Eine punktuelle Schwachstellenüberprüfung durch externe Penetration Tester wäre noch heute ein verlässlicher Baustein von Cybersecurity-Strategien, wenn Cyberkriminelle immer noch mit derselben Methodik wie vor zehn Jahren angreifen würden.
Betrachtet man die Anatomie einer Cyberattacke, stellt man sehr schnell fest, dass sich Hacker in Unternehmensnetzwerken über Zeiträume von bis zu einem Jahr unbemerkt aufhalten. Einem Cyberangriff gehen in der Regel Social-Engineering-Aktivitäten oder Phishing-Attacken voraus mit dem Ziel, einen günstigen Einstiegspunkt in die Unternehmensinfrastruktur zu finden (LAND).
Ist das geglückt, beginnt die nächste Phase (PERSIST), in der Sicherheitslücken ausgenutzt, Passwörter geknackt werden und Schadsoftware auf Systemen installiert wird. Solange diese Aktivitäten unentdeckt bleiben, dauert die PERSIST-Phase gut und gerne einige Monate. Während dieser Phase werden bereits erste Daten auf externe Server kopiert. Wurden auch diese Aktivitäten nicht entdeckt, beginnt die letzte Phase, in der sich die Angreifer auf das gesamte Netzwerk ausbreiten (EXPAND). Je nach Auftrag oder Ziel der Cyberkriminellen, werden in einem letzten Schritt Daten verschlüsselt und damit oft der gesamte Betrieb lahmgelegt.
Professionelle Pentests dienen dazu, genau diejenigen Sicherheitslücken zu identifizieren, die es Hackern ermöglichen, eine solche Attacke vollständig durchzuführen. Pentester nutzen für diese Sicherheitsüberprüfungen frei erhältliche Tools, selbstgeschriebene Software oder auch professionelle Lösungen und imitieren die Vorgehensweise von Hackern mit der Ausnahme, keinen Schaden anzurichten (Ethical Hacking).
Spätestens hier erkennt man die Defizite einer solchen Vorgehensweise: Manuelles Pentesting ist immer zu kurz, zu eingeschränkt und Ergebnisse sind abhängig von der exklusiven Expertise des Pentesters. Analysen können nicht unmittelbar nach den erfolgten Überprüfungen abgerufen werden. Zudem bleibt die Kundin bei der Priorisierung von empfohlenen Gegenmassnahmen auf sich gestellt. Schwer wiegt auch die Tatsache, dass eine erneute Security-Validierung aufgrund der genannten Einschränkungen nicht reproduzierbar ist oder oft erst nach Monaten stattfindet, nachdem entsprechende Massnahmen zur Behebung von Schwachstellen durchgeführt worden sind.
Anstatt exemplarisch einzelne Bereiche der Infrastruktur zeitlich begrenzt und durch ungeprüfte Software und Exploits überprüfen zu lassen, bietet automatisiertes Pentesting eine zeitgemässe, effiziente und fortlaufende Security-Validierung.
Air Gapped oder als SaaS-Lösung bietet eine automatisierte Pentesting-Plattform alle Vorteile professionell entwickelter Software. Eingebettet in die IT-Infrastruktur greift die Lösung unbemerkt und im produktiven Betrieb Passwörter ab oder führt vollständige Ransomware-Angriff-Emulationen durch. Ergebnisse und Analysen sind unmittelbar verfügbar und empfohlene Massnahmen können vollautomatisiert in bestehende IT-Support-Ticketingsysteme integriert werden. IT-Security-Lösungen und Serviceprovider werden laufend technisch überprüft. Investitionen können so faktenbasiert geplant und argumentiert werden.