peterzayda - stock.adobe.com
IT-Job Pentester: Anforderungen und Herausforderungen
Trotz aller Technologie und Automatisierung ist menschliche Expertise in der IT Security unverzichtbar. Besonders spannende Aufgaben haben Experten, die sich um Pentests kümmern.
Dass es in der IT im Allgemeinen und der Security im Besonderen einen Mangel an interessanten Berufsbildern gäbe, kann nun wahrlich nicht behauptet werden. Beim Gros der IT-Tätigkeiten geht es darum, etwas aufzubauen oder zu erschaffen. Sei es nun die Programmierung von Anwendungen, das Aufsetzen von Systemen oder die Konzeption von Infrastrukturen. Geht es um Penetrationstests, kommt ein nicht minder faszinierender Aspekt hinzu: Man darf Sachen kaputt machen und zerstören – und dies mit Fug und Recht.
Mit Hilfe von Penetrationstests wird unter anderem untersucht, wie verwundbar ein Unternehmen oder eine Organisation ist. Und dies geschieht natürlich auf unterschiedlichsten Ebenen, von der Anwendung, über die Geräte bis hin zur Infrastruktur. Und dabei müssen die mit den Tests befassten Personen auch immer das große Ganze im Blick haben, um gegebenenfalls die Zusammenhänge und die potenziellen Schäden einschätzen zu können.
Die Herausforderungen, denen sich Penetrationstester stellen müssen und die Anforderungen, die an sie gestellt werden, erläutert Ed Skoudis, seines Zeichens SANS Faculty Fellow und Leiter des SANS Penetration Testing Curriculums, im folgenden Gespräch mit SearchSecurity.de.
Schwachstellen können auch von Tools relativ automatisiert aufgespürt werden. Wie unterscheidet sich da die Vorgehensweise der menschlichen Spezialisten für Pentests und warum sind diese Experten nach wie vor erforderlich?
Ed Skoudis: Menschliche Penetrationstester und automatisierte Tools sollten idealerweise Seite an Seite arbeiten und sich gegenseitig ergänzen, um effektiv Schwachstellen zu finden und Geschäftsrisiken zu bewerten. Während Tools einige der Schwachstellen automatisiert aufspüren, haben Menschen aufgrund ihrer Erfahrungen bei der Auswertung scheinbar unzusammenhängender Befunde und einem gesunden Bauchgefühl einen enormen Vorteil. Menschliche Penetrationstester können die geschäftlichen Auswirkungen von entdeckten Schwachstellen auf eine Weise identifizieren und in Bezug setzen, wie es kein automatisiertes Tool vermag.
In welche Themenbereiche lassen sich Pentests unterteilen?
Skoudis: Es gibt viele Methoden, um die Pentest-Branche zu gliedern. Eine Möglichkeit wäre es, sie nach den getesteten Technologien zu unterteilen:
- Netzwerkpentests (Clients und Server, die über ein Netzwerk ausgewertet werden)
- Penetrationstests für Webanwendungen
- Penetrationstests für mobile Geräte und Anwendungen
- Drahtlose Penetrationstests
- IoT-Penetrationstests
- und viele mehr.
Eine andere Option, die Tests zu unterscheiden, basiert auf ihrem Ziel. Beispielsweise soll ein Red-Team-Test prüfen, ob die Cyberverteidiger (das Blue Team) einen Angriff effektiv erkennen und darauf reagieren können. Ein Vulnerability Assessment ist wiederum darauf ausgelegt, Schwachstellen aufzuspüren, ohne sie auszunutzen. Ein Insider-Threats-Test würde sich darauf konzentrieren, was ein böswilliger Mitarbeiter oder ein anderer Insider erreichen könnte, während ein External-Threat-Test die Aktivitäten eines Cyberkriminellen, Nationalstaats oder eines anderen böswilligen Akteurs gegen die Zielorganisation modelliert.
Mit welchen Aufgaben werden Security-Spezialisten konfrontiert, die sich für Penetrationstests interessieren? Was sind ganz typische Aufgabenstellungen, die einem Pentester begegnen?
Skoudis: Penetrationstests basieren sowohl auf bewährten Hacking-Techniken als auch auf den neuesten Tools und Methoden, um aktuelle Schwachstellen auszunutzen. Daher müssen sich die Tester stets über aktuelle Angriffe, Datenschutzvorfälle und entdeckte Schwachstellen auf dem Laufenden halten. Einen großen Teil ihrer Zeit widmen sich die Penetrationstester ihren eigenen Fähigkeiten in einer Laborumgebung, um sie auf dem neusten Stand zu halten und weiter auszubauen. Darüber hinaus müssen sie die Unternehmen, die sie testen, sorgfältig aufklären, ihre Geschäftsziele verstehen und wie ein Angreifer darüber nachdenken, wie diese Ziele durch einen Computerangriff unterlaufen werden können. Im Anschluss versuchen Penetrationstester, die Aktivitäten realer Bedrohungen zu modellieren, um festzustellen, ob ein echtes Geschäftsrisiko besteht.
Zusätzlich scannen sie oft Zielsysteme mit verschiedenen automatisierten Werkzeugen, um Schlupflöcher zu finden. Unter kontrollierten Bedingungen versuchen Pentester, die entdeckten Schwachstellen auszunutzen oder sogar brandneue, noch unentdeckte Schwachstellen zu finden. Das trifft auf den Bereich der Zero-Day-Schwachstellen und der Exploit-Forschung zu. Außerdem verbringen die Tester viel Zeit damit, ihre technischen Erkenntnisse in wirtschaftliche Fach- und Geschäftssprache zu übersetzen, um ihre Kunden dabei zu unterstützen, diese Risiken besser zu managen.
