Pen Testing, Ben Thornhill, Claranet

Ben Thornhill, Group Security Manager Claranet, über Pen Tests

Diese Woche führte Philipp Pelkmann ein Interview mit Ben Thornhill, Group Security Manager bei Claranet. Das Gespräch drehte sich um eines der meistdiskutierten Themen im Bereich der Cybersecurity Services: Pen Tests. Für manche mag es eher langweilig klingen, aber viele Unternehmen, die wir treffen, evaluieren gerade zum ersten Mal, ob und wie sie einen Pentest durchführen.

Ben Thornhill, Group Security Manager Claranet
Lieber Ben Thornhill, können Sie sich bitte kurz vorstellen und unserer Community etwas über Ihren Hintergrund erzählen und wie Sie zum Thema Cybersicherheit gekommen sind?

Nach meinem Abschluss in European integration and languages und einer erfolgreichen Karriere in der Immobilienbranche, wechselte ich 2008 in die Cybersicherheit. Ich hatte schon immer ein starkes Interesse an der IT und suchte nach einem Bereich, der wächst. Ich hätte an diesem Tag Lottoscheine kaufen sollen, denn ich hatte Recht!

Obwohl die Branche damals viel kleiner war, gab es viel zu entdecken. Das Unternehmen, bei dem ich anfing, bot Penetrationstests an und das erwies sich als hervorragende Möglichkeit, ein gründliches Verständnis für Cyber-Bedrohungen zu erlangen und zu lernen, wie man Risiken diskutiert und kategorisiert und wie man die Kundschaft am besten in Bezug auf Sicherheitsstrategien berät.

Im Jahr 2017 wurde das Unternehmen von Claranet übernommen und entwickelte sich von Anfang an positiv. Nach meinem Erfolg als Vertriebsmitarbeiter und später als Vertriebsleiter wechselte ich in die Rolle des Praxisleiters, der für die Durchführung von Penetrationstests und Compliance-Services sowie für die Entwicklung neuer Angebote zur Bewältigung der sich ständig ändernden Herausforderungen unserer Kundschaft verantwortlich war.

Als sich die Gelegenheit ergab, in einer Gruppenfunktion zu arbeiten, um Teammitglieder aus allen Claranet-Ländern bei der Entwicklung und dem Ausbau ihrer Sicherheitspraktiken zu unterstützen und Sicherheitsdienstleistungen international zu koordinieren, wusste ich sofort, dass dies all meine Arbeits- und Lebenserfahrungen vereint. Nach einem Jahr in der neuen Position kann ich ehrlich sagen, dass ich jede Minute davon liebe!

Können Sie einen kurzen Überblick über die Dienstleistungen von Claranet im Bereich der Pen Tests geben?

Claranet bietet eine breite Palette von Pen Tests und eine Reihe von Methoden zur Durchführung an. Während die größte Nachfrage immer nach Tests von Web- und Mobilanwendungen sowie der Netzwerkinfrastruktur besteht, sehen wir mit der zunehmenden Sicherheit unserer Kundschaft auch eine steigende Nachfrage nach Social Engineering, Red Team und Cloud-Konfigurationsprüfungen. Wir haben inzwischen viel Erfahrung in vielen Ländern, und wir entwickeln ständig neue Techniken und Ansätze, um den neuen Anforderungen unseres immer größer werdenden Kundenstamms gerecht zu werden und die Risiken der neuen Technologien sichtbar zu machen. Unser Mantra lautet: Wir können alles testen, was Hackende angreifen können.

Welche Arten von Organisationen oder Branchen profitieren am meisten von PenTests?

Pen Tests sind ein Mittel, um Risiken sichtbar zu machen. Sie eignen sich daher für jede Organisation, die Daten speichert oder verarbeitet, für die eine Sorgfaltspflicht besteht. Hinzu kommen Organisationen, deren Finanzen durch eine Störung ihres Betriebsmodells ernsthaft beeinträchtigt würden.

