Einführung in Titan VAPT
Titan VAPT ist ein Penetrationstest oder kurz „Pentest“. Dabei handelt es sich um ein Sicherheitsaudit, bei dem eine Cyberbedrohung simuliert wird, um Schwachstellen in einem oder mehreren Systemen aufzuspüren.
Während des Titan VAPT agieren unsere Experten wie externe Bedrohungsakteure: Sie versuchen, Schutzmaßnahmen zu umgehen und in das Netzwerk eines Unternehmens einzudringen. Sie identifizieren versteckte Systemmängel und bewerten die möglichen Auswirkungen auf den Betrieb, falls diese Schwachstellen von echten Hackern ausgenutzt würden. Neben einer gründlichen technischen Analyse der Sicherheitsmechanismen des Kunden kann die Bewertung auch das Niveau des IT-Sicherheitsbewusstseins unter den Mitarbeitern des Unternehmens berücksichtigen.
Die Experten von NEXGAP haben Hunderte Audits an einer Vielzahl von Systemen durchgeführt, wobei das Kundenspektrum von Banken und Telekommunikationsunternehmen über Versorgungsunternehmen bis hin zu kritischen Infrastrukturen reicht. Zu den typischen VAPT-Aktivitäten, die von unseren Experten durchgeführt werden, gehören:
Versuch, unautorisierten Zugang zu einem internen Firmennetzwerk zu erlangen, indem Schwachstellen wie Standardeinstellungen des Systems, Fehlkonfigurationen oder schwache Passwörter ausgenutzt werden,
Der Einsatz von Social-Engineering-Techniken zur Überprüfung des Sicherheitsbewusstseins der Mitarbeiter nach einem Sicherheitsschulungsprogramm stellt einen wichtigen Bestandteil der Gesamtstrategie zur Sicherheitsüberprüfung dar. Durch simulierte Angriffe, die typische Social-Engineering-Methoden wie Phishing-E-Mails, vorgetäuschte Anrufe oder gefälschte Anfragen nach sensiblen Informationen nutzen, lässt sich effektiv bewerten, wie gut die Mitarbeiter die in den Schulungen vermittelten Sicherheitspraktiken verinnerlicht haben.
Welchen Nutzen bietet VAPT
Das Titan VAPT bietet eine weitreichendere Analyse im Vergleich zu standardmäßigen Schwachstellenanalysen. Diese beiden Ansätze ermöglichen Sicherheitsteams, potenzielle Schwachstellen in Anwendungen, Geräten und Netzwerken zu identifizieren. Während das VAPT und Schwachstellenanalysen ähnliche Ziele verfolgen, unterscheiden sie sich in ihren spezifischen Zielsetzungen. Daher entscheiden sich viele Unternehmen dafür, beide Methoden zu implementieren, anstatt sich ausschließlich auf eine der beiden zu beschränken.
Schwachstellenanalysen umfassen üblicherweise die regelmäßige Ausführung automatisierter Scans, die ein System nach bekannten Sicherheitslücken durchsuchen und diese für eine weitere Überprüfung markieren. Sicherheitsteams setzen Schwachstellenanalysen ein, um effizient und zügig nach verbreiteten Sicherheitsmängeln zu fahnden.
Das Titan VAPT erweitert den Umfang herkömmlicher Sicherheitsüberprüfungen. Es beinhaltet die Nutzung identifizierter Schwachstellen in simulierten Szenarien, die das Vorgehen krimineller Bedrohungsakteure nachahmen. Dadurch gewinnt das Sicherheitsteam ein tiefgreifendes Verständnis darüber, wie Bedrohungsakteure diese Schwachstellen ausnutzen könnten, um an sensible Daten zu gelangen oder den Betrieb zu stören. Statt hypothetische Annahmen über potenzielle Hackeraktivitäten zu treffen, ermöglicht das VAPT dem Sicherheitsteam, Netzwerksicherheitsstrategien zu entwickeln, die auf realistischen Bedrohungen basieren.
Sicherheitsaudits, die sowohl automatisierte als auch manuelle Methoden verwenden, sind effektiv bei der Aufdeckung sowohl bekannter als auch unbekannter Schwachstellen. Aufgrund der aktiven Ausnutzung identifizierter Schwachstellen durch Sicherheitsexperten, ist die Wahrscheinlichkeit von falsch-positiven Ergebnissen geringer. Denn die erfolgreiche Ausnutzung einer Schwachstelle deutet darauf hin, dass auch kriminelle Bedrohungsakteure diese Lücke ausnutzen könnten. Da solche Audits häufig von externen Sicherheitsexperten durchgeführt werden, die einen frischen, hackerähnlichen Blickwinkel auf die Systeme haben, können sie oft Sicherheitsmängel aufdecken, die internen Abteilungen möglicherweise entgehen.
