CyberCompare sprach mit Hanspeter Karl, AVP DACH bei Pentera über automatisierte Sicherheitsvalidierung.
Lieber Hanspeter Karl, können Sie uns etwas zu Ihrem Hintergrund erzählen? Wie sind Sie zur IT-Security gekommen?
Meine Karriere begann auf einer anderen Bahn als der, auf der ich mich heute befinde. Zunächst habe ich Politikwissenschaften, Kommunikationstheorie und Soziologie studiert und bin unerwartet im Bereich des Vertriebs von Unternehmenstechnologien gelandet. Im Laufe der Zeit hatte ich das Privileg, zu mehreren multinationalen Technologieführern beizutragen, darunter Dell, SAP und HP, aber um 2010 herum beschloss ich, eine Veränderung vorzunehmen und in eine neue Branche zu wechseln. Ich erkannte den wachsenden Bedarf an Sicherheit in Unternehmen und erkannte, dass es eine große Chance gab, Mehrwert zu bieten. Nicht lange, nachdem ich meinen ersten Job als Vertriebsdirektor bei einem deutschen Cyber Security-Unternehmen angetreten hatte. Ich habe weiterhin mit einer Reihe von Sicherheitsanbietern zusammengearbeitet, und es war während meiner Zeit bei Cyvera, das später von Palo Alto Networks übernommen wurde, dass ich Ran Tamir kennenlernte, der später zum Chief Product Officer bei Pentera wurde.
Was macht Dir besonders Freude in Deinem Job, was bringt Dich ab und zu zum Lachen?
Die erfüllendste Seite meiner Rolle ist die Möglichkeit, unseren Kunden Mehrwert zu bieten. Ich bin überzeugt, dass Pentera sich auf dem Markt abhebt, indem es eine wirklich innovative Lösung anbietet, die in der Lage ist, für jede Organisation einen Unterschied zu machen und somit die Welt für uns alle sicherer zu machen. Es ist eine so seltene Gelegenheit zu wissen, dass Ihre Lösung unabhängig von Branche, Standort oder sogar dem Aussehen der IT-Umgebung einen solchen Unterschied machen kann.
Etwas, das ich in meiner täglichen Arbeit lustig finde, ist die Reaktion von CISOs, wenn ich ihnen sage, dass mir ihre vorhandenen Sicherheitslösungen egal sind. Sie sind so daran gewöhnt, dass Sicherheitsanbieter detaillierte Fragen zu ihrem Sicherheits-Stack stellen, aber ich genieße immer den Ausdruck auf ihren Gesichtern, wenn ich ihnen sage, dass dies die Leistung von Pentera nicht beeinträchtigt.
Was beschäftigt Dich und Dein Team aktuell besonders – mit welchen Fragestellungen kommen Kunden auf Dich zu?
Die Hauptfrage, mit der wir konfrontiert sind, lautet, ob wir wirklich in der Lage sind, den komplexen Prozess des Penetrationstests ohne jegliches Risiko für die Organisation zu automatisieren. Kunden sind es nicht gewohnt, sich um sorgenfreie Penetrationstests zu kümmern. Zu viele wurden von Penetrationstestern betroffen, die versehentlich ungeplante Ausfallzeiten verursacht haben, und obwohl sie den Wert von kontinuierlichen Penetrationstests verstehen, sind sie verständlicherweise vorsichtig. Mit unserer Plattform gesteuerten Sicherheitslösung, die von Grund auf sicher konzipiert ist, ist Pentera in der Lage, herkömmliche Penetrationstests in großem Maßstab zu automatisieren, ohne die Umgebung zu beeinträchtigen. Während unseres eintägigen Proof-of-Value (PoV) können wir demonstrieren, wie Pentera Penetrationstests live in ihren Produktionsumgebungen durchführen kann, ohne ihrer Organisation Schaden zuzufügen. Sobald sie es live sehen, ändert sich alles für sie.
Automatisierte Sicherheitsvalidierung ist ein revolutionärer Fortschritt im Bereich der Sicherheitstests. Die Möglichkeit, Bedarfs-Tests durchzuführen, ermöglicht es Sicherheitsteams, die Sicherheit ihrer Organisation kontinuierlich zu validieren, anstatt auf ihre jährliche Überprüfung zu warten. Sobald man weiß, dass es möglich ist, möchte man nicht mehr zu der alten Methode zurückkehren.