Es gibt einige herausragende Beispiele für Organisationen, die besonders sorgfältig auf den Schutz sensibler Daten achten müssen. Dazu gehört das Gesundheitswesen, das Bank- und Finanzwesen und die Regierung.

Der Nutzen von Pen Tests steht in keinem direkten Verhältnis zur Größe der Organisation, die sie durchführt. Eine große Organisation ist in der Regel besser gerüstet, um den durch einen Cyberangriff verursachten Schaden zu überleben, als eine kleine oder mittelgroße Organisation, die möglicherweise nicht in der Lage ist, ihren Betrieb fortzusetzen. Daher gibt es Situationen, in denen Penetrationstests und die dadurch ermöglichte zusätzliche Sicherheit für kleinere Organisationen von größerer Bedeutung ist.

Die Art von Risikotransparenz, die Pen Tests bieten, ist ein wichtiges Instrument für die Sicherheitsverteidigung aller Organisationen.

Was sind Ihrer Erfahrung nach die Erfolgsfaktoren vor, während und nach einem Pen Tests?

Bei Claranet legen wir großen Wert darauf, dass unsere Kundschaft so schnell wie möglich mit unseren Sicherheitsfachleuten spricht. Daher führen die ersten Gespräche, in denen wir ein klares Verständnis für die Zielsetzung der Tests gewinnen, direkt zum Scoping, bei dem wir alle Informationen sammeln, die für die Festlegung der erforderlichen Dauer des Auftrags erforderlich sind.

Das Scoping-Verfahren ist gründlich und deckt alle Aspekte der erforderlichen Tests ab. Sie wird von erfahrenen Penetrationstestenden durchgeführt, die die Kundschaft durch den Prozess führen, die verschiedenen Ansätze erörtern und erklären, warum bestimmte Informationen erforderlich sind, um ein genaues Angebot zu erstellen.

Nach der Definition wird der Vorschlag in einem Statement of Work zusammengefasst, das den vereinbarten Umfang widerspiegelt und auf hohem Niveau die zu leistende Arbeit beschreibt.

Obwohl diese Phase schnell abgeschlossen wird, ist sie gründlich und detailliert, da sie den gesamten Auftrag von diesem Punkt an bestimmt und ein qualitativ hochwertiger Penetrationstest das Ziel aller Beteiligten ist.

Wenn unsere Kundschaft mit einer Testanforderung zu uns kommt, herrscht oft Zeitdruck. Wenn Fristen und Termine für die Inbetriebnahme immer näher rücken, kann das eine Herausforderung sein. Claranet verfügt über ein Projektmanagementteam, das sich der Terminplanung widmet, und die in der Scoping-Phase erfassten Details helfen dabei, Termine zu finden, die den Anforderungen unserer Kundschaft entsprechen. Claranet verfügt über ein großes Team von Penetrationstestenden, so dass Flexibilität bei den Terminen und schnelle Umsetzungen zu unseren Stärken gehören.

Wir legen Wert auf Offenheit und gute Kommunikation. Während der Tests informieren unsere Testenden täglich über den Fortschritt und die wichtigsten Ergebnisse, was das Vertrauen stärkt und unserer Kundschaft wertvolle Einblicke gewährt.

Nach der Übergabe des Berichts empfehlen wir dringend eine Nachbesprechung, um die Ergebnisse und die vorgeschlagenen Abhilfemaßnahmen zu diskutieren. Diese Diskussion in Verbindung mit den Details im Bericht ermöglicht es, einen klaren und nach Prioritäten geordneten Plan für Abhilfemaßnahmen zu erstellen, was den Wert des Tests steigert und die Chancen auf eine robustere Sicherheitslage für unsere Kundschaft erhöht.

Was sind die häufigsten Do’s und Don’ts bei Penetrationstests?