Arten und Unterschiede
Jedes VAPT beinhaltet einen simulierten Angriff auf die Computersysteme eines Unternehmens. Allerdings variieren die Arten von Penetrationstests in Bezug auf die spezifischen Unternehmensressourcen, auf die sie abzielen.
Für Anwendungen
Penetrationstests, die auf Anwendungen ausgerichtet sind, konzentrieren sich auf das Auffinden von Schwachstellen in verschiedenen Arten von Anwendungen und den damit verbundenen Systemen. Dies umfasst Webanwendungen und Websites, mobile Anwendungen und IoT-Geräte, Cloud-basierte Applikationen sowie Anwendungsprogrammierschnittstellen (APIs).
Unsere Experten beginnen oftmals mit der Identifizierung von Schwachstellen, die in den OWASP Top 10 aufgeführt sind. Diese Liste des Open Web Application Security Project (OWASP) umfasst die gravierendsten Sicherheitsrisiken in Webanwendungen. Trotz regelmäßiger Aktualisierungen, die die dynamische Natur der Cybersicherheitslandschaft berücksichtigen, beinhalten die häufigsten Sicherheitslücken und Schwachstellen Probleme wie die Einschleusung schädlichen Codes, Fehlkonfigurationen und Authentifizierungsfehler. Über die OWASP Top 10 hinaus suchen unsere Experten in Anwendungen auch nach selteneren Sicherheitsmängeln und Schwachstellen, die spezifisch für die jeweilige Anwendung sein können.
Für Netzwerke
Titan VAPT für Netzwerke zielt auf das gesamte Netzwerk eines Unternehmens ab. Dabei gibt es zwei Hauptarten solcher Audits: externe und interne VAPT.
Beim externen VAPT simulieren unsere Experten das Verhalten von externen Bedrohungsakteuren, um Sicherheitslücken in internetverbundenen Ressourcen wie Servern, Routern, Webseiten und Computern der Mitarbeiter zu identifizieren. Diese Machanismen werden als "externe Sicherheitsüberprüfungen" bezeichnet, da unsere Experten dabei versuchen, von außerhalb in das Netzwerk einzudringen.
Bei internen VAPT ahmen unsere Experten das Verhalten von böswilligen Insidern oder Hackern nach, die Zugang durch gestohlene Berechtigungsnachweise erlangt haben. Das Hauptziel dieser Szenarien ist es, Schwachstellen aufzudecken, die von jemandem innerhalb des Netzwerks ausgenutzt werden könnten. Dies schließt beispielsweise den Missbrauch von Zugriffsrechten ein, um sensible Informationen zu entwenden. Solche Audits sind entscheidend, um interne Sicherheitsrisiken zu identifizieren und zu verstehen, wie interne Bedrohungen das Netzwerk und die Daten eines Unternehmens gefährden könnten.
Verfahren und Durchführung
Vor Beginn des VAPT definieren unsere Experten und das Unternehmen gemeinsam den Umfang. Dieser Umfang bestimmt, welche Systeme und Ressourcen getestet werden, zu welchen Zeiten diese durchgeführt werden sollen und welche Methoden unsere Experten einsetzen dürfen. Zusätzlich legt der Umfang fest, wie viele Informationen unseren Experten im Vorfeld zur Verfügung gestellt werden:
Black-Box-PT
Bei einem Black-Box-PT erhalten unsere Experten keinerlei vorherige Informationen über das Zielsystem. Sie müssen sich auf ihre eigenen Nachforschungen und Fähigkeiten verlassen, um einen Angriffsplan zu entwickeln. Dieses Szenario ahmt die Bedingungen eines echten Hackers nach, der typischerweise ohne Insiderwissen über das System agiert. Unsere Experten müssen Schwachstellen identifizieren und ausnutzen, indem sie das System von außen untersuchen und analysieren, ähnlich wie ein potenzieller Angreifer ohne spezifisches Vorwissen über die internen Strukturen und Sicherheitsmaßnahmen des Zielsystems. Black-Box-PT sind besonders wertvoll, um zu beurteilen, wie ein Außenstehender in der Lage wäre, in das System einzudringen und welche Sicherheitslücken ausgenutzt werden könnten.
Gray-Box-PT
Bei einem Gray-Box-PT erhalten unsere Experten begrenzte Informationen über das Zielsystem, weniger als bei einem White-Box-Test, aber mehr als bei einem Black-Box-PT. Ein Beispiel hierfür ist, dass ein Unternehmen bestimmte IP-Bereiche seiner Netzwerkgeräte preisgibt, wobei es dann in der Verantwortung unserer Experten liegt, diese IP-Bereiche eigenständig auf Schwachstellen zu untersuchen.
