SFIO CRACHO - stock.adobe.com
Eine Einführung in automatische Penetrationstests
Fortschritte bei der KI sorgen dafür, dass automatische Pentests immer besser werden. Zwar werden sie manuelle Tests so schnell nicht ersetzen, aber immerhin sinken die Kosten.
Die meisten Spezialisten, die IT-Security-Beratung anbieten, haben sich in den vergangenen Jahrzehnten vor allem auf manuell durchgeführte Tests gestützt. Ein Pentesting-Service besteht traditionell aus einer Gruppe erfahrener und gut ausgebildeter Sicherheitsexperten, die in der Regel mit aktuellen Hacking-Tools und den neuesten Exploits ausgestattet sind. Ihr Ziel ist es, die IT-Infrastruktur des Kunden auf versteckte Einstiegspunkte, Schwachstellen und Lücken zu untersuchen, die dann so schnell wie möglich geschlossen werden können.
Manuell durchgeführte Tests werden voraussichtlich auch weiterhin den Löwenanteil der Analysen ausmachen. Allerdings werden automatisch durchgeführte Pentests immer wichtiger. Automatisierte Penetrationstests können nicht nur die Geschwindigkeit der Untersuchungen erhöhen, sondern gleichzeitig auch ihre Kosten senken.
Wie funktionieren automatisch durchgeführte Pentests?
Automatisierte Prozesse sind nichts Neues in der IT. Das Durchführen von Pentests ist jedoch bislang weitgehend manuell geblieben. Das gilt, obwohl viele Scanning- und Hacking-Tools selbst zum Teil bereits automatisiert wurden. Das große Problem ist jedoch, die richtigen Stellen entlang eines Perimeters zu finden, an denen sie sinnvoll eingesetzt werden können.
Die Fähigkeit, diese Stellen zu identifizieren, lässt sich nicht so einfach automatisieren wie andere Bereiche. Das liegt unter anderem daran, dass die Suche nach Schwachstellen ein genau zu kalkulierender Prozess ist, bei dem viele externe Faktoren mit einbezogen werden müssen. So spielt es zum Beispiel eine wesentliche Rolle, um welche Art von Unternehmen es sich handelt, das getestet werden soll, oder wie die Struktur und der Aufbau des Netzwerks aussehen und welche Anwendungen sowie Dienste von der Außenwelt aus erreichbar sind.
Man sollte sich Pentest-Spezialisten daher ein wenig wie Detektive vorstellen. Sie nutzen Werkzeuge und spezielle Methoden, um wichtige Informationen über ein Ziel zu sammeln. Die gefundenen Daten lassen sich dann nutzen, um potenzielle Schwachstellen zu identifizieren. Dieser sehr zeitintensive Prozess dauert oft Tage, Woche oder sogar Monate, bis er erfolgreich abgeschlossen werden kann.
Was sind die Vorteile automatisierter Pentests?
Automatisch durchgeführte Pentests ermöglichen Unternehmen, einen Sicherheitsreport nicht nur schneller, sondern auch günstiger als früher zu erhalten. Eine automatisierte Pentest-Plattform kann sozusagen auf das Netzwerk eines Klienten ausgerichtet werden, um dann rund um die Uhr und mit minimaler Aufsicht nach Lücken zu suchen, die Infrastruktur auszuspähen und um erste Analysen zu erstellen. Automatisierung kann zudem eingesetzt werden, um die Sicherheitsreports nach der Schwere der gefundenen Schwachstellen zu sortieren.
Das erleichtert die Bearbeitung der Ergebnisse und das Schließen der gefundenen Sicherheitslöcher. Ein gründlich durchgeführter Pentest kann so in weit kürzerer Zeit erledigt werden als es mit einem manuellen Test möglich ist.
Eine KI (künstliche Intelligenz) nutzt in der Regel streng einzuhaltende Prozesse und Prozeduren, an die sich auch jedes damit ausgestattete Pentesting-Tool halten muss, wenn es für Scans und Analysen eingesetzt wird. Die Ergebnisse dieser Tests sind zudem leichter wiederholbar, ohne dass es dabei zu größeren Unterschieden zwischen den Funden kommt. In der IT-Security-Welt ist Letzteres, insbesondere aus Sicht der Einhaltung der Compliance- und Regulierungsvorgaben, ein bedeutender Vorteil.
Es gibt außerdem mehrere Möglichkeiten, um automatisiert durchgeführte Pentests noch günstiger zu machen. Ein Großteil der potenziellen Einsparungen hängt nämlich damit zusammen, dass keine teuren Sicherheitsexperten mehr benötigt werden, um die Werkzeuge auszuführen und um die Ergebnisse umfassend analysieren zu können. KI-gestützte Lösungen sind mittlerweile durchaus in der Lage die Tests für bereits bekannte Exploits und Schwachstellen in hoher Qualität durchzuführen. Auch wenn automatisch durchgeführte Pentests immer noch nicht gerade billig sind, sind sie doch meist günstiger als ihre menschlichen Alternativen zu haben, wenn die durch die automatisierten Plattformen eingesparte Zeit mit einberechnet wird.
Sind automatisierte Pentesting-Tools bereits für den Einsatz in Unternehmen geeignet?
Anbieter und Service-Provider, die automatisierte Pentests in ihr Portfolio mit aufgenommen haben, behaupten meist, dass ihre Plattformen und Dienste aufgrund der enthaltenen KI leicht die nächsten Ziele von Hackern herausfinden können. Auch wenn künstliche Intelligenzen solche Fähigkeiten vielleicht irgendwann erreichen werden, gehen doch viele Beobachter momentan noch davon aus, dass die aktuellen Systeme traditionellen und von Menschen durchgeführten Tests noch unterlegen sind.
Die Fähigkeit, das menschliche Gehirn zu imitieren, um äußerst komplexe und anspruchsvolle Aufgaben durchzuführen, ist für einen Computer eine gigantische Herausforderung. Das liegt unter anderem daran, dass er darauf ausgerichtet ist in binären Systemen zu rechnen.
Automatisierte Pentesting-Plattformen können aber tatsächlich einen Teil der Aufgaben eines menschlichen Pentesters übernehmen, wenn sie sich genau innerhalb fest vorgegebener Parameter bewegen und nach bereits bekannten Exploits und Schwachstellen Ausschau halten. Wenn es jedoch um komplett neue Methoden, Herangehensweisen oder auch um unkonventionelles Denken geht, können sie im Vergleich zu manuellen Tests einfach noch nicht mithalten.
Der größte Vorteil automatisierter Pentests ist daher, dass sie sich besser um sich wiederholende und einfache Aufgaben kommen können. Das erlaubt den Sicherheitsexperten, sich um andere Aufgaben zu kümmern. Gehen Sie deshalb davon aus, dass automatisierte Pentesting-Tools in Zukunft immer häufiger zusammen mit manuellen Analysen zu sehen sein werden. Die Kombination sorgt dann dafür, dass der Prozess des Testens beschleunigt wird und zugleich die Kosten sinken. Gleichzeitig bewirkt diese Vorgehensweise, dass die menschlichen Sicherheitsexperten Bereiche untersuchen können, für die die automatisierten Plattformen noch nicht bereit sind.