Do:

  • Geben Sie dem Testunternehmen einen klaren, detaillierten und umfassenden Umfang für White-Box-Tests vor.
  • Stellen Sie ein klares Briefing zur Verfügung und besprechen Sie die Erwartungen und Prioritäten mit dem Testanbietenden für Black-Box-Tests oder zeitlich begrenzte Pen Tests.
  • Stellen Sie sicher, dass der Zugang und die Anmeldeinformationen für das Zielsystem/die Zielumgebung vor Beginn der Pen Tests bereitgestellt und bestätigt wurden.
  • Stellen Sie sicher, dass andere interne und externe Beteiligte über die Penetrationstests und den Zeitpunkt ihrer Durchführung informiert sind und dass Sie über alle erforderlichen Berechtigungen verfügen.
  • Vereinbaren Sie, was während eines Tests kommuniziert werden soll. Oftmals stellen Testanbietende regelmäßige Updates über die durchgeführten Tests und die gefundenen Highlights zur Verfügung und kommunizieren alle Schwachstellen mit hohem Risiko sofort, aber es ist am besten, dies während des Scopings zu besprechen, um die Erwartungen festzulegen.
  • Stellen Sie sicher, dass Sie eine Nachbesprechung mit den Testenden durchführen, um sicherzustellen, dass alle Ergebnisse des Berichts vollständig verstanden wurden, bevor mit der Behebung begonnen wird.
  • Erwägen Sie einen erneuten Test gegen dasselbe Ziel, sobald die Abhilfemaßnahmen abgeschlossen sind. Dies ist eine sehr nützliche Methode, um zu überprüfen, ob die Behebung der Schwachstellen erfolgreich war.

Don´t:

  • Ändern Sie den Umfang nicht kurz vor oder während eines Testauftrags. Das kann Verwirrung stiften und den Testplan durcheinanderbringen. Es ist wahrscheinlich, dass die für den Test vorgesehene Anzahl an Tagen auf dem ursprünglichen Umfang basierte und wesentliche Änderungen des Umfangs eine andere Anzahl von Tagen erfordern. Die Terminkalender erfolgreicher Anbietenden sind immer voll, so dass es nicht ausreicht, ein paar Tage an das Ende eines Tests anzuhängen. In solchen Situationen sollte der Test neu geplant werden, um sicherzustellen, dass genügend Zeit zur Verfügung steht, um das Ziel mit der geeigneten Testmethode zu erreichen.

Nicht jeder kann Penetrationstests durchführen. Es handelt sich um eine hochqualifizierte Dienstleistung, die auf robusten, bewährten Methoden beruht, die in Tausenden von Einsätzen von Penetrationstestenden verfeinert wurden, die eine umfassende und strenge Schulung und Hospitation absolviert haben und deren Fähigkeiten durch viele spezifische und in der Branche anerkannte Qualifikationen unterstrichen werden.

Was sind die Hauptunterschiede zwischen einem Red-Team-Einsatz und einem Standard-Penetrationstest, und wie entscheiden Sie, welcher Ansatz am besten für die spezifischen Bedürfnisse der Kundschaft geeignet ist?

Sowohl bei Pen Tests als auch bei Red Team-Übungen wird das Verhalten realer Bedrohungsakteure nachgeahmt, aber sie unterscheiden sich erheblich.

Penetrationstests werden auf Grundlage spezifischer Werte durchgeführt, die umfassend getestet werden sollen (Websites, IPs, Geräte usw.). Ziel ist es, alle möglichen Schwachstellen zu ermitteln, das damit verbundene Risiko für das Unternehmen zu bewerten und anhand von Kriterien wie Auswirkungen und Wahrscheinlichkeit Prioritäten für geeignete Abhilfemaßnahmen festzulegen.

