Audit-Etappen: Von der Bestandsaufnahme zur Detailanalyse

Audit-Etappen: Von der Bestandsaufnahme zur Detailanalyse

5. Juni 2021 - Um ein realistisches Bild seiner Sicherheitsmassnahmen und damit seiner Hacker-Resilienz zu erhalten, kommt ein Unternehmen um regelmässige Audits nicht herum. Aber nicht jedes Unternehmen benötigt das gleiche Audit in grossem Umfang.
Artikel erschienen in IT Magazine 2021/06
Cyber-Attacken werden immer häufiger und folgenschwerer. Fast täglich liest man von privaten und öffentlichen Organisationen, die durch Hacker-Angriffe lahmgelegt oder geschädigt werden. Audits sind ein wichtiges Mittel, um die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu stärken und zu überprüfen. Doch wie geht man dabei vor, um auch bei kleinem Budget verwertbare Ergebnisse zu erhalten? Der Audit-Prozess umfasst verschiedene Etappen, die im Folgenden erläutert werden.

Für Unternehmen mit noch geringer Audit-Erfahrung, engem Budget und dem Wunsch nach einem Quick Win, eignet sich ein pragmatischer Ansatz mit Audit-Etappen, die sich an einem Angriffs­szenario, der sogenannten Cyber Kill Chain, orientieren.

Der simulierte Einbruchsversuch des Prüfers startet ausgehend vom Internet mit einer Intrusion-Phase. Befindet sich der Hacker im Firmennetz, versucht er mittels Lateral Movement an sensible Daten zu gelangen. Bei diesen ersten Etappen geht es um eine Bestandesaufnahme, ob allgemein gültige Sicherheitsmassnahmen im informationstechnischen Bereich umgesetzt wurden und wirksam sind. Je nach Zeit und gewünschtem Umfang kann eine Überprüfung nach organisatorischen Aspekten integriert werden.

Mit dem Fuss in der Tür – Intrusion

Ein Angriff beginnt mit dem Eindringen des Hackers in die IT-Infrastruktur des Unternehmens. Der Auditor begibt sich in die Rolle des Angreifers und bestimmt zunächst den im Internet sichtbaren Fussabdruck des Unternehmens. Hierzu durchsucht er die frei im Internet verfügbaren Quellen, also Webseiten, DNS-Server, Internet Registries (RIPE, ARIN etc.) und Suchmaschinen. Am Ende der Recherche hat der Auditor die IP-Adressen und Adressbereiche des Unternehmens identifiziert. Zusammen mit dem Auftraggeber werden die zu untersuchenden Bereiche festgelegt.

Für das Eindringen in das Firmennetzwerk via Internet hat ein aus der Entfernung operierender Angreifer zwei Möglichkeiten: Den Einbruch am Perimeter oder das Einbringen eines Agenten (Schadprogramm), der den Zugang von innen her aufschliesst.

Beim Einbruch am Perimeter ermittelt der Auditor die sichtbaren Systeme und Dienste mit einem Portscan und prüft diese anschliessend auf Anzeichen von Schwachstellen. Erste Hinweise liefern der Name und die Version der eingesetzten Software oder des Betriebssystems. Auch das Verhalten des Dienstes bei der Verbindungsaufnahme oder auf bestimmte Inputs hin kann zum Erkennen einer Schwachstelle im Produkt oder in dessen Konfiguration hinweisen. An dieser Stelle ist eine erste Prognose über die Verwundbarkeit des Unternehmens gegen direkte Angriffe aus dem Internet möglich.

Die zweite Möglichkeit, das Einbringen eines Schadprogrammes als Agent ins Firmennetzwerk, prüft der Auditor mit einer einfachen, praktischen Simulation: dem Versand von E-Mail-Dateianhängen in unterschiedlichen Formaten und mit mehr oder weniger raffinierten Inhalten. Dabei interessiert vor allem die Reaktion des Mailsystems und was schlussendlich in der Mailbox des Empfängers ankommt.

Die kritische Betrachtung der im Internet exponierten Systeme und Dienste sowie der möglichen Einfallspfad für Malware lohnt sich für jedes Unternehmen. Das Ergebnis ist ein Schnappschuss des Perimeters, geschossen aus dem Internet, welcher die sichtbaren Systeme und Dienste (Ports) zeigt. Der Sicherheitsexperte weist auf Schwachstellen und Besonderheiten hin und gibt eine Empfehlung, wie sich die Situation sicherheitstechnisch verbessern lässt.

Bei der Einordnung der Schwachstellen und bei der Beratung, mit welchen Massnahmen die Sicherheit kurzfristig verbessert und langfristig erhalten werden kann, zeigt sich die Erfahrung des Auditors. Ein guter Auditor kennt nicht nur den Angreifer, sondern auch die Sicht des Verteidigers.
Angriffsvektor Wireless LAN

WLAN stellt eine zusätzliche Angriffsfläche dar. Für die Überprüfung muss sich der Auditor, wie der Angreifer, in unmittelbarer Nähe der Access Points befinden. Das WLAN ist praktisch gesehen eine Netzwerkanschlussdose ausserhalb des Gebäudes und das Schadensausmass, wenn dem Angreifer ein Anschluss gelingt, hängt wesentlich von den internen Gegebenheiten ab. Deshalb ist hier eine umfassende Prüfung auf technischer und konzeptueller Ebene empfehlenswert.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER