Erste Schritte mit Sicherheitstests: Ein praktischer Leitfaden für Startups

  • Ein weit verbreiteter Irrglaube unter Startup-Gründern ist, dass Cyberkriminelle keine Zeit auf sie verschwenden werden, weil sie noch nicht groß oder bekannt genug sind.

    Aber nur weil Sie klein sind, heißt das nicht, dass Sie nicht in der Schusslinie sind. Die Größe eines Startups schützt es nicht vor Cyberangriffen – das liegt daran, dass Hacker das Internet ständig nach Schwachstellen durchsuchen, die sie ausnutzen können; ein Ausrutscher, und Ihr Unternehmen kann aus den falschen Gründen auf die Titelseiten kommen.

    Glücklicherweise werden sich auch die Käufer zunehmend der Bedeutung der Cybersicherheit bewusst und fragen Startups häufig nach den Prozessen, die sie zur Sicherung ihrer Daten verwenden – was bedeutet, dass Cybersicherheit jetzt zu einem wichtigen Geschäftsfaktor wird.

    Wenn Sie also als CTO darüber nachdenken, die Cybersicherheit Ihrer Web- oder Mobil-Apps zu erhöhen, dann sind Sie bereits auf dem richtigen Weg. Aber wo sollten Sie angesichts der vielen Optionen anfangen?

    Um Ihnen den Einstieg zu erleichtern, haben wir diesen Leitfaden erstellt, der die folgenden wichtigen Punkte abdeckt:

    • Beantwortung der Frage: “Was sind Sicherheitstests?”
    • Verstehen der Gründe für die Durchführung von Sicherheitstests
    • Den Umfang von Cybersicherheitstests definieren
    • Wissen, wann man Penetrationstests durchführen sollte

    Was sind Sicherheitstests?

    Sicherheitstests sind ein weit gefasster Begriff, der sich auf den Prozess der Überprüfung eines Systems, Netzwerks oder einer Software auf Schwachstellen bezieht, die von Hackern und anderen Bedrohungsakteuren ausgenutzt werden können. Es kann viele Formen annehmen, daher werden wir in diesem Artikel zwei seiner Hauptkomponenten untersuchen: Schwachstellenanalyse: ein automatisierter Sicherheitstest, bei dem Tools verwendet werden, um Ihre Systeme oder Anwendungen auf Sicherheitsprobleme zu überprüfen. Diese Tools werden “Schwachstellen-Scanner” genannt und führen automatisierte Tests durch, um Schwachstellen in Ihren Anwendungen oder Ihrer Infrastruktur aufzudecken. Bei den Schwachstellen kann es sich um Schwachstellen auf Anwendungsebene, Probleme bei der Cloud-Konfiguration oder einfach um Software mit fehlenden Sicherheits-Patches handeln (eine der häufigsten Ursachen für Cybersecurity-Verletzungen). Penetrationstests: In erster Linie eine manuelle Bewertung durch einen Cybersicherheitsexperten (obwohl sie in der Regel durch Tools zum Scannen von Schwachstellen unterstützt wird) sowie die Ermittlung des Ausmaßes, in dem Bedrohungsakteure Schwachstellen ausnutzen können.

    Penetrationstests sind eine großartige Möglichkeit, möglichst viele Schwachstellen zu einem bestimmten Zeitpunkt zu finden, aber Sie sollten bedenken, wie schnell Sie auf neue Schwachstellen aufmerksam gemacht werden, nachdem die Pen-Tester nach Hause gegangen sind (Tipp: nicht schnell genug, dafür brauchen Sie einen Schwachstellenscanner).

    Schwachstellen-Scanner ermöglichen es Unternehmen auch, mehr über ihren Sicherheitsstatus zu erfahren, bevor sie sich auf tiefer gehende und meist teurere manuelle Tests einlassen. Dies ist in vielen Fällen ein Selbstläufer, da Penetrationstester ihre Tests oft mit denselben automatisierten Tools beginnen. Und man möchte es ihnen ja auch nicht zu leicht machen, oder 😉

    Warum Sicherheitstests durchführen?

