Dienstleistungen: Vulnerability Assessment
Ziel
Identifikation von potentiellen Schwachstellen aus der Sicht eines Angreifers aus Internet oder Intranet.
Ausgangslage
Um eine wissenschaftliche und wirtschaftliche Optimierung eines Security Audit erreichen zu können, wird eine Whitebox-Analyse empfohlen: Der Kunde legt nach Möglichkeiten sämtliche Details zur Zielumgebung offen (z.B. IP-Adressen und interne Abläufe). Dadurch kann durch unsere Spezialisten auf eine langwierige Datensammlung verzichtet und stattdessen das Expertenwissen auf die Fachgebiete fokussiert werden.
Vorgehen
Das Umsetzen von Security Scans basiert zu grossen Teilen auf der systematischen Vorgehensweise, wie sie im Buch Die Kunst des Penetration Testing von Marc Ruef dokumentiert wurde.
- Footprinting: Zusammentragen von grundlegenden Informationen zur Zielumgebung (z.B. IP-Adressbereiche, Hostnamen, Mitarbeiterdaten).
- Scanning: Identifizieren von Angriffsflächen mittels automatisierten Vulnerability Scannern (z.B. Nmap, Nessus und Qualys).
- Auswertung: Eingrenzen potentieller Schwachstellen, die sich im Rahmen eines Angriffsszenarios angehen lassen.
- Verifikation: Partielles Ausnutzen ausgemachter Sicherheitslücken zur Identifikation der Existenz und Tragweite dieser.
Resultat
Der Kunde erhält in einem Dokument alle gefundenen Schwachstellen der Zielumgebung. In der tabellarischen Auflistung werden die jeweiligen Mängel dargelegt. Sie sind den einzelnen Netzwerkbereichen, Systemen, Diensten und Applikationen zugeordnet. Ein jeder Eintrag enthält eine individuelle Risikoeinstufung, eine technische Beschreibung, Hinweise zur Ausnutzung der Schwachstelle sowie Empfehlungen bezüglich Gegenmassnahmen.
Vor-/Nachteile
Das Vulnerability Assessment lässt einfach und schnell den gegenwärtigen technischen Stand der Sicherheit eines Netzwerks, eines Systems oder eines Dienstes ermitteln und verbessern (auch in Bezug von Compliancy). Durch eine Normalisierung sowie statistische Auswertung der Daten werden zudem umfassende Planspiele und akkurate Deltavergleiche (Benchmarking zu vorangehenden Tests oder vergleichbaren Firmen) möglich. Entwicklungen und Trends werden damit für Entscheidungsträger illustrierbar.
Beispielreferenz
Security Scan Internetsysteme: Ein international agierendes Versicherungsinstitut führt zwei Mal pro Jahr eine umfassende Analyse ihrer über das Internet erreichbaren Systeme durch. Da das interne IT Security Team regelmässig Scans mit der kommerziellen Lösung Qualys durchführt, haben wir unsere semi-automatisierten Tests auf den jüngsten Resultaten dessen aufgebaut. Dies hat dem Kunden Geld und uns Zeit gespart, denn so konnten unsere Spezialisten unmittelbar ihr Fachwissen auf die konkreten Schwachstellen fokussieren. Durch den semi-automatisierten und datenbankbasierten Ansatz sind wir in der Lage, sehr schnell, effizient, zuverlässig und fehlerfrei auch grössere Scans durchzuführen. Die Komplexität ist für uns auch bei über 500 Hosts mit über 2’500 gefundenen Exposures und Vulnerabilities überschaubar.
