Am Ende jeder Prüfung werden die Vorgehensweise und das während der Prüfung(en) gesammelte Wissen in Form eines von Prüfenden erstellten, qualitätsgesicherten Berichts an den Kunden übermittelt. Manche Kunden fragen sich: Und jetzt?
Dieser Blogartikel soll Anreize für den richtigen Umgang mit unseren Ergebnisdokumenten geben.
Wir beschreiben in unseren Dokumenten bewusst nicht, welche nächsten Schritte Sie unternehmen können oder ob eine Nachprüfung sinnvoll ist. Wir möchten Ihnen aber dennoch an dieser Stelle einige Anregungen geben, sich weiter mit den Ergebnissen auseinanderzusetzen.
Um es vorwegzunehmen: Was Sie nicht tun sollten, ist, das Dokument in die virtuelle Schublade zu legen und darauf zu hoffen, dass gefundene Schwächen sich von selbst beheben. Wir schreiben Dokumente, die nicht für die Schublade gedacht sind.
Verteilung? Aber sicher!
Unsere Dokumentation besteht mitunter aus mehreren Dokumenten: einem Ergebnisbericht sowie ggf. angehängten Werkzeugausgaben oder Hilfsmitteln. Prüfergebnisse enthalten sensible Informationen über zum Zeitpunkt der Übermittlung gegebenenfalls noch nicht behobene Schwachstellen. Wir stellen das Ergebnis daher immer über gesicherte Wege zur Verfügung.
Das sollten Sie auch tun, wenn Sie die Ergebnisse internen oder externen Bedarfsträgern weitergeben. Neben der gesicherten Übertragung sollten Sie die Informationen aber auch hinreichend sicher (vor unbefugter Einsichtnahme) speichern, damit sie nicht in falsche Hände geraten.
Zeit zu lesen
Es lohnt sich, den Bericht in einem ruhigen Moment durchzulesen. Wenn Sie sich zunächst einen Überblick über die Struktur verschaffen, fällt das Verständnis der Details anschließend deutlich leichter. Unsere Ergebnisdokumentation enthält zu Beginn eine Zusammenfassung aller Prüfungen und im weiteren Verlauf alle nötigen Informationen, um die Prüfungen und Bewertungen nachvollziehen zu können.
Wenn Sie wenig Zeit für die Lektüre haben, können Sie sich auf die Zusammenfassung beschränken. Sie enthält die wichtigsten Informationen zur Prüfung und bietet einen kompakten Überblick.
Empfehlenswerter ist es dennoch, sich mehr Zeit zu nehmen und auch die ausführliche Beschreibung der jeweiligen Prüfung zu lesen. Neben der Informationsbasis, also dem Kenntnisstand der Prüfer:innen im Zusammenhang mit dem Prüfgegenstand, werden dort auch die angewandte Methodik, die gefundenen Schwächen und deren Behebung genauer erläutert.
Keine Panik
Worauf Sie zuerst Ihr Augenmerk richten werden – ob auf die Zusammenfassung oder das ausführliche Kapitel der Prüfungsdokumentation – sind meist die Schwächen. Und häufig sind es gerade diejenigen mit höherem Schweregrad. Ungünstig wird es, wenn mehrere davon vorliegen.
Dennoch gilt: Keine Panik! Bedenken Sie beim Lesen auch die Informationsbasis der Prüfer:innen und die zur Ausnutzung der Schwäche nötigen Randbedingungen. Zwar sollte die Bewertung des Schweregrads all das mitberücksichtigen, häufig gibt es jedoch noch weitere Faktoren, die eine Ausnutzung erschweren.
Wenn der Prüfgegenstand zum Beispiel eine prototypische Webanwendung in einer Testumgebung vor dem Go-Live ist, auf die nur ein beschränkter Teilnehmerkreis Zugriff hat, ist die Schwachstelle mit hohem oder gar kritischem Schweregrad möglicherweise nicht ganz so gravierend wie bei einer bereits produktiven Webanwendung, die einem weltweiten Publikum zugänglich ist.
Notieren Sie sich Fragen zum Dokument
Wenn Sie ein Ergebnis von uns erhalten, dann zunächst in einer Version 0.9 – aus unserer Sicht ist dies die finale Version des Ergebnisses. Beim Erstellen stehen wir jedoch vor der Herausforderung, die Informationen für ein möglichst breites Spektrum an Leser:innen aufzubereiten. Vom Management bis hin zu Administrator:innen oder Entwickler:innen sollen alle zielgruppengerecht angesprochen und gleichzeitig mit allen notwendigen Informationen versorgt werden, um das Ergebnis nachvollziehbar und reproduzierbar zu machen.
Wenn beim Lesen einzelne oder ganze Passagen für Sie nicht auf Anhieb verständlich sind, fehlen möglicherweise noch Information. Notieren Sie sich in diesem Fall Ihre Fragen zum Dokument, damit wir im Rahmen einer Abschlussbesprechung darauf eingehen können. Im Nachgang ergänzen wir die zum Verständnis fehlenden Informationen im Fließtext, sodass alles für Sie nachvollziehbar wird.
Schweregrad ≠ Risiko
Unsere Schwachstellen werden üblicherweise nach dem Common Vulnerability Scoring System (CVSS) bewertet, sofern mit Ihnen nichts anderes im Vorfeld vereinbart wurde. Dabei handelt es sich um einen etablierten Branchenstandard, der bereits mehrere Iterationen durchlaufen hat.
Wir bewerten die einzelnen Faktoren der Basismetrik (=Base Metrics) und ermitteln daraus den Schweregrad (Base-Score, CVSS-B) einer Schwachstelle.
Wichtig ist: Der Schweregrad einer Schwachstelle ist nicht mit dem daraus resultierenden Risiko gleichzusetzen. Letzteres kann ein Penetrationstester nicht abschließend bewerten, da ihm nicht alle relevanten Einflussfaktoren Ihrer spezifischen Umgebung bekannt sind.
Schwächen einordnen
CVSS erlaubt aber auch eine weitergehende Einordnung im Kontext Ihrer IT-Landschaft. Hierfür können Umgebungsmetriken (Environmental Metrics) sowie ergänzende Metriken (Supplemental Metrics) als Erweiterung des CVSS-B herangezogen werden.
Da wir Ihre Umgebung in der Regel nicht ausreichend kennen, bewerten wir diese Metriken nicht. Diese Einordnung könnten Sie selbst vornehmen.
Zu jeder Schwachstelle stellen wir Ihnen die zugehörige Vektorzeichenkette bereit. Damit können Sie eigenständig Temporal- oder Environmental-Scores berechnen.
Diese können Sie aus dem Dokument kopieren und im Falle von CVSS in Version 4 an folgenden Link anhängen:
https://www.first.org/cvss/calculator/4-0
Beispiel:
URL#Vektorzeichenkette.
Die folgende Zeichenkette eines CVSS-B-Scores
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
ergibt dann folgende URL:
https://www.first.org/cvss/calculator/4-0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Die weiteren Metriken können anschließend im Online-Berechnungswerkzeug der FIRST berechnet werden.
Schwächen und deren Ursachen gebündelt beseitigen
Ein Penetrationstest kann dazu dienen, Schwächen zu identifizieren, die es anschließend zu beheben gilt. Die zu einer Schwachstelle oder einem Sicherheitshinweis gehörende Behebungsempfehlung zeigt den Weg zur Beseitigung auf. Gehen müssen Sie ihn.
Manche Schwachstellen lassen sich gemeinsam beheben. So können beispielsweise die Verwendung eines veralteten TLS-Protokolls und die Denial-of-Service-Gefahr durch Diffie-Hellman-Schlüsselaustausch („D(HE)eater“) durch eine geeignete Anpassung der TLS-Konfiguration behoben werden. Erstellen Sie einen Plan, um die Schwachstellen systematisch zu beseitigen. Priorisieren Sie die Behebung bei Bedarf – der Schweregrad kann dabei eine Orientierung bieten, muss es aber nicht.
Ebenso wichtig ist die nachhaltige Beseitigung der Ursachen von Schwachstellen. Sofern es die Situation zulässt, hinterfragen wir im Rahmen der Prüfung auch deren Entstehung. Denn nachhaltige Beseitigung bedeutet für uns auch, zukünftige, ähnlich gelagerte Schwachstellen zu vermeiden.
Sie sollten daher selbst ableiten, ob Anpassungen an bestehende Prozesse, neue Prozesse oder Schulungen des Personals erforderlich sind, um das Sicherheitsniveau nachhaltig zu verbessern.
Nutzen Sie Hilfsmittel
Nutzen Sie die Hilfsmittel, die wir Ihnen im Bericht oder als Anlage bereitstellen. Innerhalb der Kapitel zu Schwachstellen oder Sicherheitshinweisen finden Sie einen Abschnitt mit Referenzen zu weiterführenden Informationen zur jeweiligen Thematik. Dabei verweisen wir stets auf eigene Veröffentlichungen oder Primärquellen.
Proof-of-Concepts, also Beispiele zur Ausnutzung einer Schwachstelle, stellen wir in der Regel direkt im jeweiligen Schwachstellenabschnitt oder – sofern sinnvoll und möglich – im Anhang bereit.
Ein Sicherheitshinweis ist nicht immer nur ein Hinweis
In unseren Berichten unterscheiden wir immer zwischen Schwachstellen, die konkret ausgenutzt werden können, und Sicherheitshinweisen, von denen kein direktes Risiko ausgeht. Dabei kann es sich auch um Aspekte handeln, die im Rahmen der Prüfung aufgefallen sind, sich jedoch nicht eindeutig als Schwachstelle klassifizieren lassen.
Die Beseitigung solcher Probleme kann das allgemeine Sicherheitsniveau des Prüfgegenstands dennoch zusätzlich erhöhen. Auch diese Hinweise sollten daher berücksichtigt werden, um langfristig zu einer Verbesserung des Sicherheitsniveaus beizutragen.
Follow-up and Lessons Learned
Gehen Sie nichts überstürzt an, sondern planen Sie Ihre weiteren Schritte sorgfältig.
Setzen Sie sich erreichbare Ziele und binden Sie Ihre Fachkolleg:innen aktiv ein. Ziehen Sie zudem wichtige Erkenntnisse aus dem Penetrationstest und vermeiden Sie Schuldzuweisungen – betrachten Sie Schwachstellen stattdessen als Chance zur Verbesserung.
Sofern es aus Ihrer Sicht sinnvoll ist, könnten Sie – wie weiter oben beschrieben – weitere Maßnahmen ableiten, beispielsweise die Anpassung etablierter Prozesse im Patch- und Änderungsmanagement oder die Schulung von Administrator:innen und Entwickler:innen.
Vertrauen ist gut, Kontrolle ist besser.
Kontrollieren Sie die umgesetzten Maßnahmen idealerweise selbst, indem Sie die zur Ausnutzung der Schwachstelle beschriebenen Beispiele durchlaufen. Dabei unterstützen wir Sie bei Bedarf gerne –sprechen Sie uns einfach an.
Simon Bieber