Schwachstellen und Sicherheitslücken innerhalb von IT-Systemen zu entdecken, ist alles andere als trivial. Ein effektiver Security Testing Guide ist dabei unverzichtbar, vor allem dann, wenn bereits ein hohes Sicherheitsniveau aufrechterhalten wird. Meist geht es dabei um Kleinigkeiten, die gerne übersehen werden, jedoch große Auswirkungen auf die Sicherheitsstrukturen haben.
Um diese vermeintlichen Kleinigkeiten nicht zu übersehen, gibt es sogenannte Security Testing Guides. Diese sollen dabei helfen, entsprechende Maßnahmen einzuleiten, um Sicherheitsrisiken nach Möglichkeit vollumfänglich zu eliminieren. Viele Sicherheitsexperten arbeiten daher mit einem individuellen Security Testing Guide.
Auch wir haben unseren eigenen Security Testing Guide entwickelt und stellen euch diesen kostenlos zur Verfügung. Ihr findet ihn bei GitHub als sogenanntes GitBook.
Was ist ein Security Testing Guide?
Der Security Testing Guide ist ein Dokument, welches eine Art von Best Practices enthält. Also besonders effiziente und bereits bewährte Methoden, die sich ideal dazu eignen, IT-Systeme auf Sicherheitslücken und Schwachstellen zu untersuchen. Der Leitfaden stellt dabei eine Grundlage dar, die jeder im Unternehmen kennen sollte, um die Sicherheit der Systeme bestmöglich gewährleisten zu können.
Es ist also eine Ansammlung von bewährten Verfahren und Richtlinien, die der Aufrechterhaltung der Sicherheit im Unternehmen dienen. Der Security Testing Guide ist dabei die Referenz für das Sicherheits- und QA-Team, um sich gegen Sicherheitsrisiken und Bedrohungen aktiv zu verteidigen bzw. sogar vorab schützen zu können. Dementsprechend groß ist auch die Bedeutung des Security Testing Guides in Organisationen.
Nur auf Basis des Guides lässt sich schlussendlich sicherstellen, dass dieselben Ziele verfolgt und die wichtigsten Methoden auch korrekt angewandt werden. Ein Security Testing Guide ist also immer auch der Leitfaden für neue Angestellte im Unternehmen oder diejenigen, die für die Sicherheit verantwortlich sind. Er dient nebenbei auch ganz einfach der Compliance, indem bestimmte Aspekte immer wieder als fester Bestandteil überprüft werden.
Wobei hilft der Leitfaden?
In erster Linie unterstützt der Security Testing Guide Unternehmen dabei, klare Richtlinien und Verfahren bezüglich der Sicherheitsstrukturen aufzubauen und aufrechtzuerhalten. Durch den Security Testing Guide sind bestimmte Maßnahmen schlichtweg standardisiert bzw. als fester Bestandteil möglicher Sicherheitstests in den Richtlinien dargelegt.
Schwachstellen und Sicherheitsrisiken lassen sich mit solch klaren Regeln bestmöglich eingrenzen und im Idealfall auch vermeiden. Zudem hilft der Security Testing Guide, wie soeben erwähnt, bei der Compliance, indem Compliance-Anforderungen durch beschriebene Tests im Security Testing Guide vollumfänglich abgedeckt werden.
Security Testing trägt auch allgemein zur Sicherheitskultur in Unternehmen bei. Je klarer derartige Regeln und Maßnahmen festgelegt werden, umso besser sind diese im Team zu befolgen. Auch bei Weiterbildungen helfen Security Testing Guides enorm, indem sie das Wissen über Möglichkeiten und Maßnahmen noch einmal entscheidend erweitern.
Was macht der AWARE7 Security Testing Guide anders?
In erster Linie ist unser Security Testing Guide nicht anders, sondern besonders vollständig und durchdacht angelegt. Ohne einen vollwertigen Security Testing Guide ist es schwierig, während der Testprozesse eine dauerhaft hohe Qualität aller eingeleiteten Maßnahmen zu gewährleisten. Das gelingt mithilfe unseres Guides jedoch vollkommen problemlos, da wir ihn besonders klar strukturiert haben und somit sehr offen einrichten konnten.
Wir haben das Ganze zudem unter dem Begriff Open Operational Technology Testing Guide (OOTTG) allen Anwendern gleichermaßen zur Verfügung gestellt. Damit liefern wir einen Standard für Security Testing, welcher sich gezielt auf die Identifikation von Sicherheitslücken in OT (Operational Technology) konzentriert. Ideal also für eine praxisnahe Anleitung oder als Teil eines erweiterten Sicherheitskonzepts.
Anders als Security Testing Guides für klassische IT-Systeme, geht es bei der Operational Technology vorwiegend um Software und Hardware, welche zur Überwachung und Steuerung von industriellen Anlagen physischer Maschinen eingesetzt wird. OT meint also in erster Linie, dass reale Prozesse und Maschinen überwacht werden, während die IT vorwiegend Daten verwaltet und analysiert.
