CyberCompare sprach mit Hanspeter Karl, AVP DACH bei Pentera \u00fcber automatisierte Sicherheitsvalidierung.<\/p>\n\n\n\n
Meine Karriere begann auf einer anderen Bahn als der, auf der ich mich heute befinde. Zun\u00e4chst habe ich Politikwissenschaften, Kommunikationstheorie und Soziologie studiert und bin unerwartet im Bereich des Vertriebs von Unternehmenstechnologien gelandet. Im Laufe der Zeit hatte ich das Privileg, zu mehreren multinationalen Technologief\u00fchrern beizutragen, darunter Dell, SAP und HP, aber um 2010 herum beschloss ich, eine Ver\u00e4nderung vorzunehmen und in eine neue Branche zu wechseln. Ich erkannte den wachsenden Bedarf an Sicherheit in Unternehmen und erkannte, dass es eine gro\u00dfe Chance gab, Mehrwert zu bieten. Nicht lange, nachdem ich meinen ersten Job als Vertriebsdirektor bei einem deutschen Cyber Security-Unternehmen angetreten hatte. Ich habe weiterhin mit einer Reihe von Sicherheitsanbietern zusammengearbeitet, und es war w\u00e4hrend meiner Zeit bei Cyvera, das sp\u00e4ter von Palo Alto Networks \u00fcbernommen wurde, dass ich Ran Tamir kennenlernte, der sp\u00e4ter zum Chief Product Officer bei Pentera<\/a> wurde.<\/p>\n\n\n\n Die erf\u00fcllendste Seite meiner Rolle ist die M\u00f6glichkeit, unseren Kunden Mehrwert zu bieten. Ich bin \u00fcberzeugt, dass Pentera sich auf dem Markt abhebt, indem es eine wirklich innovative L\u00f6sung anbietet, die in der Lage ist, f\u00fcr jede Organisation einen Unterschied zu machen und somit die Welt f\u00fcr uns alle sicherer zu machen. Es ist eine so seltene Gelegenheit zu wissen, dass Ihre L\u00f6sung unabh\u00e4ngig von Branche, Standort oder sogar dem Aussehen der IT-Umgebung einen solchen Unterschied machen kann. <\/p>\n\n\n\n Etwas, das ich in meiner t\u00e4glichen Arbeit lustig finde, ist die Reaktion von CISOs, wenn ich ihnen sage, dass mir ihre vorhandenen Sicherheitsl\u00f6sungen egal sind. Sie sind so daran gew\u00f6hnt, dass Sicherheitsanbieter detaillierte Fragen zu ihrem Sicherheits-Stack stellen, aber ich genie\u00dfe immer den Ausdruck auf ihren Gesichtern, wenn ich ihnen sage, dass dies die Leistung von Pentera nicht beeintr\u00e4chtigt.<\/p>\n\n\n\n Die Hauptfrage, mit der wir konfrontiert sind, lautet, ob wir wirklich in der Lage sind, den komplexen Prozess des Penetrationstests ohne jegliches Risiko f\u00fcr die Organisation zu automatisieren. Kunden sind es nicht gewohnt, sich um sorgenfreie Penetrationstests zu k\u00fcmmern. Zu viele wurden von Penetrationstestern betroffen, die versehentlich ungeplante Ausfallzeiten verursacht haben, und obwohl sie den Wert von kontinuierlichen Penetrationstests verstehen, sind sie verst\u00e4ndlicherweise vorsichtig. Mit unserer Plattform gesteuerten Sicherheitsl\u00f6sung, die von Grund auf sicher konzipiert ist, ist Pentera in der Lage, herk\u00f6mmliche Penetrationstests in gro\u00dfem Ma\u00dfstab zu automatisieren, ohne die Umgebung zu beeintr\u00e4chtigen. W\u00e4hrend unseres eint\u00e4gigen Proof-of-Value (PoV) k\u00f6nnen wir demonstrieren, wie Pentera Penetrationstests live in ihren Produktionsumgebungen durchf\u00fchren kann, ohne ihrer Organisation Schaden zuzuf\u00fcgen. Sobald sie es live sehen, \u00e4ndert sich alles f\u00fcr sie. <\/p>\n\n\n\n Automatisierte Sicherheitsvalidierung ist ein revolution\u00e4rer Fortschritt im Bereich der Sicherheitstests. Die M\u00f6glichkeit, Bedarfs-Tests durchzuf\u00fchren, erm\u00f6glicht es Sicherheitsteams, die Sicherheit ihrer Organisation kontinuierlich zu validieren, anstatt auf ihre j\u00e4hrliche \u00dcberpr\u00fcfung zu warten. Sobald man wei\u00df, dass es m\u00f6glich ist, m\u00f6chte man nicht mehr zu der alten Methode zur\u00fcckkehren.