Was genau suchen Unternehmen in diesem Bereich und wer sind die potenziellen Auftraggeber und Ansprechpartner in Unternehmen?
Skoudis: Es ist wichtig, Experten zu finden, die nicht nur technisch versiert, sondern auch höchst vertrauenswürdig sind und die wirtschaftlichen Auswirkungen ihres Handwerks verstehen. Zunehmend suchen Unternehmen nach Testern, die ihnen helfen, ihr Geschäftsrisiko besser zu verstehen und Ressourcen einzusetzen, um ihre Risikobewertung zu verbessern, anstatt nur Fehler zu finden, damit das Unternehmen sie beheben kann.
Welche Fähigkeiten und Eigenschaften sollte ein Pentester mitbringen? Welches Hintergrundwissen ist erforderlich?
Skoudis: Penetrationstester kommen aus unterschiedlichsten Disziplinen. Ich habe Freunde mit Abschlüssen in Mathematik, Literatur, Physik und Buchhaltung, von denen jeder ein hervorragender Tester ist. Ich kenne Leute ohne Abschluss, die zu den Besten der Branche gehören. Der Punkt dabei ist, dass kein spezifischer Hintergrund erforderlich ist.
Stattdessen zeichnen sich gute Penetrationstester durch eine große Neugier aus. Sie können sich kleine Details konzentrieren und sind gut darin, Rätsel zu lösen. Sie neigen dazu, unermüdlich zu sein, weil sie anspruchsvolle, tiefe technische Probleme lösen müssen. Sie müssen die Welt auch aus einer Perspektive betrachten, die Außenstehenden verdreht vorkommen mag: Sie wollen nicht nur verstehen, wie die Dinge funktionieren, sie müssen auch herausfinden, wie man sie zerstören kann und welche Folgen die Schäden verursachen.
„Menschliche Penetrationstester und automatisierte Tools sollten idealerweise Seite an Seite arbeiten und sich gegenseitig ergänzen, um effektiv Schwachstellen zu finden und Geschäftsrisiken zu bewerten.“
Ed Skoudis, SANS Institute
Bezogen auf das Hintergrundwissen benötigen die Penetrationstester wirklich tief gehende Kenntnisse in dem spezifischen technischen Bereich, auf den sie sich spezialisieren, beispielsweise Netzwerkdienste, Client-Anwendungen, Webanwendungen, Cloud-Technologien, physische Sicherheit, IoT-Geräte, Wireless-Technologien oder andere. Sie müssen die technischen Themen bis in die Tiefe verstehen, um Angriffspunkte von eventuellen Angreifern zu identifizieren.
Welche Ausrüstung, Tools, Hard- und Software benötigen Pentester und wie sollten die Anschaffungen priorisiert werden? Gibt es zwischen den unterschiedlichen Bereichen auch Unterschiede in der Priorisierung, die Einsteiger beachten sollten?
Skoudis: Für Penetrationstester gibt es eine unglaubliche Anzahl kostenloser Open-Source-Tools. Das macht diese Branche so großartig. Darüber hinaus gibt es aber auch eine Vielzahl kommerzieller Schwachstellen-Scanner und Penetrationstests. Während man einen wirklich guten Pentest nur mit kostenlosen Tools durchführen kann, bieten kommerzielle Tools den Vorteil der Zeit- und Geldersparnis, weil sie den Workflow der Penetrationstests teilweise automatisieren und die Arbeit erleichtern. Wenn es zum Beispiel darum geht, Pentests für mein eigenes Team zu kaufen, ist meine Einkaufsentscheidung davon abhängig, was mein Team effizienter macht. Genau das sollten Unternehmen in ihren Tools suchen. Einige automatisierte Tools zum Scannen von Schwachstellen, zur Ausnutzung und zum Angriff auf Webanwendungen leisten genau das.
Auf welche rechtlichen Fallstricke sollten die neuen Pentester besonders achten und welche Richtlinien oder normativen Rahmenwerke gibt es, an die sich Penetrationstester halten sollten?
Skoudis: Natürlich müssen Pentester zu Beginn ihrer Aufgabe eine unterschriebene Einverständniserklärung zur Durchführung des Tests erhalten. In unserer Branche wird das oft die „Out of Jail Free Card“ genannt. Diese sollte während des gesamten Prozesses immer griffbereit liegen. Ein Beispiel stelle ich auf meiner eigenen Website zur Verfügung. Wenn sie einen Test für ein anderes Unternehmen durchführen, sollte es immer eine Vertragsklausel geben, die eine Haftungsbeschränkung enthält. Zuletzt sollten Penetrationstester jedes Mal sicherstellen, wenn sie einen Test in einem Land durchführen, in dem sie bislang noch nicht gearbeitet haben, dass ein Anwalt die Pläne des Tests überprüft, um zu vermeiden, dass sie versehentlich gegen lokale Gesetze verstoßen.
Der Penetration Testing Execution Standard (PTES) bietet aus Sicht eines Frameworks wirklich nützliche Hinweise zu einer Vielzahl von Aktivitäten, die in hochwertigen Penetrationstests enthalten sind.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!