Pentests in Kritischen Infrastrukturen · Mit der secunet Pentest-Strategie werden die Werte des Unternehmens effektiv geschützt . Seite 22 . 09.10.2018 Pentests in Kritischen Infrastrukturen

Pentests in Kritischen Infrastrukturen

09.10.2018 Pentests in Kritischen Infrastrukturen Seite 3

Harte Fakten über Ihre Systeme

+ Typische Schwachstellen – eine Auswahl + Ursachen von Schwachstellen + Pentest Flavours + secunet Pentest Strategie + Tools, Techniken und Team + Bedarfsbetrachtung

Pentests & Angriffssimulationen Moderne IT-Systeme enthalten

unentdeckte Fehler, die sich von Hackern ausnutzen lassen

Alte IT-Systeme enthalten entdeckte Fehler, die sich von IT-Laien ausnutzen lassen

Pentests bieten mit überschaubarem Budget ein aktuelles Lagebild der IT-/OT-Landschaft


Schwachstellen in IT-Systemen – ein Presserundblick

CERT Bund warnt gegenwärtig vor der „Chef-Masche“ heise, 27.03.2018

Zahlenfolge „123456“ immer noch beliebtestes Passwort in Deutschland heise, 22.12.2017

WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung heise, 16.10.2017

Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Super-GAU heise, 05.01.2018


Typischer Schwachstellen – ein Erfahrungswert

zu offenes Nutzer- und Rollenkonzept innerhalb der Domäne

fehlende Security Awareness der Mitarbeiter

unzureichende interne und externe Angriffserkennung

wichtige System- und Anwendungsupdates werden nicht zeitnah eingespielt


Technische Ursachen mangelndes Patch-Management fehlende Systemhärtung veraltete / vergessene Systeme fehlende interne Schutzzonen Fehlendes Sicherheitslagebild (temporär & dauerhaft)

Organisatorische Ursachen

fehlende Risikobetrachtungen & Sicherheitskonzepte

ungenügendes Berechtigungsmanagement

zu geringe Priorität & Budgets für IT-Sicherheit

zu hohe Arbeitslast für IT-Mitarbeiter

unterschätzte „Mitarbeiterkreativität“

Weitere Ursachen von Schwachstellen


Typische Ziele eines Angriffs

Mitarbeiter (Mitarbeitersysteme, Mobile Systeme, Mobile Device Management)

Gebäude (Zugangs- und Zutrittsschutz, Gebäudemanagement)

Netze (Router, Switches, VPN NAC, Datenabfluss)

Endgeräte (Desktops, Laptops, Handys PLCs, Aktoren, Sensoren)

Server (File-, Datenbank-, Mail-, Backup-Server, Leitstand)


Bedarfsbetrachtung

Transformation


Das typische Vorgehens eines Pentests

Vorgehen pro Arbeitspaket folgt grundsätzlich dem gleichen Schema:

1. Asset-Identifikation Auswahl von Analysetyp und Zielen

2. Durchführung der Analyse Technische Prüfung

3. Bewertung der Ergebnisse Überprüfung & Anpassung

4. Ableitung von Maßnahmen Dokumentation empfohlener Maßnahmen

5. ggf. ReTests (Sprung zu Schritt 2) Bei Bedarf erneute Analyse

ReTest

Analyse

Asset-Identifikation

Bewertung

Ableitung von Maßnahmen

1)

2)

5)

3)

4)


Angriffssimulationen und Pentests

Pentests Angriffssimulation Viele Angriffspfade Post-Exploitation

Red Teaming verdeckte Angriffssimulation Bester Angriffspfad

Network Reconnaissance Breiter Überblick

Wenig manuelle Verifikation Intensive Nutzung von Scannern

Detailanalysen Fokussierung auf ein System

Intensive manuelle Verifikation

N P

D R

Basis-Analysen Fokus auf Systeme

Erweiterte Analysen Fokus auf Daten


Angriffssimulationen und Pentests: Network Reconnaissance

Schneller Überblick über viele Systeme

Kostengünstiger Einstieg in Sicherheitsanalysen

Wenig manuelle Verifikation

Intensive Nutzung von Tools (Schwachstellenscanner)

Gute Ergebnisse für fehlende Patches nicht optimale Konfiguration

Anwendbar für (ein Auszug)

extern erreichbare Netze

interne Netzstrukturen inkl. VPN-Anbindungen

Fokus auf Systeme

Verteilung

betrachtete Systeme manuelle Verifikation

Auffälligkeit

Angriffspfade

Exploiting

Aufwand


Angriffssimulationen und Pentests: Detailanalysen

Verteilung


Auffälligkeit

Angriffspfade

Exploiting

Aufwand

Fokus auf Systeme

Detaillierte Betrachtung eines Systems

Während des Tests zumeist nicht produktiv Keine negativen Auswirkungen zu erwarten

Keine Rücksichtnahme auf Auffälligkeit

Ausnutzung von Exploits nur in Absprache

Intensive manuelle Verifikation der Schwachstellen

Anwendbar für (ein Auszug) Firewalls, Router, Switches, VPN Server, Datenbanken, Webportale Desktops, Laptops, Tablets, Handys


