Schwachstellenscans
Welche Systeme und Dienste sind an Ihrem Perimeter erreichbar? Locken diese sogar Angreifer an? Wie hoch ist die Basissicherheit Ihrer internen Infrastruktur? Eine Untersuchung der Angriffsoberfläche beantwortet diese Fragen!
Der Nutzen von Schwachstellenscans
Wie stellt sich das generelle Sicherheitsniveau durch die Brille von Hackern dar und welche "low hanging fruits" finden sie?
Ein Schwachstellenscan zielt immer darauf ab, alle sicherheitsrelevanten Schwachstellen in einer Gruppe von Assets zu identifizieren, um das Sicherheitsniveau zu bewerten.
Zur Steigerung der Effizienz und zur Abdeckung großer Infrastrukturen setzen wir dabei auf modernste automatisierte Tools, die durch Experten bedient und ausgewertet werden. Durch gezielte, weiterführende manuelle Prüfungen runden wir das Ergebnis ab und identifizieren auch organisatorische Mängel.
Als Ergebnis erhalten Sie einen Testbericht, der alle identifizierten Schwachstellen beschreibt, ihr Risiko bewertet, sinnvolle Empfehlungen ausspricht, einen Vorschlag zur Priorisierung gibt und in einer Management Summary zusammenfasst.
Regelmäßig durchgeführte Schachstellenscans helfen Ihnen das Sicherheitsniveau langfristig zu halten und dienen als Wirksamkeitsprüfung Ihres ISMS, sowie zur Gewinnung von Security KPIs.
Schwachstellenscans sind auch ein guter Einstieg in das Thema Security, da sie kostengünstig und effizient umsetzbar sind, aber dennoch eine fundierte Aussage über das aktuelle Sicherheitsniveau bieten. Auf Basis der Ergebnisse lassen sich zielführende weitere Assessments planen oder angemessene Maßnahmen initiieren.
Ausprägungen
Im Rahmen einer Attack Surface Analyse identifizieren wir sicherheitsrelevante Schwachstellen und Optimierungspotentiale in der öffentlich erreichbaren Infrastruktur, um das Sicherheitsniveau zu bewerten. Oftmals wird dies auch als externer Infrastrukturpenetrationstest bezeichnet.
Der erste Schritt ist die Sammlung von Threat Intelligence aus den gängigen OSINT Quellen. Ziel ist es zu ermitteln, was alles zu Ihrem Perimeter gehört, dies mit dem Scope abzugleichen und ihn ggf. anzupassen, sowie zu wissen, was Dritte ohne weiteres Vorwissen über Ihre Infrastruktur ermitteln können.
Im zweiten Schritt werden die im Scope befindlichen Systeme aktiv untersucht, um aktive erreichbare Dienste zu ermitteln und deren Konfiguration zu überprüfen. Dabei identifizierte Schwachstellen werden im Gegensatz zu einem Red Teaming aber nicht ausgenutzt, sondern im Bericht vermerkt und die Identifikation weiterer Schwachstellen fortgesetzt.
Zu einer Attack Surface Analyse gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Sammlung von Threat Intelligence (OSINT) zur Identifikation von Assets
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Attack Surface Analysen an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Falls erforderlich bzw. sinnvoll erweitern wir diese um Standards aus dem OWASP-Projekt:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.
Bei einem internen Schwachstellen-Scan werden sicherheitsrelevante Schwachstellen und Optimierungspotentiale in ausgewählten Bereichen der internen Infrastruktur identifiziert und darüber das aktuelle Sicherheitsniveau bewertet, sowie konkrete Empfehlungen zur Verbesserung gegeben.
Wir ermitteln einem solchen Assessment alle Assets im internen Netzwerk, sodass Sie im Anschluss Ihre CMDB oder Ihr Assetmanagement auf Vollständigkeit überprüfen können.
Und wir identifizieren kritischsten Schwachstellen und Fehlkonfigurationen in Ihrem Netzwerk, die von Angreifern häufig ausgenutzt werden, beispielsweise um Informationen zu sammeln, Rechte auszuweiten oder Befehle auf anderen Systemen auszuführen (Remote Code Execution). Gerade diese Auswertung und Priorisierung durch unsere Experten liefert erheblich mehr Nutzen als nur das technische Ergebnis des automatisierten Scans, da es Ransomware Gruppen und andere Angreifer nach der Umsetzung unserer Empfehlungen nicht mehr so leicht haben und sich vielleicht andere Opfer suchen werden.
Interne Schwachstellen-Scans führen wir üblicherweise mit einem Whitebox Ansatz durch, also mit administrativen Rechten für eine volle Transparenz.
Zu einem internen Schwachstellen-Scan gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Parameter
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
Auswertung
- Erstellung eines zusammenfassenden Berichts
- Maßnahmenplan zur Behebung
Methodisch orientieren wir uns bei der Durchführung von internen Schwachstellen Scans an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Falls erforderlich bzw. sinnvoll erweitern wir diese um Standards aus dem OWASP-Projekt:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.
