b. Über Sinn und Unsinn
Sie koennen diese Dokument als pdf runterladen:
Als Risiko Spezialisten ist es unsere Aufgabe, quasi aus der Adlerperspektive, Informationssicherheit, Datenschutz und die Einhaltung von Standards wie auch Gesetzen zu bewerten und natuerlich zu verbessern.
Auffaellig ist dabei, das fast jedes Unternehmen intensive Penetration Tests durchfuehen laesst. Die damit erhaltenen Resultate werden meistens in einem mehr oder weniger umfassenden Dokument aufgenomment. Leider sind diese Resultate jedoch nicht immer sehr aussagekraeftig. Ebenfalls sind die Kosten fuer solche Tests oftmals relativ hoch.
Diese Probleme werden wir hier kurz skizzieren und effektive und oekonomisch interessante Loesungansaetze aufzeigen. Diese macht solche Tests auch interessant fuer interne Kontrollsysteme und Risikomanagement.
Warum der Penetration Test nicht alle Gefahren aufzeigen kann
Leider werden Penetration Tests oftmals als die einzige Moeglichkeit gesehen, um Schwachstellen und unakzeptable Risiken in Sachen Informationsmanagement aufzuspueren. Doch die Realitaet sieht anders aus:
- • Penetration Tests sind immer eine Stichprobe. Dies gilt egal wie lange Penetration Tests dauern und wie viele IP-Adressen sie umfassen.
- Das heisst, es koennen niemals alle IP-Adressen erfasst werden da ja niemals alle Geraete zur gleichen Zeit eingeschalted oder am Netzwerk sind. Leider ist es jedoch so, dass schon ein einziges kompromittiertes Geraet reicht, um das gesamte Sicherheitsdispositiv in Frage zu stellen.
- • Malware wie z.B. Zombies werden von Penetration Tests nicht erfasst, da sie keinen Service hinter einem Port bereitstellen der vom Test erfasst wird. Sie arbeiten aktiv/aktiv, d.h. sie holen von ihrem Master z.B. von Port 80 Instruktionen ab und fuehren diese aus. Dies koennte zum Beispiel Instruktion sein Spam ueber Port 25 zu verschicken.
- Noch schlimmer wird es wenn es sich um Spionage Programme handelt, die Informationen passiv sammeln und dann per Port 80 an den Master uebertragen.
- • Penetration Tests sind ein rein technischer Test. Dies bedeutet, dass das Verhalten der Mitarbeiter am Netzwerk meistens nicht in die Analyse mit einbezogen wird. Dabei sind es jedoch die Mitarbeiter welche mit den einfachsten Mitteln das Sicherheitssystem ueberrumpeln koennen.
- • Die Logik eines wirklichen Angriffs bleibt beim Penetration Test ungetestet.Vom Weg durch die Eingangstuere an der physikalischen Sicherheit vorbei, bis zum Erfolg. Ein solcher Test laesst sich gut als logischer Penetration Test beschreiben.
Das Wichtigst ist jedoch, dass ein sogenannter logischer Penetration Test mit sehr grosser Wahrscheinlichkeit zum Erfolg fuehrt, d.h. die Schwachstellen im Sicherheitsdispositiv schonungslos offenlegt.
Aus dieser Erfahrung muss man sich zu Recht fragen, warum Penetration Tests oft Wochen und Monate dauern. Da sie ja nur eine Stichprobe sind, muss es doch moeglich sein die gesammelten Daten schnell zu erfassen.
Schlimmer ist jedoch, dass diese Tests oftmals nicht ein umfassesendes Situationsbild generieren oder sogar ein unvollstaendiges Bild der Gefahrenpotentiale aufzeigen.
Unsere Erfahrung zeigt, dass sich in der Praxis stark gekuerzte Penetration Testphasen sehr bewaehren. Um deren Aussagekraft zu erhoehen muss jedoch<.
- 1) der Penetration Test gemacht werden sowie
2) ein Vulnerability Scan und
3) der logische Penetration Test wird mit einbezogen, sowie
4) das Kommunikationsverhalten von Mitarbeitern und Software musse ebenfalls analysiert werden.
Je nach Unternehmensgroesse reichten manchmal schon 3 Tage vor Ort plus entsprechender Nachbearbeitung aus um zielgenaue Aussagen treffen zu koennen, wie es um die Sicherheit bestellt ist. Diese Aussagen wurden dann in einem Security Recommendation Overview Dokument praesentiert.
Was bei einem Penetration-Test passiert, soll hier nicht weiter erlaeutert werden, allerdings wird in den folgenen Abschnitten noch etwas genauer auf den logischen Penetration Test sowie das Kommunikationverhalten von Software und Miterabeitern und deren systematischer Analyse eingegangen.