<\/p>\n\n\n\n Bei der Auswahl einer Sicherheitsvalidierungs-L\u00f6sung w\u00fcrde ich den Menschen sagen, dass der wichtigste Faktor darauf zu achten ist, sicherzustellen, dass Ihre L\u00f6sung so nah wie m\u00f6glich am Denken eines echten Angreifers liegt. Sicherheitsvalidierung geht darum, die Widerstandsf\u00e4higkeit Ihrer Organisation gegen echte Bedrohung Akteure zu bewerten. Organisationen m\u00f6chten wissen, wie ihre Sicherheit im entscheidenden Moment funktionieren wird. Sie ben\u00f6tigen eine L\u00f6sung, die Ihre Verteidigung gegen die breite Auswahl an Techniken testet, die Bedrohung Akteure gegen Sie einsetzen werden. Wenn Ihre Sicherheitsvalidierung L\u00f6sung Playbooks verwendet, sind Sie automatisch im Nachteil, weil echte Hacker keine Playbooks verwenden. Hacker sind dynamisch, und Ihre L\u00f6sungen m\u00fcssen in der Lage sein, ihre F\u00e4higkeiten zu replizieren. <\/p>\n\n\n\n Der andere Faktor, auf den man achten sollte, ist sicherzustellen, dass Ihre Sicherheitsl\u00f6sung in der Lage ist, Ihre gesamte Angriffsfl\u00e4che zu testen: On-Premises, im Web und in der Cloud. Bedrohung Akteure sind nicht auf einen einzelnen Teil Ihrer Angriffsfl\u00e4che beschr\u00e4nkt; sie k\u00f6nnen mehrere Assets ins Visier nehmen, und ihre Angriffe k\u00f6nnen sogar \u00fcber verschiedene Angriffsfl\u00e4chen hinwegwandern. Ihre Sicherheitsvalidierung L\u00f6sung muss in der Lage sein, die gesamte Angriffsfl\u00e4che zu testen und die dynamische Natur ihrer Angriffe zu ber\u00fccksichtigen.<\/p>\n\n\n\n Pentera geht einen Schritt weiter, um nicht nur potenzielle Schwachstellen zu entdecken, sondern auch bewiesene ausnutzbare Sicherheitsl\u00fccken in Ihrer gesamten Angriffsfl\u00e4che zu identifizieren.<\/p>\n\n\n\n Traditionelle Schwachstellen-Scanner sind zwar darin gut, die Gesamtzahl der CVEs (Common Vulnerabilities and Exposures) in einer Organisation zu katalogisieren, versagen jedoch dabei, festzustellen, welche CVEs in Ihrer spezifischen Umgebung eine tats\u00e4chliche ausnutzbare Bedrohung darstellen. Dar\u00fcber hinaus fehlt diesen Tools die F\u00e4higkeit, nicht patchbare Sicherheitsbedrohungen, einschlie\u00dflich Konfigurationsfehler, zu identifizieren. Selbst wenn Sie laut Tenable und Qualys perfekt gepatcht sind, kann Ihr System immer noch anf\u00e4llig f\u00fcr Angriffe sein. <\/p>\n\n\n\n Indem es Angriffe gegen Ihre Produktionsumgebung nachahmt, identifiziert Pentera ausnutzbare L\u00fccken, die von Bedrohung Akteuren genutzt werden k\u00f6nnen, um Ihre Organisation zu gef\u00e4hrden. Durch die Vorf\u00fchrung der gesamten Angriffskette erm\u00f6glicht Pentera Organisationen, zu verstehen, wie Hacker sie ausnutzen k\u00f6nnen, und evidenzbasierte Remediation-Praktiken durchzuf\u00fchren und reale Expositionen zu priorisieren.<\/p>\n\n\n\n Wir wissen nie, wohin uns der Proof of Value f\u00fchren wird, aber wir sind zuversichtlich, dass er erfolgreich sein wird. Jedes Unternehmensnetzwerk und jede Cloud-Umgebung sind anders, verschiedene Branchen arbeiten mit v\u00f6llig unterschiedlichen IT- und Sicherheits-Tools, aber letztendlich sind wir zuversichtlich, dass wir es schaffen werden, potenzielle Kill Chains in diesen Umgebungen zu entdecken. <\/p>\n\n\n\n Das \u00dcberraschendste, und es klingt etwas seltsam zu sagen, ist, dass der Proof of Value eine emotionale \u00dcbung ist. Sicherheitsteams sind schockiert, wenn sie die Payloads und Exploits sehen, die Pentera in Echtzeit erreichen kann, und so finden in der Regel aktive, leidenschaftliche Diskussionen im Raum statt, sobald die Ergebnisse eintreffen. Es ist auch \u00fcberraschend, wie oft der CISO\/CIO bei der Zusammenfassung-Sitzung am Ende des Proof of Value im Raum sein m\u00f6chte. Als jemand, der im Laufe der Jahre eine Reihe verschiedener Sicherheitsl\u00f6sungen verkauft hat, sind normalerweise nur die Endbenutzer innerhalb der Organisation im Raum, aber aufgrund dessen, was wir demonstrieren k\u00f6nnen, sind die obersten Entscheidungstr\u00e4ger sehr an unseren Berichten interessiert.<\/p>\n\n\n\n Ich denke, dass jede Organisation, die bereits Penetrationstests durchf\u00fchrt, unbedingt auf Automatisierung setzen sollte. Penetrationstests bieten Ihnen ein echtes Verst\u00e4ndnis Ihrer organisatorischen Widerstandsf\u00e4higkeit gegen feindliche Angriffe. Das Problem ist, dass in den meisten Organisationen die H\u00e4ufigkeit der Tests und die H\u00e4ufigkeit der IT-\u00c4nderungen nicht \u00fcbereinstimmen. Die meisten Organisationen f\u00fchren nur alle 6 Monate Penetrationstests durch, w\u00e4hrend sich ihre IT-Umgebung viel h\u00e4ufiger \u00e4ndert. Automatisierung erm\u00f6glicht es Sicherheitsteams, die Leistung ihrer Sicherheitskontrollen kontinuierlich zu bewerten und in Echtzeit ausnutzbare L\u00fccken in ihren Verteidigungen zu identifizieren, bevor sie von Gegnern ausgenutzt werden k\u00f6nnen. Warum w\u00fcrden Sie nicht kontinuierlich Ihre Exposition identifizieren und reduzieren wollen? Wie kann man die Annahme akzeptieren, dass ihr Netzwerk gesch\u00fctzt ist, ohne es zu validieren?<\/p>\n\n\n\n In der Sicherheitswelt gibt es zu viele Annahmen. Sicherheitsteams verlassen sich darauf, dass die Sicherheitsl\u00f6sungen, die sie integriert haben, sie sicher halten, \u00fcberpr\u00fcfen sie jedoch nicht oft genug, um wirkungsvoll zu sein. Bei Pentera haben wir ein Motto: Nicht annehmen. Validieren. Die meisten Organisationen f\u00fchren nur einmal oder zweimal im Jahr Penetrationstests durch, und diese Tests pr\u00fcfen nur einen kleinen Prozentsatz ihrer gesamten Assets. Wenn Sie Ihre gesamte IT-Umgebung nicht kontinuierlich validieren k\u00f6nnen, dann basieren Sie die Sicherheit Ihrer Organisation auf einer Annahme.<\/p>\n\n\n\nWas macht Dir besonders Freude in Deinem Job, was bringt Dich ab und zu zum Lachen?<\/h5>\n\n\n\n
Was besch\u00e4ftigt Dich und Dein Team aktuell besonders \u2013 mit welchen Fragestellungen kommen Kunden auf Dich zu?<\/h5>\n\n\n\n
Continuous Security Validation bzw. Automated Penetration Testing<\/a> ist ja eine sehr junge Security-Kategorie. Was w\u00fcrdest Du Interessenten raten, worauf Sie bei der Beschaffung einer L\u00f6sung achten sollten?<\/h5>\n\n\n\n
Wo sind die Unterschiede zu Schwachstellen, Scannern wie Tenable oder Qualys?<\/h5>\n\n\n\n
Was sind typische \u00dcberraschungen, die Ihr beim PoC \/ PoV erlebt?<\/h5>\n\n\n\n
Ab welcher Kundengr\u00f6\u00dfe lohnt sich der Einsatz einer automatisierten Pen Tests \/ Sicherheitsvalidierung L\u00f6sung als Erg\u00e4nzung zu manuellen Pen Tests aus Deiner Sicht?<\/h5>\n\n\n\n
Welche Security-Tool-Kategorien sind deiner Ansicht nach \u00fcber- bzw. unterbewertet? W\u00fcrdest Du beispielsweise erst in einen NDR oder ein EDR System investieren?<\/h5>\n\n\n\n
Wie geht es weiter – Was steht bei Euch technisch auf der Roadmap, was habt Ihr Euch vorgenommen?<\/h5>\n\n\n\n