Continuous Security Validation bzw. Automated Penetration Testing ist ja eine sehr junge Security-Kategorie. Was würdest Du Interessenten raten, worauf Sie bei der Beschaffung einer Lösung achten sollten?
Bei der Auswahl einer Sicherheitsvalidierungs-Lösung würde ich den Menschen sagen, dass der wichtigste Faktor darauf zu achten ist, sicherzustellen, dass Ihre Lösung so nah wie möglich am Denken eines echten Angreifers liegt. Sicherheitsvalidierung geht darum, die Widerstandsfähigkeit Ihrer Organisation gegen echte Bedrohung Akteure zu bewerten. Organisationen möchten wissen, wie ihre Sicherheit im entscheidenden Moment funktionieren wird. Sie benötigen eine Lösung, die Ihre Verteidigung gegen die breite Auswahl an Techniken testet, die Bedrohung Akteure gegen Sie einsetzen werden. Wenn Ihre Sicherheitsvalidierung Lösung Playbooks verwendet, sind Sie automatisch im Nachteil, weil echte Hacker keine Playbooks verwenden. Hacker sind dynamisch, und Ihre Lösungen müssen in der Lage sein, ihre Fähigkeiten zu replizieren.
Der andere Faktor, auf den man achten sollte, ist sicherzustellen, dass Ihre Sicherheitslösung in der Lage ist, Ihre gesamte Angriffsfläche zu testen: On-Premises, im Web und in der Cloud. Bedrohung Akteure sind nicht auf einen einzelnen Teil Ihrer Angriffsfläche beschränkt; sie können mehrere Assets ins Visier nehmen, und ihre Angriffe können sogar über verschiedene Angriffsflächen hinwegwandern. Ihre Sicherheitsvalidierung Lösung muss in der Lage sein, die gesamte Angriffsfläche zu testen und die dynamische Natur ihrer Angriffe zu berücksichtigen.
Wo sind die Unterschiede zu Schwachstellen, Scannern wie Tenable oder Qualys?
Pentera geht einen Schritt weiter, um nicht nur potenzielle Schwachstellen zu entdecken, sondern auch bewiesene ausnutzbare Sicherheitslücken in Ihrer gesamten Angriffsfläche zu identifizieren.
Traditionelle Schwachstellen-Scanner sind zwar darin gut, die Gesamtzahl der CVEs (Common Vulnerabilities and Exposures) in einer Organisation zu katalogisieren, versagen jedoch dabei, festzustellen, welche CVEs in Ihrer spezifischen Umgebung eine tatsächliche ausnutzbare Bedrohung darstellen. Darüber hinaus fehlt diesen Tools die Fähigkeit, nicht patchbare Sicherheitsbedrohungen, einschließlich Konfigurationsfehler, zu identifizieren. Selbst wenn Sie laut Tenable und Qualys perfekt gepatcht sind, kann Ihr System immer noch anfällig für Angriffe sein.
Indem es Angriffe gegen Ihre Produktionsumgebung nachahmt, identifiziert Pentera ausnutzbare Lücken, die von Bedrohung Akteuren genutzt werden können, um Ihre Organisation zu gefährden. Durch die Vorführung der gesamten Angriffskette ermöglicht Pentera Organisationen, zu verstehen, wie Hacker sie ausnutzen können, und evidenzbasierte Remediation-Praktiken durchzuführen und reale Expositionen zu priorisieren.
Was sind typische Überraschungen, die Ihr beim PoC / PoV erlebt?
Wir wissen nie, wohin uns der Proof of Value führen wird, aber wir sind zuversichtlich, dass er erfolgreich sein wird. Jedes Unternehmensnetzwerk und jede Cloud-Umgebung sind anders, verschiedene Branchen arbeiten mit völlig unterschiedlichen IT- und Sicherheits-Tools, aber letztendlich sind wir zuversichtlich, dass wir es schaffen werden, potenzielle Kill Chains in diesen Umgebungen zu entdecken.