Red-Team-Übungen sind zielorientiert, z. B. „Erreichen eines Bereichsadministrators“ oder „Zugriff auf kritisches geistiges Eigentum“, und simulieren einen echten, motivierten Cyberangriff. Ziel ist es, Schwachstellen und Stärken in den Sicherheitskontrollen zu erkennen, die Fähigkeit eines Bedrohungsakteurs zu demonstrieren, bestimmte Ziele zu erreichen, die Wahrscheinlichkeit zu bewerten, dass ein gezielter Angriff eine vordefinierte Wirkung erzielt, und die Verteidigungskontrollen in Bezug auf relevante Taktiken, Techniken und Verfahren zu planen und zu priorisieren.

Können Sie die verschiedenen Arten von Penetrationstests (z. B. Blackbox-, Graybox- und Whitebox-Tests) erklären und wann welche am besten geeignet ist?

Den Unterschied zwischen diesen Testansätzen zu erklären und zu verstehen ist relativ einfach – die Auswahl des am besten geeigneten Ansatzes für einen Auftrag kann eine größere Herausforderung darstellen, da die Kundschaft oft ihre eigenen Vorstellungen hat – wir begrüßen diese Debatte.

Black-Box-Tests: hier erhält der Penetrationstestende keine Informationen und muss die Vorgehensweise eines Angreifenden ohne Berechtigungen nachahmen.

Grey-Box-Tests: hier erhält der Penetrationstestende nur begrenzte Informationen, z. B. die Anmeldedaten für Standardbenutzende. Dies kann nützlich sein, um das Risiko einer Privilegienerweiterung innerhalb des Zielsystems zu verstehen.

White-Box-Tests – hierbei werden dem Penetrationstestenden alle relevanten Informationen zur Verfügung gestellt, einschließlich der Systemarchitektur, des Zugriffs und der Konten von Benutzenden mit unterschiedlichen Berechtigungsstufen usw.

Diese und andere Ansätze werden in der Scoping-Phase ausführlich mit der Kundschaft besprochen, um sicherzustellen, dass die am besten geeignete Testart ausgewählt wird. In der Regel werden White-Box-Tests bevorzugt, da sie in Bezug auf die Abdeckung, die entdeckten Schwachstellen und die ermittelten Abhilfemaßnahmen einen Mehrwert bieten. Black-Box-Tests können interessante Ergebnisse für ein Ziel liefern, das bereits umfassend getestet und behoben wurde, aber in anderen Situationen können die Ergebnisse schwer zu interpretieren sein – wenn Testende zum Beispiel während eines Black-Box-Tests keine Schwachstellen finden und ausnutzen können, bedeutet dies dann, dass das Ziel sicher ist? Was wäre passiert, wenn die Prüfenden mehr Zeit gehabt hätten? Angreifende in der realen Welt haben unbegrenzt Zeit, welche Schlussfolgerungen können also gezogen werden?

Sowohl Black- als auch Grey-Box-Tests haben ihre Berechtigung, aber sie bedürfen sorgfältiger Überlegungen und der Anleitung durch erfahrene und kompetente Testende.

Können Sie ein Beispiel für einen kürzlich durchgeführten Penetrationstest und dessen Nutzen für die Kundschaft nennen?

Claranet arbeitet mit vielen Organisationen im Gesundheitssektor zusammen. Während der Covid-19-Pandemie bestand für die NHS Trusts im Vereinigten Königreich die dringende Notwendigkeit, hochqualifiziertes Personal schnell und häufig zwischen Krankenhäusern hin- und herzuschieben, um dort, wo es am dringendsten benötigt wurde, eine fachkundige Versorgung zu gewährleisten. Früher waren die erforderlichen Identitätsüberprüfungen eine zeitaufwändige manuelle Papierarbeit, aber der britische NHS hat einen „digitalen Personalausweis“ entwickelt, bei dem medizinisches Personal eine App verwenden konnte, die mit den HR-Systemen verbunden war, um die Identität aller Mitarbeitenden schnell und nahtlos zu überprüfen und sicherzustellen, dass die richtigen Leute zur richtigen Zeit am richtigen Ort waren.

