Die Vasgard GmbH, ein Dienstleister und Softwarehersteller für Informationssicherheit in Hamburg, bietet seit vielen Jahren realistische Angriffssimulationen auf Unternehmensinfrastrukturen an, um ihre Kunden vor diesen Angriffen bestmöglich zu schützen. Das Penetration Testing Portfolio wurde nun um eine innovative Komponente erweitert.
Zunächst setzen die Experten der Vasgard das mit dem Kunden vorab vereinbarte umfangreiche Angriffsszenario mit den gesteckten Zielvorgaben um. Dabei werden Systeme wie z.B. Netzwerkinfrastruktur, Zutrittssysteme und drahtlose Kommunikation in die Angriffssimulation mit einbezogen. Auch die Mitarbeiter(innen) können mit Hilfe von Social Engineering auf Herz und Nieren geprüft werden. Dabei werden bei Bedarf auch öffentlich zugängliche Informationsquellen wie Zeitschriften, Websites, Blogs und Soziale Netzwerke ausgewertet.
Je nach Umfang und Ziel des Pen-Tests variiert das jeweilige Vorgehen zwar, doch üblicherweise wird zu Beginn mit Hilfe von Lösungen wie Nessus Professional, Burp Suite Professional und Acunetix Vulnerability Scanner ein Übersichts-Scan durchgeführt, um sich so einen ersten Gesamteindruck zu verschaffen.
Im Folgenden werden dann von den automatisierten Scans erhaltene potenzielle Schwachstellen auf ihre Ausnutzbarkeit sowie Schweregrad geprüft sowie weitere, von den automatisierten Scannern nicht erkennbare, Schwachstellen evaluiert.
Dazu Michael Pöhlsen, Geschäftsführer der Vasgard GmbH:
„Viele Unternehmen gehen davon aus, dass vermeidlich günstige Pen-Tests durch cloudbasierte Anbieter mit lokalen Scannern und ggf. virtuellen Appliances ausreichend seien, um einen ausreichenden Schutz vor Angreifern zu gewährleisten.
Doch dies ist oft ein Trugschluss, denn durch den vollautomatisierten Ansatz werden interne IT-Dienste gerade mit ihren wechselseitigen Abhängigkeiten häufig gar nicht oder nur unzureichend erfasst.
Die tatsächliche Ausnutzbarkeit von entdeckten Schwachstellen wird häufig nicht überprüft, die Aussagekräftigkeit solcher Tests ist daher oft sehr eingeschränkt und mit Vorsicht zu genießen.
Unsere Pen-Test Experten simulieren nach den automatisierten Scans (“Low Hanging Fruits”) einen ECHTEN Angreifer, der mit viel Erfahrung und Kreativität “um die Ecke denkt” und funktionale Schwachstellen bzw. Konfigurationsprobleme kreativ miteinander kombiniert.
Gerade in Unternehmen mit einem starken Anteil an Eigenentwicklungen lauern hier die größten Gefahren, und ausgerechnet dort versagen die automatischen Scanner.
Bisher wurden die Vasgard Berichte am Ende der Angriffssimulation als navigierbares PDF Dokument dem Kunden übergeben. Die darin enthaltenen Kundenergebnisse sind detailliert und strukturiert für die unterschiedlichen Empfänger beschrieben, allerdings ist der Report statisch.
Beim neuen „Pen-Test zum Anfassen“ werden ab jetzt die Ergebnisse in einer interaktiven Web-Oberfläche visualisiert. Durch die Betrachtung der Ergebnisse aus unterschiedlichen Blickwinkeln (IT vs. Geschäftsleitung vs. PCI Auditor) werden die relevanten Zusammenhänge be“greif“barer für den Kunden. Die Sicherheitsrisiken werden Silo-übergreifend im Kontext der Geschäftsfähigkeit des Unternehmens dargestellt.
Resultierende Maßnahmen inkl. Verantwortlichkeiten können direkt in der Oberfläche erfasst werden und von dort in das vorhandene Ticketsystem des Kunden übergeben werden. So wird die Nachverfolgung der Abarbeitung gewährleistet, ohne dass zusätzliche Reports und Listen gepflegt werden müssen.
Realisiert wird dies mittels einer modifizierten Version der Software Platform Vasgard/IAN, einer neu entwickelten Integrationsplattform zur Compliance Automation, die Vasgard im letzten Jahr auf der IT-SA in Nürnberg erstmals vorstellte.
https://www.pressebox.de/pressemitteilung/vasgard-gmbh/Vasgard-GmbH-stellt-Compliance-Automation-Loesung-VASGARD-IAN-auf-it-sa-in-Nuernberg-vor-und-zieht-positive-Bilanz/boxid/930237