    Der State of Software Security Report von Veracode ergab, dass 83 % der Studienstichprobe, bestehend aus 85.000 Softwareanwendungen, die von 2.300 Unternehmen weltweit eingesetzt werden, mindestens eine Sicherheitslücke aufweisen, die bei einem ersten Sicherheitstest entdeckt wurde. Ohne den Test wären diese Schwachstellen in die Produktion gelangt und hätten die Software anfällig für Cyberangriffe gemacht.

    Wenn Sie sich aus diesem Grund dazu entschlossen haben, mit Sicherheitstests zu beginnen, nur um Ihre Schwachstellen zu finden, bevor es die Hacker tun, dann ist das großartig. Sie haben die Flexibilität, Ihre eigenen Anforderungen zu bestimmen; fahren Sie mit dem nächsten Abschnitt fort. Ansonsten sind andere häufige Gründe, Sicherheitstests durchzuführen, folgende:

    • Anforderungen von Dritten oder Kunden. Wenn Partner oder Kunden speziell darum gebeten haben, dass Sie Sicherheitstests durchführen, um zu gewährleisten, dass ihre Kundendaten vor Cyber-Angreifern sicher bleiben – können Sie strengere Anforderungen haben. Allerdings kann es immer noch Spielraum für Interpretationen geben. Es kommt sehr häufig vor, dass Kunden einen “Penetrationstest” verlangen – aber sie spezifizieren selten, was das genau bedeutet.
    • Compliance-Zertifizierungen und Branchenvorschriften. Viele Branchenvorschriften oder Compliance-Zertifizierungen verlangen auch, dass sich Organisationen regelmäßigen Sicherheitstests unterziehen. Gängige Beispiele sind ISO 27001, PCI DSS und SOC2. Diese Standards spezifizieren die erforderlichen Tests in verschiedenen Detailstufen, aber selbst die spezifischsten spezifizieren nicht genau, wie oder was zu testen ist, da dies vom jeweiligen Szenario abhängt. Aus diesem Grund wird oft angenommen, dass das zu prüfende Unternehmen am besten in der Lage ist, zu bestimmen, welches Niveau von Sicherheitstests in seinem Szenario sinnvoll ist. Daher ist die folgende Anleitung vielleicht trotzdem nützlich, um zu bestimmen, was und wie getestet werden soll.

    [Blocked Image: https://thehackernews.com/images/-9zvGYAS-_Jg/YOL6qe_R3-I/AAAAAAAABGU/Xrqv7zuDylMJafl65A9jnuN4iOeOjeXTgCLcBGAsYHQ/s728-e1000/code-1.jpg]Ihr Kunde oder Auditor wird immer das letzte Wort haben, aber Sie kennen Ihr Unternehmen am besten. Wenn Sie also eine vernünftige Teststrategie vorschlagen, können normalerweise beide Seiten eine Einigung finden.

    Denken Sie über die Strategie nach, bevor Sie einzelne Sicherheitstests durchführen

    Risikobewertung: Wie sehr sind Sie ein Ziel?

    Jedes Unternehmen ist einzigartig, und aus diesem Grund ist auch Ihr Risiko einzigartig für Sie. Es kann jedoch schwierig sein, zu wissen, was das richtige Maß an Tests ist. Sie können die folgenden Angaben als groben Leitfaden für das verwenden, was wir in der Branche sehen:

    1. Wenn Sie keine besonders sensiblen Daten speichern

    Sie könnten zum Beispiel ein Tool zur Überwachung der Website-Betriebszeit anbieten und speichern keine besonders sensiblen Daten. Solange Sie nicht groß genug sind, um gezielt angegriffen zu werden, müssen Sie sich wahrscheinlich nur um wahllose Hacks durch diejenigen sorgen, die auf der Suche nach leichter Beute sind. Wenn das der Fall ist, brauchen Sie wahrscheinlich nur automatische Schwachstellen-Scans.

    Konzentrieren Sie sich auf alle dem Internet ausgesetzten (oder potenziell ausgesetzten) Systeme wie Fernzugriff (VPNs, Fernadministrations-Logins), Firewalls, Websites oder Anwendungen, APIs sowie Systeme, die versehentlich online sind (alles, was sich in einer Cloud-Plattform befindet, kann nur zu leicht versehentlich ins Internet gestellt werden).

    2. Wenn Sie Kundendaten speichern

    Vielleicht handelt es sich bei Ihnen um eine Plattform zur Analyse von Marketingdaten, so dass Sie vielleicht weniger Bedrohungen durch Insider und kriminelle Banden ausgesetzt sind, aber Sie müssen sich auf jeden Fall Sorgen über den Zugriff von Kunden auf ihre Daten oder eine allgemeine Datenverletzung machen. Oder Sie haben zum Beispiel eine App, aber jeder kann sich online für ein Konto registrieren. Dann sollten Sie einen “authentifizierten” Penetrationstest aus der Perspektive eines normalen Benutzers in Betracht ziehen – aber vielleicht nicht aus der Perspektive eines Mitarbeiters mit begrenztem Backend-Zugang. Sie werden auch sicherstellen wollen, dass die Laptops der Mitarbeiter vollständig mit den neuesten Sicherheitsupdates gepatcht sind.

    3. Wenn Sie eine Finanzdienstleistung anbieten

    Wenn Sie einFinTech-Startup sind, das Geld bewegt, müssen Sie sich Sorgen über böswillige Kunden und sogar böswillige Mitarbeiter machen – sowie über cyberkriminelle Banden, die es auf Sie abgesehen haben.

    Wenn dem so ist, sollten Sie eine kontinuierliche Schwachstellenbewertung und regelmäßige vollständige manuelle Penetrationstests für all diese Szenarien in Betracht ziehen.

    4. Wenn Sie nichts haben, das dem Internet ausgesetzt ist

    Vielleicht haben Sie überhaupt nichts, was dem Internet ausgesetzt ist, oder Sie entwickeln keine kundenorientierten Anwendungen – Ihre Hauptangriffsfläche sind also Mitarbeiter-Laptops und Cloud-Dienste. In diesem Fall ist ein automatisches Schwachstellen-Scanning Ihrer eigenen Laptops am sinnvollsten, und Sie könnten eine aggressivere Art von Penetrationstests in Betracht ziehen, die als “Red Teaming” bekannt sind, wenn Sie zusätzliche Sicherheit benötigen.

    [Blocked Image: https://thehackernews.com/images/-L_Vu8GfhTNs/YOL7DDJ8g7I/AAAAAAAABGc/a07xj-c6PaUw6XQ7qLplM2j9W5bO3dNTQCLcBGAsYHQ/s728-e1000/code-2.jpg]Jedes Unternehmen ist einzigartig, und es gibt keine einzelne Cybersicherheitsstrategie, die für jedes Startup funktioniert. Aus diesem Grund müssen Sie mit einem Verständnis dafür beginnen, wo Ihre eigenen Risiken liegen.

    Was müssen Sie schützen?

    Idealerweise sollten Sie vor der Planung des Sicherheitstests selbst überlegen, welche Assets Sie haben, sowohl technische als auch informationstechnische, ein Prozess, der als “Asset Management” bekannt ist.

    Ein sehr einfaches Beispiel könnte sein: “Wir haben 70 Mitarbeiter-Laptops, nutzen überwiegend Cloud-Dienste und haben unsere Kundendaten in Google Cloud Platform gespeichert und gesichert sowie eine App, die sowohl Admin- als auch Kundenzugriff erlaubt.

    Unsere wichtigsten Daten sind die Daten, die wir im Auftrag von Kunden speichern, und unsere Mitarbeiterdaten in unseren HR-Systemen.” Wenn man dies durchdenkt, kann man damit beginnen, die Grundlage für das Scoping eines Tests zu bilden. Zum Beispiel:

    • Unser HR-System ist ein Cloud-Service, also bitten wir sie einfach um den Nachweis ihrer Sicherheitstests (und brauchen sie daher nicht selbst zu testen).
    • Welche IP-Adressen haben wir in der Google Cloud, welche Domains sind registriert (es gibt Tools, die dabei helfen können).
    • Unsere Techniker laden die Produktionsdatenbank nicht herunter, haben aber Zugriff auf unsere Cloud-Systeme, sodass ihre Laptops und Cloud & E-Mail-Konten auch Teil unserer Angriffsfläche sind.

    [Blocked Image: https://thehackernews.com/images/-JF4RLr9-vis/YOL7X2Vsr0I/AAAAAAAABGk/bUtsRTDyPs4qj5spOsdW8R_hjmgKV9E9ACLcBGAsYHQ/s728-e1000/code-3.jpg]Die Durchführung einer Asset-Verwaltung hilft Ihnen, den Überblick über die zu Ihrer Organisation gehörenden Systeme zu behalten und festzustellen, welche IP-Adressen und Domainnamen getestet werden müssen.

    Wie oft sollte ein Startup Sicherheitstests durchführen?

    Das hängt von der Art des Tests ab! Der Vorteil von automatisierten Tests liegt eindeutig darin, dass sie so regelmäßig ausgeführt werden können, wie Sie wollen. Während Penetrationstests aufwändiger sind, wenn sie häufig durchgeführt werden.

    Die Durchführung von routinemäßigen Schwachstellen-Scans mindestens einmal im Monat kann zur Stärkung Ihrer IT-Infrastruktur beitragen und wird vom National Cyber Security Centre (NCSC) empfohlen. Diese Praxis hilft Unternehmen, die nie endende Liste neuer Bedrohungen im Auge zu behalten; jedes Jahr werden über 10.000 neue Schwachstellen gemeldet. Neben regelmäßigen Schwachstellen-Scans ist es auch ratsam, jedes Mal Scans durchzuführen, wenn Systemänderungen vorgenommen werden.

    Arten von Schwachstellenscannern

    Sie können zwischen verschiedenen Arten von Schwachstellen-Scannern wählen – netzwerkbasiert, agentenbasiert, Webanwendungen und Infrastruktur. Die Wahl hängt davon ab, welche Assets Sie schützen möchten.

    Einige klassische Beispiele für Netzwerkscanner sind Nessus und Qualys. Beide sind Marktführer und bieten ein robustes Niveau an Sicherheit und Schwachstellenabdeckung. Eine moderne Alternative, die Sie in Betracht ziehen könnten, wenn Sie ein Tool wollen, das einfach zu bedienen ist, ist Intruder.

    Dieser Online-Schwachstellen-Scanner wurde speziell entwickelt, um auch von Nicht-Sicherheitsexperten genutzt werden zu können, und bietet gleichzeitig qualitativ hochwertige Prüfungen sowie automatische Scans für neu auftretende Bedrohungen.

    [Blocked Image: https://thehackernews.com/images/--61Ewubzc3c/YOL7_sBxEhI/AAAAAAAABGs/HA37y8KTYQ0FZwW3011wljsg9ljJ7aADQCLcBGAsYHQ/s728-e1000/code-4.jpg]Intruder verwendet einen einzigartigen Algorithmus, um Probleme zu priorisieren, die Ihre Systeme ungeschützt lassen, und macht es so besonders einfach, herauszufinden, was das höchste Risiko darstellt.

    Was sind die Vorteile von Vulnerability Assessment?

    Die Schwachstellenbewertung zielt darauf ab, so viele Sicherheitslücken wie möglich automatisch aufzudecken, damit diese entschärft werden können, bevor Bedrohungsakteure sie erreichen können. Es hilft auch, Penetrationstests, die im Gegensatz dazu ein manueller Prozess sind, effizienter zu gestalten. Das NCSC erklärt: “Indem man sich durch regelmäßiges Scannen der Schwachstellen um die ‘niedrig hängenden Früchte’ kümmert, können sich Penetrationstests effizienter auf komplizierte Sicherheitsprobleme konzentrieren, die besser für einen Menschen geeignet sind.”

    Wann sollte man einen Penetrationstest durchführen?

    Pen-Tester imitieren reale Cyber-Angreifer, aber im Gegensatz zu Bedrohungsakteuren folgen sie einem vordefinierten Umfang und missbrauchen nicht die Vermögenswerte und Daten des Unternehmens. Im Vergleich zu Schwachstellen-Scans ist es viel wahrscheinlicher, dass sie komplizierte oder hochwirksame Schwachstellen auf der Geschäftsebene aufdecken, wie z. B. die Manipulation von Produktpreisen, die Nutzung eines Kundenkontos, um auf die Daten eines anderen Kunden zuzugreifen, oder das Umschwenken von einer anfänglichen Schwachstelle in die vollständige Systemkontrolle. Der Nachteil ist, dass sie im Vergleich teuer sind. Wann ist also der richtige Zeitpunkt, eine solche Prüfung durchzuführen?