Die Herausforderung bestand darin, die Sicherheit der sensiblen personenbezogenen Daten, auf die das System Zugriff hatte, zu validieren.

Das Sicherheitsteam von Claranet führte nicht nur schnelle und umfassende Pen Tests aller Aspekte des Front- und Back-End-Systems durch, sondern überprüfte auch das gesamte Design und Konzept, um sicherzustellen, dass die Sicherheit in jeder Phase berücksichtigt wurde. Wir sind sehr stolz auf die Arbeit, die wir bei Claranet leisten, und die Tatsache, dass wir das Gesundheitswesen während der globalen Krise auf diese Weise unterstützen konnten.

Welche Art von Berichten kann die Kundschaft erwarten, und wie können sie diese Informationen nutzen, um ihre Sicherheitslage zu verbessern?

Für uns sind Berichte von zentraler Bedeutung, da sie die Ergebnisse der Übung enthalten und das Gesamtbild genau und prägnant wiedergeben müssen – es nützt nichts, einen hervorragenden Penetrationstest durchzuführen, wenn die Ergebnisse nicht verstanden oder praktisch genutzt werden können, oder?

Die Berichte von Claranet sind klar und prägnant und enthalten eine kurze Zusammenfassung, mit der die Highlights auch einem nicht-technischen Publikum erläutert werden können.

Natürlich enthalten sie alle technischen Details, die Sie in einem Penetrationstestbericht erwarten würden: Schwachstellen in der Reihenfolge ihres Risikos, Risikoeinstufung nach Auswirkung und Wahrscheinlichkeit, Screenshots und Details, wie die Schwachstelle ausgenutzt wurde, sowie Vorschläge zur Abhilfe.

Wir empfehlen immer, dass die Übergabe des Berichts von einer Nachbesprechung zwischen den Testenden und der Kundschaft begleitet wird, um sicherzustellen, dass die Ergebnisse und die vorgeschlagenen Abhilfemaßnahmen vollständig verstanden werden.

Für unsere Kundschaft ist es ein Leichtes, anhand unserer Berichte einen nach Prioritäten geordneten Aktionsplan zur Behebung der Schwachstelle zu erstellen und die Aufgaben zur Behebung der Schwachstelle intern zu erläutern und zuzuweisen, was die Kosten des Penetrationstests mehr als rechtfertigt und sicherstellt, dass die Kundschaft den größtmöglichen Nutzen für die Sicherheitslage erzielt.

Wie häufig sollten Unternehmen Penetrationstests durchführen, und wie können sie diese Tests in ihre allgemeine Sicherheitsstrategie integrieren?

Traditionell wurden Tests immer jährlich oder nach jeder wesentlichen Änderung des Ziels durchgeführt. Angesichts des ständigen und immer schnelleren technologischen Wandels tauchen ständig neue Bedrohungen auf, und die Tests auf Schwachstellen müssen häufiger durchgeführt werden, um ausnutzbare Schwachstellen zu identifizieren und zu beheben und das Risiko zu minimieren.

Wir sind uns dieser Herausforderung bewusst und haben neue Wege für unsere Kundschaft entwickelt, um Penetrationstests durchzuführen, wie z. B. Continuous Security Testing, bei dem das Zielsystem ständig gescannt wird, um Schwachstellen zu identifizieren, bevor manuelle Penetrationstests eingesetzt werden, um das Risiko zu minimieren. Auf diese Weise ist unsere Kundschaft nicht mehr den risikoreichen Schwachstellen ausgesetzt und wir können sicherstellen, dass die Verteidigungsteams bei der Behebung von Schwachstellen auf dem Laufenden bleiben.