Angriffssimulationen und Pentests: Pentests

Fokus auf Daten

80% Angriffssimulation

Erster Schritt in Richtung Red Team Einsatz

Ziele werden zusammen mit Auftraggeber bestimmt

Intensive Exploitnutzung

Keine Rücksichtnahme auf Auffälligkeit

Alle Aktionen in enger Abstimmung mit IT-Leitung

Verteidigungs-Stress-Test kontrollierter Umgebung

Verteilung


Auffälligkeit

Angriffspfade

Exploiting

Aufwand


Angriffssimulationen und Pentests: Red Teaming

Fokus auf Daten

100% Angriffssimulation

Zielt auf die „Kronjuwelen“

Der ultimative Test der Verteidigungsfähigkeit

Intensive Exploitnutzung

Maximal verdeckte Operationen

Minimale Information der IT-Mannschaft

Unterstützt durch Social-Engineering

Einsatz spezifischer Malware nach Absprache

Indirekte Prüfung von internen Notfallplänen

Verteilung


Auffälligkeit

Angriffspfade

Exploiting

Aufwand


Übersicht: die vier secunet Pentest-Flavours

Verteilung

Betrachtete Systeme

manuelle Verifikation

Auffälligkeit

Angriffspfade

Exploiting

Aufwand


Vom Pentest…

Einzelne Pentests schaffen Momentaufnahmen

Übergabe der Dokumentation beendet üblicherweise einen Pentest

Waren Behebungen erfolgreich?

Wiederholte Pentests schaffen Mehrwerte ReTests bereits geprüfter Komponenten validieren Behebungen Tests neuer Komponenten erweitern die Sicht: Sukzessive wird das ganze Unternehmen geprüft Ein IT-Sicherheitslagebild entsteht

IT- Lagebild

Fokus Daten Systeme


…zur Pentest-Strategie im Unternehmenskontext

+ Aktualisierung des IT-Lagebilds + Festigung des angemessenen

IT-Sicherheitsniveaus + Überschaubare Aufwände + Schulung der Beteiligten + Planbare Kosten

+ Scans + Detailanalysen + Erweiterte Pentests + Organisatorische

Betrachtungen + Awareness-Maßnahmen + Security Monitoring

+ Abstimmung von Analyseverfahren + Identifikation der relevanten Ziele + Regelmäßige Wiederholungen + Verfolgen von Maßnahmen + Definition Testzeiträumen + Verpflichtende ReTests

Welche Vorteile bietet die Pentest-Strategie?

Kombinierbare Elemente?

Was beinhaltet die Pentest-Strategie?


Typische Penteststrategie in einem Unternehmen

+ Start mit Scans + Im Internet

erreichbare Systeme

+ Überblick über schwache Systeme

+ Überprüfung gefundener Schwachstellen

+ Interne Scans + Detailanalysen

häufiger Systeme

+ Lagebild ist vorhanden

+ Fokuswechsel: Datenzugriff

+ Erweiterte Pentests mit Zugriffsziel

+ Alle Systeme in einem gute Zustand

+ Neues Ziel: Erkennung von Angriffen

+ Red-Teaming


Schwachstellen Mitigation

Transformation


secunet T4 – Tools, Techniken, Typen und Teams

Freie Tools & Eigenentwicklungen

Bieten schnellen Überblick

Low-Hanging-Fruits

Tools A fool with a tool …

Einsatz von Tools nicht ausreichend

secunet entwickelt System-spezifische Techniken

Techniken Hacker“-Mindset

Hohes persönliches Engagement

Vertrauens-würdigkeit

Kriminelles Denken ohne kriminelle Vorgeschichte

Typen 14 ausschließliche Pentester in zwei Teams

Durch Kombination noch schlagkräftiger

Backup mit 450 weiteren Experten unterschiedlichster Ausrichtung

Teams


Fazit

secunet berät und unterstützt Sie gerne bei der Erstellung und Umsetzung Ihrer persönlichen Penteststrategie

Fakt ist… IT/OT-Systeme werden permanent angegriffen Einzelne Pentests schaffen „nur“ Momentaufnahmen

Wie wird sichergestellt, dass die geprüften Bereiche auf dem angestrebten Sicherheitsniveau bleiben?

Regelmäßige Pentests schaffen Mehrwerte durch ein vollständiges Sicherheitslagebild Frühe Planung & Einbindung der Pentests in den IT-Sicherheitsprozess des Unternehmens sparen Kosten

Was ist zu tun? Mit der secunet Pentest-Strategie werden die Werte des Unternehmens effektiv geschützt


Referenzen

secunet ist der größte ganzheitliche Anbieter für anspruchsvolle IT-Sicherheit in Deutschland und seit vielen Jahren Sicherheitspartner der Bundesrepublik Deutschland. secunet arbeitet mit verschiedenen Verbänden und Organisationen aus Forschung, Standardisierung und Normierung (DIN, ISO, DKE) zusammen und definiert z. B. gemeinsam mit Regulierern (BSI, BMWi) Anforderungen an IT-geschützte Betriebsprozesse oder auch Anforderungen für die intelligente Vernetzung im Versorgerumfeld.

secunet Security Networks AG

Wir schützen Ihre Systeme. [email protected]

Documents

Pentests in Kritischen Infrastrukturen · Mit der secunet Pentest-Strategie werden die Werte des Unternehmens effektiv geschützt . Seite 22 . 09.10.2018 Pentests in Kritischen Infrastrukturen