    Denken Sie entlang der Schlüsselzeitpunkte der obigen Risikobewertung, zum Beispiel nachdem Ihr Produkt entwickelt wurde, aber bevor Sie anfangen, echte Kundendaten zu übernehmen. Oder nachdem Sie einige nicht sensible Kundendaten besitzen, aber bevor Sie anfangen, Gehalts- oder Gesundheitsdaten zu speichern.

    Sobald Sie Ihr Produkt in Betrieb genommen haben, sollten Penetrationstests nach größeren Änderungen durchgeführt werden, z. B. nach der Änderung Ihres Authentifizierungssystems oder der Freigabe einer wichtigen neuen Funktion; oder nach 6-12 Monaten kleinerer Änderungen (da jede einzelne theoretisch versehentlich eine Schwachstelle einführen könnte).

    Auch dies hängt von Ihrem Risikolevel ab; wenn Sie Geld bewegen, wäre es sogar ratsam, dies alle drei Monate zu tun (oder öfter!), aber wenn Sie am unteren Ende des Risikospektrums sind, ist einmal alle 12 Monate ein allgemein akzeptierter Zeitplan.

    [Blocked Image: https://thehackernews.com/images/-XgS7ViGRABQ/YOL8ZZAr0PI/AAAAAAAABG0/9jIDqLYQvYgMqWoOoiU08GEKMClVlAV0gCLcBGAsYHQ/s728-e1000/code-5.jpg]Penetrationstests sollten vor der Implementierung größerer Systemänderungen oder in regelmäßigen Abständen von 6-12 Monaten durchgeführt werden.

    Es gibt verschiedene Arten von Penetrationstests. Penetrationstests können nach Sicherheitslücken in der Technologie suchen, z. B. in Ihren externen und internen Netzwerken sowie in Webanwendungen. Es können aber auch Schwachstellen in den menschlichen Ressourcen einer Organisation gefunden werden, wie z. B. im Falle von Social Engineering.

    Welches Pen-Testing-Unternehmen Sie wählen, hängt von der Art der zu testenden Assets ab, aber auch andere Faktoren wie Zertifizierungen, Preis und Erfahrung sollten berücksichtigt werden.

    Fazit

    Sicherheitstests sind ein wichtiger Prozess im Bereich der Cybersicherheit, der darauf abzielt, Schwachstellen in Systemen, Software, Netzwerken und Anwendungen zu erkennen. Seine häufigsten Formen sind Schwachstellenbewertung und Penetrationstests, aber das Ziel ist immer, Sicherheitslücken zu beheben, bevor böswillige Akteure sie ausnutzen können.

    Bedenken Sie, dass Bedrohungsakteure auch routinemäßige Sicherheitstests durchführen, um nach jeder Schwachstelle zu suchen, die sie ausnutzen können. Eine einzige Sicherheitslücke könnte für sie ausreichen, um groß angelegte Cyberangriffe zu starten. Obwohl dies beängstigend sein könnte, kann Ihr Unternehmen besser geschützt bleiben, indem es regelmäßig Cybersicherheitstests durchführt.

    Die Umsetzung dieser Strategie kann eine Herausforderung sein, da es keine allgemeingültige Lösung für Sicherheitstests gibt. Kleine Unternehmen zögern vielleicht auch, in ein nicht greifbares Produkt zu investieren, vor allem eines, das sie aufgrund des vielen Fachjargons vielleicht nicht ganz verstehen. Heutzutage bieten viele Tools kostenlose Testversionen an, die eine großartige Gelegenheit für kleine Unternehmen darstellen, die richtige Lösung zu finden, bevor sie sich zu einer größeren Investition verpflichten.

    Wenn Sie eine moderne, einfach zu bedienende Lösung für Sicherheitstests benötigen, bietet Intruder eine kostenlose 30-Tage-Testversion seiner Plattform zur Schwachstellenanalyse an. Besuchen Sie noch heute die Website von Intruder, um sie auszuprobieren!

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com