen IP-Adressen (oder auf Wunsch auch Ihr komplettes Unternehmensnetzwerk) einmal pro Woche und prüfen diese auf mögliche Angriffsvektoren. Sie definieren, ab welchem CVSS Score (z.B. alles größer 9) Sie sofort von uns benachrichtigt werden möchten. Außerdem erhalten Sie von uns einmal im Monat einen ausführlichen deutschen Bericht über alle gefundenen Schwachstellen. Unsere Analysten kümmern sich dabei darum, möglichst alle false positives herauszufiltern und Sie bekommen Hilfestellung bei der Behebung der gefundenen Schwachstellen. Jeder Bericht enthält dazu eine kurze Erklärung der Schwachstelle, Links zu Herstellerdokumentationen und CVE IDs sowie Kurzanleitungen, um die Konfiguration ggf. anpassen zu können. Mit Vulnerability-Intelligence-as-a-Service erhalten Sie darüber hinaus Informationen über Sicherheitslücken innerhalb der von Ihnen eingesetzten Technologien inklusive Handlungsanweisung zur Schließung dieser.

Unser Angebot an Sie Vulnerability scanning & Intelligence services. wir scannen Ihre öffentlichen IP-Adressen (oder auf Wunsch auch Ihr komplettes Unternehmensnetzwerk) einmal pro Woche und prüfen diese auf mögliche Angriffsvektoren. Sie definieren, ab welchem CVSS Score (z.B. alles größer 9) Sie sofort von uns benachrichtigt werden möchten. Außerdem erhalten Sie von uns einmal im Monat einen ausführlichen deutschen Bericht über alle gefundenen Schwachstellen. Unsere Analysten kümmern sich dabei darum, möglichst alle false positives herauszufiltern und Sie bekommen Hilfestellung bei der Behebung der gefundenen Schwachstellen. Jeder Bericht enthält dazu eine kurze Erklärung der Schwachstelle, Links zu Herstellerdokumentationen und CVE IDs sowie Kurzanleitungen, um die Konfiguration ggf. anpassen zu können. Mit Vulnerability-Intelligence-as-a-Service erhalten Sie darüber hinaus Informationen über Sicherheitslücken innerhalb der von Ihnen eingesetzten Technoligien inklusive Handlungsansweisung zur Schließung dieser.

Sign up to our newsletter