Schwachstellenscan, Penetrationstest, Redteaming

IT-Sicherheit professionell unter die Lupe nehmen

| Autor / Redakteur: Florian Hansemann / Peter Schmitz

Schwachstellenscan, Penetrationstest, Redteaming sind technische Security-Audit-Verfahren die unterschiedliche Einsatzmöglichkeiten haben.
Schwachstellenscan, Penetrationstest, Redteaming sind technische Security-Audit-Verfahren die unterschiedliche Einsatzmöglichkeiten haben. (Bild: gemeinfrei / Pixabay)

Schwachstellenscan, Penetrationstest und Redteaming sind drei Begriffe, die zwar alle etwas mit dem technischen Security Audit zu tun haben, für die beauftragenden Unternehmen und die Tester aber deutliche Unterschiede aufweisen. Spätestens bei der Beauftragung sollte man sich aber bewusst sein, wann welches Verfahren angewendet werden sollte.

Immer häufiger werden die Begriffe Schwachstellenscan, Penetrationstest und Redteaming falsch verwendet oder interpretiert. Ob der Grund für dieses Wording bei den Sales-Teams der entsprechenden Dienstleister liegt oder an einem anderen Grund ist jedoch irrelevant.

Wichtig ist nur, dass die Unternehmen wissen was sich hinter den Begriffen verbirgt und wann Sie welches Verfahren nutzen sollten. Daher wird dieser Beitrag die verschiedenen technischen Security Audit-Möglichkeiten beschreiben und erklären wann welches Verfahren angewendet werden sollte.

Schwachstellenscan

Ein Schwachstellenscan (im englischen Vulnerability Assessment) nutzt überwiegend automatisierte Verfahren und generische Scanner um Sicherheitslücken in Systemen zu detektieren. Dies können beispielsweise ausstehende Patches, schwache Passwörter oder eine Fehlkonfiguration sein. Diese Scans sollten in regelmäßigen Abständen durchgeführt werden, da das Ergebnis eines einmaligen Scans bereits nach dem nächsten Patchday irrelevant sein kann. Am Ende sollte in diesem Stadion der Security Maßnahmen sollte ein Schwachstellenmanagement sein, welches die detektierten Probleme entsprechend priorisiert und dokumentiert.

Ziel: Ein Schwachstellenscan soll kontinuierlich in kürzester Zeit möglichst viele Schwachstellen aufzeigen, um „einfache“ Sicherheitslücken möglichst schnell zu finden & zu beheben.

Penetrationtest

Im Gegensatz zu Schwachstellenscans werden hierbei neben den automatisierten Verfahren vorrangig manuell Techniken verwendet, um komplexere Schwachstellen aufzuspüren, welche nicht von Scannern detektiert werden konnten. Dies können sowohl Logik-Fehler in der Implementierung einer Software, wie auch Probleme in organisatorischen Regelungen eines Unternehmens sein. Darüber hinaus werden die Schwachstellen bei einem Penetrationstest validiert und ausgenutzt, um ein vordefiniertes Ziel zu erreichen. Dieses Ziel kann das Erlangen von Domain-Administratorrechten oder der Zugriff auf eine E-Mail eines spezifischen Nutzers des Unternehmens sein.

Ziel: Es werden komplexere Schwachstellen gesucht, welche nicht von automatisierten Scannern gefunden werden können und es wird Effektivität der ergriffenen Sicherheitsmaßnahmen auf der technischen, organisatorischen und personellen Ebene überprüft.

Redteaming

In dieser Art von Assessments werden modernste Angriffs- und Verschleierungstechniken eingesetzt, um in ein Unternehmen einzudringen und ein spezifisches Ziel zu erreichen. Zeitgleich sollte das „Verteidigungsteam“, das sogenannte BlueTeam, das Eindringen detektieren und entsprechend reagieren. Für mehr Informationen über diese neue Art des Assessments empfehle ich den us-amerikanischen Blog TechBeacon, welcher Ende 2018 eine Reihe von Quellen veröffentlicht hat, welche zusätzliche Informationen zum Thema Redteaming darlegen.

Ziel: Selbstverständlich geht es beim Redteaming ebenfalls darum Schwachstellen in allen Ebenen des Ziels aufzudecken, jedoch liegt das Trainieren des BlueTeams deutlich im Fokus.

Welches Verfahren ist das richtige?

Die Frage, welches Verfahren das richtige für das eigene Unternehmen ist, kann nicht pauschal beantwortet werden. Die Auswahl zwischen Schwachstellenscan, Penetrationstest und Redteaming hängt vom Sicherheitsniveau des Unternehmens bzw. des zu testenden Ziels ab.

Sicherheitsniveau: Niedrig bis Mittel

Wenn noch keine Security Assessments durchgeführt worden sind, sollten zunächst ausschließlich Schwachstellenscans genutzt werden, um zu ermitteln wie das Sicherheitsniveau grundsätzlich aussieht und dieses entsprechend auf ein befriedigendes Level zu heben.

Sicherheitsniveau: Hoch

Nachdem ein Unternehmen Schwachstellenscans durchführt und entsprechend die detektierten Lücken geschlossen hat, können Penetrationstest genutzt werden, um komplexere Lücken aufzudecken.

Sicherheitsniveau: Hoch bis Sehr hoch

Sofern das Unternehmen bereits Aspekte wie SOC, SIEM und Blueteam im Unternehmen im Einsatz hat, sollten in dieser Phase diese Elemente durch Redteaming Assessments trainiert und optimiert werden.

Über den Autor: Florian Hansemann ist ein international anerkannter Penetrationstester & Redteamer und der Geschäftsführer von HanseSecure.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46056605 / Security-Testing)