Angesichts der immer größer werdenden Angriffsfläche stehen Unternehmen vor der schwierigen Aufgabe, alle Bereiche ständig auf Schwachstellen zu überprüfen. Penetrationstests sind ein nützliches Instrument, um eine umfassende Momentaufnahme des Risikos zu erstellen, z. B. für Systeme und Anwendungen, bevor sie in Betrieb genommen werden, und kontinuierliche Sicherheitstests können für Anwendungen eingesetzt werden, die wertvollere oder empfindlichere Daten enthalten, die jederzeit risikofrei sein müssen.

Die Kategorisierung der Daten bzw. der Bedeutung eines Systems oder einer Anwendung für das Unternehmen und die Auswahl der Testart und -häufigkeit auf Grundlage dieser Kategorisierung ist eine nützliche Methode, um Penetrationstests in die Sicherheitsstrategie einzubetten und sicherzustellen, dass sie die erforderliche Risikotransparenz liefern.

Welche anderen Sicherheitsdienste bietet Claranet neben Penetrationstests an, um Unternehmen bei der Stärkung ihrer Sicherheitslage und dem Schutz vor Cyber-Bedrohungen zu unterstützen?

Die Cybersicherheitsdienste von Claranet lassen sich in zwei Gruppen einteilen: offensiv und defensiv.

Offensive Sicherheit verschafft unserer Kundschaft einen Überblick über die Risiken, indem Angriffe simuliert oder ein Sicherheitsaudit gegen ein Ziel durchgeführt wird.

Zusätzlich zu den Penetrationstests umfassen diese Dienstleistungen;

* Kontinuierliche Sicherheitstests

* SAP-Sicherheitsüberprüfung

* PCI DSS QSA-Beratung

* ISO27001-Beratung

* Cyber Essentials-Bewertungen

Defensive Security bietet eine kontinuierliche Überwachung der Kundschaftsumgebungen rund um die Uhr durch erfahrene und hochqualifizierte SOC-Analysierende, die auf Sicherheitswarnungen reagieren, sobald sie auftreten.

Diese Dienste umfassen;

* Endpunkt-Erkennung und -Reaktion

* Managed Detection & Response

Wenn Sie eine Botschaft an alle CIOs und CISOs senden könnten, wie würde sie lauten?

Wählen Sie Mitwirkende, mit denen Sie eine langfristige Beziehung aufbauen können – das wird Ihren Weg zur Sicherheitsreife beschleunigen. Anbietende von Penetrationstests werden oft regelmäßig gewechselt – man denkt, dass die Kundschaft durch den Wechsel des Anbietenden eine breitere Perspektive auf die Sicherheit erhält. Mein Rat ist, eine enge Beziehung zu einem Anbietenden aufzubauen, der sowohl die offensive als auch die defensive Sicherheit versteht und die Ergebnisse der einen Art von Einsatz zur besseren Konfiguration der anderen nutzen kann. Die effektivste Arbeit leisten wir bei Claranet für die Kundschaft, die schon seit vielen Jahren mit uns als Sicherheitsmitwirkende zusammenarbeiten, daher sollten Sie diese Vorteile bei der Auswahl Ihres Sicherheitsmitwirkenden berücksichtigen.

Was auch immer Ihre Herausforderung ist, bei Claranet freuen wir uns über die Gelegenheit, Ihnen dabei zu helfen, die richtige Lösung zu finden. Und wenn ich aus meiner langjährigen Erfahrung eines weiß, dann, dass die besten Lösungen mit einem Gespräch beginnen.

Vielen Dank für das Interview!

In unserem Tagesgeschäft analysieren wir als unabhängiges Unternehmen die Anforderungen der Kundschaft an die Cybersicherheit und identifizieren geeignete Anbietende von Produkten und Dienstleistungen. Daher haben wir eine ganze Reihe interessanter Anbietenden- und Lösungsprofile gesammelt. Der Beitrag stellt keine Empfehlung für bestimmte Anbietende oder Lösungen dar. Falls Sie Interesse an einem Interview mit uns haben, freuen wir uns über eine kurze Nachricht an cybercompare@bosch.com

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.