Seit über 25 Jahren begleiten wir Unternehmen zu mehr Sicherheit und beobachten Entwicklungen und Trends. Im Interview mit Matthias Göhring, Head of usd HeroLab und Sebastian Puttkammer, usd Managing Consultant IT Security und Head of HeroLab Tools sprechen wir darüber, warum bisherige Ansätze im Bereich der Penetrationstests den immer komplexer werdenden Umgebungen nicht mehr gerecht werden und wie zukunftsfähige Lösungen aussehen.
Was versteht ihr unter dem klassischen Pentest-Ansatz?
Matthias Göhring: „Klassische Pentests, wie sie heute von Unternehmen durchgeführt werden, sind für die Kunden eine Blackbox. Es fehlt eine übergreifende Standardisierung in der Durchführung: Prüftiefe, Testabdeckung und -umfang unterschieden sich zwar je nach Anbieter, lassen sich aber unmöglich vergleichen. Hinzu kommt, dass die Ergebnisberichte lediglich identifizierte Schwachstellen beinhalten und die Tests, die nicht zu einer Schwachstelle führen, in der Regel nicht dokumentiert werden.“
Weshalb ist diese Transparenz im Prüfverfahren wichtig?
Sebastian Puttkammer: „Ohne Transparenz und Standardisierung bleibt für den Kunden stets unklar, was alles während des Pentests getestet wurde. Da Pentests brachenübergreifend durchgeführt werden, variieren auch die Anforderungen an die Durchführung und Dokumentation. Bereits heute gibt es Sicherheitsstandards, die Vorgaben an die Nachvollziehbarkeit der durchgeführten Prüfschritte stellen. Mit den bisherigen Ansätzen ist es nicht möglich, diese adäquat abzubilden. Beim klassischen Pentest sind zudem die kundenspezifischen Anforderungen in den meisten Fällen nicht abbildbar.“
Wie habt ihr vor, die aufgezeigten Probleme zu lösen?
SP: „Wir haben unsere Penetrationstests hinsichtlich Transparenz und Standardisierung je Pentestkategorie in den letzten Jahren wirklich auf das nächste Level gehoben. Den Grundstein hierfür haben wir mit unserer Toolchain gelegt. Sie ermöglicht uns ein hohes Maß an Automatisierung, was mit Vergleichbarkeit, Reproduzierbarkeit und Effizienz einhergeht. Unseren Pentestern bleibt so mehr Zeit für gezielte und manuelle Prüfungen, wodurch die Qualität der Analysen steigt, da unter anderem verstärkt auf Logikfehler getestet wird.“
MG: „Zudem können wir mithilfe der Toolchain kundenspezifische Anforderungen leichter integrieren. Durch die vollständige und transparente Dokumentation sind die einzelnen Prüfschritte für unsere Kunden nachvollziehbar. Insbesondere, da wir auch die Prüfschritte im Bericht erfassen, bei denen keine Schwachstellen identifiziert wurden. Eine wichtige Anforderung aus Kundensicht.“
Wie wird die HeroLab Toolchain weiterentwickelt?
MG: „Unser Know-how und unsere Erfahrungen fließen stets in die Weiterentwicklung unser Tool-Landschaft ein, wodurch geniale Synergieeffekte entstehen: Wir entdecken zum Beispiel verstärkt sogenannte Zero-Days und unterstützen durch Responsible Disclosure Software-Anbieter dabei, kritische Einfallstore für Hacker zeitnah zu schließen. Dank unserer Tool-Landschaft entsteht außerdem eine stets optimierte Trainingsumgebung für unser internes Ausbildungsprogramm, den „usd HeroLab Certified Professional“. Dies garantiert, dass unsere Analysten stets auf höchstem Niveau ihre Sicherheitsüberprüfungen durchführen. Und für die Zukunft haben wir noch einiges in petto!“
Erfahren Sie in unserem englischsprachigen Webinar „Next Level Pentesting“ mehr zur usd HeroLab Toolchain und wie sie unsere Kunden und Security Analysten auf dem Weg zu mehr Sicherheit unterstützt.