Weil im Zuge der Industrie 4.0 OT- und IT-Systeme miteinander verschmelzen und immer näher beieinander liegen, ist das zugrundeliegende Sicherheitskonzept von entscheidender Bedeutung. Auch OT-Systeme sind mehr und mehr von Cyberangriffen betroffen und erfordern eine holistische Herangehensweise, wenn es um Sicherheitsstrukturen, -konzepte und -maßnahmen geht. Unser OOTTG ist hier der ideale Plan, um alle sicherheitsrelevanten Aspekte bestmöglich abzudecken und entsprechend zu überprüfen.
Welche Bereiche werden umfasst?
In unserem OOTTG, dem Prüfplan für ein bestehendes Sicherheitskonzept, befassen wir uns in vier Bereichen mit der Materie. Diese sind auf GitHub aber auch im GitBook entsprechend ausgearbeitet worden. In dieser kurzen Vorstellung des Operational Technology Testing Guide möchten wir daher nur ganz kurz auf die Punkte eingehen. Genaueres entnehmen Sie bitte dem GitBook.
Wichtig ist vorab zu verstehen, dass Penetrationstests verschiedene Phasen aufweisen. Insgesamt werden dabei sieben Phasen unterschieden. Dazu gehören die Beauftragung, die Informationsbeschaffung, eine Enumerierung, die Identifikation, die Exploitation, dann die Post-Exploitation sowie das abschließende Reporting. Auch diese Phasen werden in unserem OOTTG GitBook noch einmal dargelegt. Zusätzlich zu den vier Bereichen bzw. Katalogen.
Firmware: Der Katalog Firmware bezieht sich auf Test-Module im Bereich der OT-Geräte. Dieser ist speziell auf die Firmware bezogen und ermöglicht es, selbige vollumfänglich zu prüfen. Beispielsweise für das Testing von Firmware-Images, Installationsroutinen oder Updateprozesse von Firmware innerhalb von OT-Geräten.
Physikalisch: Im Katalog physikalisch geht es um entsprechende Angriffe wie Tampering, Side-Channel-Angriffe oder Fault-Injections. Also physikalische Angriffe, die darauf abzielen, die Hardware zu manipulieren. Angriffe auf Schwachstellen in OT-Systemen legen entweder das ganze System lahm oder werden genutzt, um wertvolle Passwörter und Schlüssel zu stehlen.
Netzwerk: Bei dem Katalog Netzwerk handelt es sich um Test-Module und Angriffe, die auf Basis des Netzwerks stattfinden. Also Angriffe via Ethernet, IP, TCP oder UDP, aber auch SSH oder HTTP. Dabei ist kein physischer Kontakt notwendig, sondern lediglich ein Zugriff auf dasselbe Netzwerk. Der Katalog Netzwerk ist wichtig für OT-Systeme im Unternehmen, die sich entsprechend direkt ansteuern lassen.
Bus: Am Ende folgt noch der Katalog Bus. Dabei dreht es sich um die BUS-Kommunikation zwischen Geräten oder Komponenten, die denselben Kommunikationspfad nutzen. Kommunikationsprotokolle in OT-Systemen sind Modbus, Profibus, CAN (Controller Area Network). Für OT-Pentesting ist dieser Bereich überaus bedeutungsvoll.
Mehr dazu in unserem umfangreichen OOTTG GitBook
Wer jetzt Lust auf mehr zu diesem Thema hat, findet weitere Hinweise dazu in unserem sehr umfangreichen Open Operational Technology Testing Guide (OOTTG) bei GitHub und GitBook. Dort lässt sich dieser wunderbar verfolgen und entsprechend durchblättern, wobei jederzeit die Übersicht gewahrt wird. Schauen Sie direkt einmal dort vorbei, um mehr zu erfahren.
Ziel des Projekts ist es unsererseits, der wachsenden Zahl an Unternehmen entgegenzuwirken, die immer noch unsichere OT-Systeme betreiben. Oft wird Operational Technology nicht oder nur bedingt getestet und vor allem OT-Pentets finden weiterhin viel zu selten statt. Hier möchten wir einen Leitfaden bieten, der das ändert und die Situation im Allgemeinen verbessert.
Außerdem ist es uns wichtig, etwas für die Gemeinschaft und Community innerhalb des Security-Bereichs zu tun. Wir wollten einen Testing Guide erzeugen, der auch später noch problemlos an etwaige Sicherheitstrends angepasst und somit leicht erweitert werden kann. Das geht, auf Basis von GitHub, unserer Meinung nach am besten. Doch überzeugen Sie sich gleich selbst, indem Sie einen Blick in das Buch werfen. Wir hoffen, wir können Ihnen damit helfen, die Materie genauer zu verstehen und den OOTTG praktisch anzuwenden.