Dieser Ansatz stellt einen Mittelweg dar, der sowohl die Perspektive eines teilweise informierten Angreifers als auch die eines Insiders mit begrenztem Wissen nachahmt. Gray-Box-PT sind nützlich, um zu verstehen, wie Angreifer mit partiellen Systemkenntnissen potenzielle Sicherheitslücken ausnutzen könnten. Sie bieten eine realistische Einschätzung der Sicherheit, da sie ein Szenario simulieren, in dem der Angreifer gewisse Vorkenntnisse hat, aber nicht vollständig über die internen Systeme des Unternehmens informiert ist.
White-Box-PT
Bei einem White-Box-PT wird das Zielsystem für unsere Experten vollständig transparent gemacht. In diesem Szenario stellt das Unternehmen umfassende Informationen zur Verfügung, die Details wie Netzwerkdiagramme, Quellcode, Berechtigungsnachweise und andere relevante Daten umfassen können.
Dieser Ansatz ermöglicht es unseren Experten, eine tiefgehende Analyse durchzuführen, da sie vollständigen Einblick in die Struktur und Funktionsweise des Systems haben. White-Box-PT sind besonders effektiv, um versteckte Schwachstellen zu identifizieren, die möglicherweise in einer weniger informationsreichen Testumgebung unentdeckt bleiben würden. Sie bieten eine gründliche Überprüfung der internen Sicherheitsmechanismen und können helfen, komplexe Sicherheitslücken zu identifizieren, die nur mit detailliertem Wissen über das System erkennbar sind.
Sobald der Umfang und die Rahmenbedingungen für das VAPT festgelegt sind, beginnt die eigentliche Testphase. Experten können dabei verschiedenen etablierten Methoden und Richtlinien folgen, um das VAPT durchzuführen. Zu den gängigen und anerkannten Methoden zählen:
OWASP-Richtlinien für die Prüfung der Anwendungssicherheit: Diese Richtlinien des Open Web Application Security Project bieten einen umfassenden Leitfaden für das Testen von Webanwendungen und anderen Softwareprodukten. Sie decken verschiedene Aspekte der Anwendungssicherheit ab und bieten praxisnahe Empfehlungen,
Penetration Testing Execution Standard (PTES): Der PTES bietet einen strukturierten Ansatz für Penetrationstests, der verschiedene Phasen umfasst, wie die Vorbereitung, Informationsgewinnung, Bedrohungsmodellierung, Schwachstellenanalyse, Ausnutzung und Berichterstattung,
SP 800-115 des National Institute of Standards and Technology (NIST): Dieser Standard des NIST bietet Richtlinien für die Durchführung von Sicherheitstests und Bewertungen von Informationssystemen. Er umfasst Methoden zur Identifizierung und Ausnutzung von Schwachstellen in Netzwerken und Systemen.
Unabhängig von der spezifischen Methodik, die unsere Experten wählen, verfolgt das Titan VAPT in der Regel einer ähnlichen grundlegenden Schrittfolge. Diese umfasst:
1. Recon
Unsere Experten, welche für das Titan VAPT verantwortlich sind, beginnen mit der Sammlung relevanter Daten über das Zielsystem. Abhängig von der Art des Ziels setzen unsere Experten unterschiedliche Erkundungstechniken ein. Bei der Analyse einer Anwendung zum Beispiel könnte eine gründliche Überprüfung des Anwendungsquellcodes vorgenommen werden.
Zusätzlich beziehen unsere Experten häufig Informationen aus öffentlich verfügbaren Quellen, bekannt als Open Source Intelligence (OSINT). Indem sie öffentlich zugängliche Dokumente, Nachrichtenartikel sowie Beiträge auf sozialen Medien und GitHub-Accounts von Unternehmensmitarbeitern durchforsten, können sie wertvolle Einsichten in ihre Testziele erlangen. Diese Methode hilft ihnen, ein umfassendes Verständnis des Zielsystems zu entwickeln und ihre Teststrategien entsprechend anzupassen.
2. Erkennung des Ziels
Unsere Experten verwenden die in der Phase der Informationsbeschaffung gesammelten Informationen, um potenzielle Schwachstellen im System zu ermitteln, die für Angriffe genutzt werden könnten. Sie könnten beispielsweise einen Port-Scanner wie Nmap einsetzen, um offene Ports zu identifizieren, über die sie dann Malware einschleusen können. Bei einem Social-Engineering-Penetrationstest könnte unser Team eine erfundene Geschichte oder einen Vorwand kreieren, um diesen in einer Phishing-E-Mail zu nutzen und so die Zugangsdaten von Mitarbeitern zu erlangen.
