:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud Penetration Testing Penetrationstests für Cloud-Dienste durchführen
Unternehmen, die Cloud-Dienste nutzen, sollten auch selbst sicherstellen, dass diese Dienste möglichst sicher sind. Penetrationstests, die Sicherheitslücken schnell entdecken, sind dafür ein probates Mittel. Auch beim Einsatz von Open-Source-Cloud-Lösungen ist es durchaus sinnvoll, mit Pentests für mehr Sicherheit zu sorgen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Natürlich spielt es eine essentielle Rolle, ob Unternehmen die eigene Cloud-Infrastruktur auf Sicherheitslücken testen, oder eine öffentliche Cloud nutzen. Cloud-Provider wie Microsoft, Google oder Amazon führen regelmäßig eigene Tests durch. Wollen Unternehmen öffentliche Cloud-Infrastrukturen, die sie gebucht haben, auf Sicherheitslücken hin überprüfen, sollte vorher der Vorgang genau mit dem jeweiligen Cloud-Provider kommuniziert werden. Denn auch Penetrationstests stellen Angriffe dar, die beim Provider wiederum Gegenmaßnahmen auslösen. Diese sollten zuvor also genau abgesprochen werden.
Betreiben Unternehmen eine eigene, private Cloud, kann natürlich alles getestet werden, was auch im internen Rechenzentrum getestet werden kann. Das ist der Vorteil beim Betrieb einer eigenen Cloud-Umgebung. Der Nachteil besteht dafür darin, dass Unternehmen selbst für die Sicherheit sorgen müssen. Aus diesem Grund sind Penetrationstests beim Einsatz eigener Cloud-Umgebungen in jedem Fall anzuraten.
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386137/original.jpg "Mit Linux-Sicherheits-DVDs wie Kali können auch Cloudanwendungen auf Sicherheitslücken getestet werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386138/original.jpg "Auch Fedora bietet einen Sicherheits-Distribution mit der Penetrations- und Sicherheitstests durchgeführt werden können, auch in Cloud-Umgebungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386139/original.jpg "Bei Amazon können Penetrationstests in der Konsole beantragt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386140/original.jpg "Mit OpenVAS können auch Cloudlösungen auf Sicherheitslücken getestet werden. OpenVAS ist über Kali verfügbar.")
IaaS, SaaS und PaaS unterscheiden
Wollen Unternehmen eine SaaS-Umgebung testen, also Software-as-a-Service, muss vorsichtig vorgegangen werden. Denn in diesen Umgebungen besteht keine Hoheit auf die darunterliegende Server-Infrastruktur, sondern lediglich auf die Software, die gebucht wird. So ist zum Beispiel Office 365 ein SaaS-Dienst. Tests gegen die Server von Office 365 beeinflussen auch andere Abonnenten.
Buchen Unternehmen wiederum IaaS-Dienste, können die einzelnen Objekte im Abonnement durchaus getestet werden. Allerdings sollte auch hier Rücksprache mit dem Cloud-Provider genommen werden. Auch bei PaaS sollte überprüft werden, welche Tests erlaubt sind. Hier spielt zum Beispiel das Patchmanagement der zu Grunde liegenden Server eine wichtige Rolle. Auch die Sicherheitsrichtlinien der Basis-Server und unter Umständen auch die Maßnahmen, die bereits zum Härten der Betriebssysteme durchgeführt wurden, spielen eine wichtige Rolle.
Beim Einsatz kompletter PaaS-Umgebungen ist die Absicherung der Plattform besonders wichtig. Hier muss abgeklärt werden, wer für die Absicherung der Server verantwortlich ist. Das sieht beim Einsatz von SaaS anders aus, da hier der Anbieter für die Sicherheit sorgt. Auch bei IaaS-Umgebungen sollte geklärt werden, inwieweit der Kunde selbst auf die Sicherheit der Server Einfluss nehmen kann und soll, und diese auch entsprechend testen muss.
Zusammenfassend lässt sich also festhalten, dass beim Buchen von IaaS und PaaS der größte Einfluss auf die Sicherheit besteht, und Penetrationstests sehr umfangreich ausgeführt werden sollten und können. Aber auch hier muss vorher eine Kommunikation mit dem Provider stattfinden, um sicherzustellen, dass nicht gegen die Richtlinien oder AGB verstoßen wird.
Penetrationstests beim Provider anfragen
Buchen Unternehmen Saas-Dienste oder eine IaaS-Infrastruktur, bei der nicht komplett klar ist, wer die Sicherheits-Tests durchführt, sollte klargestellt sein, dass die wichtigsten Penetrationstests durchgeführt wurden. Hier spielt OWASP eine wichtige Rolle. Können Unternehmen nicht selbst die bekanntesten Sicherheitslücken überprüfen, sollte der Provider das getan haben und das Ergebnis zur Verfügung stellen.