Das Überraschendste, und es klingt etwas seltsam zu sagen, ist, dass der Proof of Value eine emotionale Übung ist. Sicherheitsteams sind schockiert, wenn sie die Payloads und Exploits sehen, die Pentera in Echtzeit erreichen kann, und so finden in der Regel aktive, leidenschaftliche Diskussionen im Raum statt, sobald die Ergebnisse eintreffen. Es ist auch überraschend, wie oft der CISO/CIO bei der Zusammenfassung-Sitzung am Ende des Proof of Value im Raum sein möchte. Als jemand, der im Laufe der Jahre eine Reihe verschiedener Sicherheitslösungen verkauft hat, sind normalerweise nur die Endbenutzer innerhalb der Organisation im Raum, aber aufgrund dessen, was wir demonstrieren können, sind die obersten Entscheidungsträger sehr an unseren Berichten interessiert.
Ab welcher Kundengröße lohnt sich der Einsatz einer automatisierten Pen Tests / Sicherheitsvalidierung Lösung als Ergänzung zu manuellen Pen Tests aus Deiner Sicht?
Ich denke, dass jede Organisation, die bereits Penetrationstests durchführt, unbedingt auf Automatisierung setzen sollte. Penetrationstests bieten Ihnen ein echtes Verständnis Ihrer organisatorischen Widerstandsfähigkeit gegen feindliche Angriffe. Das Problem ist, dass in den meisten Organisationen die Häufigkeit der Tests und die Häufigkeit der IT-Änderungen nicht übereinstimmen. Die meisten Organisationen führen nur alle 6 Monate Penetrationstests durch, während sich ihre IT-Umgebung viel häufiger ändert. Automatisierung ermöglicht es Sicherheitsteams, die Leistung ihrer Sicherheitskontrollen kontinuierlich zu bewerten und in Echtzeit ausnutzbare Lücken in ihren Verteidigungen zu identifizieren, bevor sie von Gegnern ausgenutzt werden können. Warum würden Sie nicht kontinuierlich Ihre Exposition identifizieren und reduzieren wollen? Wie kann man die Annahme akzeptieren, dass ihr Netzwerk geschützt ist, ohne es zu validieren?
Welche Security-Tool-Kategorien sind deiner Ansicht nach über- bzw. unterbewertet? Würdest Du beispielsweise erst in einen NDR oder ein EDR System investieren?
In der Sicherheitswelt gibt es zu viele Annahmen. Sicherheitsteams verlassen sich darauf, dass die Sicherheitslösungen, die sie integriert haben, sie sicher halten, überprüfen sie jedoch nicht oft genug, um wirkungsvoll zu sein. Bei Pentera haben wir ein Motto: Nicht annehmen. Validieren. Die meisten Organisationen führen nur einmal oder zweimal im Jahr Penetrationstests durch, und diese Tests prüfen nur einen kleinen Prozentsatz ihrer gesamten Assets. Wenn Sie Ihre gesamte IT-Umgebung nicht kontinuierlich validieren können, dann basieren Sie die Sicherheit Ihrer Organisation auf einer Annahme.
Wie geht es weiter – Was steht bei Euch technisch auf der Roadmap, was habt Ihr Euch vorgenommen?
Wir haben gerade die Einführung von Pentera Cloud angekündigt, dem ersten automatisierten Cloud-Penetrationstest-Produkt auf dem Markt. Mit der Einführung unserer Cloud wird Pentera zur ersten End-to-End-Sicherheits-Validierungsplattform, die On-Premises-, Web- und Cloud-Umgebungen abdeckt. Dies ist ein Durchbruch für uns und unsere Kunden, denn es gibt keine Lücke in ihren Validierungsfähigkeiten, unabhängig davon, wie ihre Organisation aussieht. Es spielt keine Rolle, ob Sie ein On-Premises-Rechenzentrum sowie eine geschäftskritische Cloud-Workload haben. Pentera ist in der Lage, Ihre riskantesten Sicherheitslücken über Ihre gesamte Angriffsfläche hinweg zu identifizieren, um Ihre Exposition zu reduzieren und Ihre Cyber-Resilienz zu erhöhen.