In diesem Schritt überprüfen unsere Experten auch, wie die Sicherheitssysteme auf Eindringversuche reagieren. So könnten sie beispielsweise Datenverkehr, der ein hohes Risiko birgt, zur Firewall des Unternehmens leiten, um deren Reaktion zu beobachten. Die dabei gewonnenen Erkenntnisse nutzen unsere Experten, um im weiteren Verlauf des VAPT unentdeckt zu bleiben.
3. Ausnutzung
Unsere Experten starten nun mit der Durchführung der eigentlichen Hackerangriffe. Abhängig vom Zielsystem, den identifizierten Schwachstellen und dem festgelegten Umfang des VAPT, können sie eine Vielzahl unterschiedlicher Angriffsmethoden einsetzen. Zu den am häufigsten durchgeführten Angriffen gehören:
SQL-Injections sind eine gängige Angriffsmethode, bei der unsere Experten versuchen, eine Webseite oder Anwendung dazu zu manipulieren, sensible Daten preiszugeben. Dies geschieht durch das Einschleusen von schädlichem Programmcode in Eingabefelder der betreffenden Webseite oder Anwendung. Diese Technik zielt darauf ab, die SQL-Datenbank, die im Hintergrund der Anwendung läuft, zu beeinflussen
Denial-of-Service-Angriffe (DoS) sind eine Form von Cyberangriffen, bei denen unsere Experten darauf abzielen, Server, Anwendungen und andere Netzwerkressourcen lahmzulegen. Sie erreichen dies durch eine gezielte Überflutung der Zielressourcen mit einem übermäßigen Datenverkehr, was zu einer Überlastung und letztendlich zu einem Ausfall des Systems führt,
Social Engineering ist eine raffinierte Form der Cyberkriminalität, bei der unsere Experten psychologische Manipulationstechniken einsetzen, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Sicherheitsprotokolle zu umgehen. Im Gegensatz zu anderen Cyberangriffen, die sich auf technische Schwachstellen konzentrieren, zielen Social-Engineering-Angriffe auf die menschliche Anfälligkeit ab,
Brute-Force-Angriffe sind eine Methode, bei der unsere Experten versuchen, in ein System einzudringen, indem sie fortlaufend eine große Anzahl möglicher Kennwörter durchprobieren. Dies geschieht mithilfe automatisierter Skripte oder Softwaretools, die systematisch verschiedene Passwortkombinationen generieren und testen, bis sie auf das korrekte Kennwort stoßen.
4. Eskalation
Sobald unsere Experten eine Schwachstelle erfolgreich ausgenutzt haben, um im System Fuß zu fassen, streben sie danach, das System weiter zu erkunden und ihren Zugriff auszuweiten. Diese Phase wird oft als „Schwachstellenverkettung“ bezeichnet, da sich die Experten von einer Schwachstelle zur nächsten bewegen, um tiefer in das Netzwerk einzudringen. Beispielsweise könnten sie anfangs einen Keylogger in den Computer eines Mitarbeiters einschleusen, um dessen Anmeldeinformationen aufzuzeichnen. Mit diesen Informationen können sie dann Zugang zu sensiblen Datenbanken erlangen.
In dieser Phase zielen unsere Experten darauf ab, den erlangten Zugriff aufrechtzuerhalten und ihre Privilegien zu erweitern, während sie gleichzeitig Sicherheitsmaßnahmen umgehen. Sie unternehmen all diese Schritte, um Advanced Persistent Threats (APTs) – langfristige und hochentwickelte Bedrohungen – nachzuahmen, die über längere Zeiträume unbemerkt in einem System verbleiben können, bevor sie entdeckt werden.
5. Dokumentation
Am Ende des simulierten Angriffs sorgen unsere Experten dafür, alle Spuren ihres Eingriffs zu beseitigen. Dazu gehören etwa das Entfernen von Backdoor-Trojanern, die sie möglicherweise eingeschleust haben, sowie das Rückgängigmachen aller vorgenommenen Konfigurationsänderungen. Dies stellt sicher, dass echte Hacker nicht die von unseren Experten genutzten Exploits verwenden können, um in das Netzwerk einzudringen.
Im Anschluss erstellen unsere Experten einen detaillierten Bericht über den durchgeführten Angriff. Dieser Bericht enthält üblicherweise eine Beschreibung der identifizierten Schwachstellen, der eingesetzten Exploits, der Methoden zum Umgehen der Sicherheitsfunktionen sowie der durchgeführten Aktionen innerhalb des Systems. Zudem können in dem Bericht spezifische Empfehlungen zur Behebung der aufgedeckten Schwachstellen gegeben werden. Das interne Sicherheitsteam des Unternehmens kann diese Informationen nutzen, um die Verteidigungsstrategien gegen tatsächliche Angriffe zu verbessern.