In den meisten Fällen beschäftigen Cloud-Anbieter eigene Teams für das Penetration-Testing. Wenn ein Unternehmen eigenen Tests durchführen will, sollte die Kommunikation mit dem Cloud-Anbieter gesucht werden, idealerweise zum internen Pentesting-Team. Ist das nicht möglich, muss dennoch abgeklärt werden, ob eigene Tests durchgeführt werden dürfen, und wenn ja welches das sind. Denn Penetrationstests können einen Cloud-Server lahmlegen, da interne Sicherheitsmechanismen diesen vom Netz nehmen können, wenn Penetrationstests den Anschein erwecken echte Angriffe zu sein. Manche Anbieter wie zum Beispiel Amazon, bietet die Möglichkeit Penetrationstests anzufragen.
Lösungen für das Durchführen von Penetrationstests für Cloud-Anwendungen
Im Grunde genommen unterscheiden sich Penetrationstests für lokale Serveranwendungen nicht vom Testen von Cloudlösungen. Hier stehen auch verschiedene kostenlose oder zumindest kostengünstige Lösungen zur Verfügung. Die bekannte Sicherheits-Linux-Distribution Kali bietet dafür einige Ansätze. Kali können Administratoren im Internet als ISO-Datei herunterladen. Hier stehen verschiedene Editionen zur Verfügung, auch für 32-Bit, 64-Bit und ARM.
:quality(80)/images.vogel.de/vogelonline/bdb/1341800/1341815/original.jpg "Kali Linux: Die Distribution ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. (Offensive Security)")
Kali Linux Workshop, Teil 1
Kali Linux installieren und Hacking-Lab aufsetzen
Über das Menü „Applications\Kali Linux“ sind die Tools zu finden, mit denen sich Netzwerke und Server auf Sicherheitslücken hin testen lassen. Über die einzelnen Menüs im Bereich Applications\Kali Linux lassen sich weitere Tools starten um Netzwerke zu überprüfen. Eines der bekanntesten Sicherheitstools in Kali ist OpenVAS. Dieses wird über „Applications\Kali Linux\Vulnerability Analysis“ gestartet. Mit der kostenlosen Live-DVD Fedora Security Lab können ebenfalls Penetrationstests im Netzwerk und der Cloud durchgeführt werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383865/original.jpg "Wer besonders sicher arbeiten oder das Netzwerk überwachen will, greift zu speziellen, hochsicheren Linux-Distributionen. (rimom - stock.adobe.com)")
Qubes OS, Tails, Whonix und Co.
Hochsichere Linux-Distributionen im Überblick
Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP) und OpenVAS
Zed Attack Proxy Project ist ein weiteres Tool, das in der Lage ist Webanwendungen auf Sicherheitslücken zu testen. Das Tool ist auch in der Lage Cloud-Anwendungen auf Sicherheitslücken hin zu überprüfen . Das Tool gehört zum OpenSource-Projekt „Open Web Application Security Project (OWASP)“.
:quality(80)/images.vogel.de/vogelonline/bdb/1417900/1417975/original.jpg "Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiere Securityscans für Webanwendungen. (Imillian - stock.adobe.com)")
Tool-Tipp: OWASP Zed Attack Proxy (ZAP)
Sicherheit für Webanwendungen mit Zed Attack Proxy
OpenVAS ist eine Software zu Analyse von Sicherheitslücken im Netzwerk. Die Sicherheitslösung kann ebenfalls über Kali-Linux verwendet werden. Dadurch erhalten Administratoren sehr schnell eine Lösung, um Penetrationstests durchzuführen.
:quality(80)/images.vogel.de/vogelonline/bdb/1230000/1230092/original.jpg "Administratoren können mit dem Open-Source-Tool OpenVAS im Netzwerk nach Sicherheitslücken suchen. (Witthaya - Fotolia)")
Tool-Tipp: OpenVAS
Mit OpenVAS Schwachstellen im Netzwerk finden
Fazit
Penetrationstests sind für Cloud-Anwendungen genauso unerlässlich, wie für lokal betriebene Anwendungen, die im Internet zur Verfügung stehen. Bei Penetrationstests für die Cloud müssen Unternehmen aber zwischen dem Betrieb von privaten Cloud und öffentlichen Clouds unterscheiden. Wird auf öffentliche Clouds von Cloud Service Providern (CSP) wie Microsoft, Amazon oder Google gesetzt, muss weiterhin unterschieden werden, ob IaaS, SaaS, oder PaaS zum Einsatz kommen.
Außerdem muss mit dem CSP abgesprochen werden, was getestet werden darf, und wann die Tests durchgeführt werden. Auf jeden Fall sollten keine Penetrationstests durchgeführt werden, ohne mit dem CSP Kontakt aufzubauen. Denn Penetrationstests können leicht als Angriffe ausgelegt werden, die beim Provider wiederum Gegenmaßnahmen auslösen.
Sobald klar ist, was getestet werden soll, und wann das passieren soll, können verschiedene Tools zum Einsatz kommen. In vielen Fällen reichen OpenSource-Tools wie OpenVAS oder Zed Attack Proxy Project aus.
(ID:45262341)
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/5d/0f5d83099df51d9ea4de4c3594f896bc/0112207715.jpeg "Wir stellen die besten acht Vulnerability-Scanner für Linux vor. (Bild: deagreez - stock.adobe.com)")