Logischer Penetration Test
Bei einem logischen Penetration Test nimmt der Tester die Funktion eines internen Angreifers ein und versucht mit den ihm im Netzwerk verfuegbaren Mitteln und Rechten die Sicherheit zu kompromittieren.
Dabei gibt es verschiedene Spielarten je nach Wunsch des Auftraggebers, wie z.B. der Angreifer bringt Hardware oder Software mit (simuliert also einen Externen) oder er bringt nichts mit und benutzt das Equipment des zu testenden Unternehmens, ausgestattet mit dem Equipment und den Rechten die ein normaler Mitarbeiter auch hat.
Dieser logische Penetration Test fuehrt meist zu erstaunlichen Ergebnissen, da die IT-Security in Unternehmen meist an komplexe Angriffsszenarien denken, aber nicht die Pfiffigkeit mancher Mitarbeiter, mit einfachsten Mitteln ihr Ziel zu erreichen.
Zum Beispiel muessen wir des oefteren feststellen, das Industriespionage oder Betrugsaffaeren sich dadurch kennzeichnenn, dass Daten modifiziert werden oder aber mit einfachen Mitteln aus dem Unternehmen herausgeschleust werden.
ComProcess Analytica Methode
Auf einem mehr technischen Niveau als der logische Penetration Test laeuft die ComProcess Analytica Methode (Protocol-Tracking-Analysis) Test ab. Hier wird aufgezeichnet, was im Netzwerk in Wirklichkeit kommuniziert um unerwuenschtes Kommunikationsverhalten von Software zu entdecken und zu eliminieren.
Diese Analyse zeigt dem Management wo die neuralgischen Punkte zu finden sind und ermoeglicht die effektive Verbesserung der intenen Kontrollen und des Risikomanagements.
Zum Beispiel ist es oft der Fall, dass die Fuehrungskraefte ueberrascht feststellen muessen, dass eine Vielzahl von den Protokollen die im System genutzt werden weder die geplanten noch autorisierten Protokolle sind. Demnach übersteigt die Anzahl von Protokollen die im Unternehmen genutzt werden diejenige der autorisierten Applikationen bei weitem.
Dies deutet natuerlich auch darauf hin, dass bessere Kontroll- und Auditmechanismen eingebaut werden muessen um dieses Risiko besser in den Griff zu bekommen. Nur dann wird es das Unternehmen schaffen, den gesetzlichen Vorschriften auch genuege zu tun.
Mit Hilfe der Protocol-Tracking-Analysis kann man die Nutzung von Kazaa aehnlichen Services, wie auch die Nutzung von Skype, Facebook, illegalen Servern und Zombies im Netzwerk entdecken. Ebenfalls kann das unerlaubt austauschen von Musik auf DVD Datentraegern von ArbeitnehmerInnen sichtbar gemacht werden.
Experten muessen auch die Faehigkeit besitzen, sich in die Lage des Attackers zu versetzen, damit die Informationen korrekt ausgewertet werden koennen (z.B. was bedeutet dieser Datenfluss und was moechte der Angreifer damit erreichen).
ComProcess Analytica Methode und Risiko Management
Das oben beschriebene Vorgehen, speziell der ComProcess Analytica Methode erlaubt es dem Unternehmen die neuralgischen Punkte im Netzwerk zu identifizieren. Nicht authorisierte Prozesse am Netzwerk sind nicht nur ein Kostenproblem (z.B. Bandbreite), sie stellen eine grosse Gefahr fuer die Datenintegritaet und Sicherheit dar.
Zum Beispiel verlangen fast alle Laender das Chat Protokolle (z.B. Instant Messenger) archiviert werden. Wenn diese aber nicht autorisiert wurden und kein interner/zentraler Chat Server installiert wurde, koennen diese Kommunikationstroeme auch nicht protokolliert werden. Damit ist ein Gesetzesverstoss schon vorhanden.
Die ComProcess Analytica Methode zeigt die Datenstroeme auf welche solche nicht bewilligten Aktivitaeten zueruecklassen. Damit koennen dann diese auch gestoppt werden.
Erst nach dem schrittweisen Vorgehen wie oben beschrieben kann im Gegenzug die Firma die richtigen Schritte einleiten, welche die unerwuenschte oder sogar illegale Aktivitaet am Netz schnellstens stoppt. Wichtig ist aber auch, dass diese Aenderungen am Sicherheitsdispositiv auch in der Zukunft ueberprueft werden und damit das Risiko fuer das Einnisten von weiteren nicht authorisierten Aktivitaeten minimiert werden kann.
Kontakt
Fuer Fragen und Bestellungen steht Ihnen:
Professor Dr. Urs E. Gattiker unter : +41 (0)44 272-1876 oder +41 (0)76 200 77 78
zur Verfuegung.
Download dieses Dokument
Sie koennen dieses Dokumen als pdf Datei downloaden:Andreas Wagner und Urs E. Gattiker (May 23, 2007). Sinn und Unsinn von Penetration Tests