stacktrace
Goto Top

Macht ihr externe Pentests? Wie oft? Was kostet es? Welchen Anbieter?

Hallo werte Adminas und Admins,

kauft ihr euch externe Pentests ein? Wenn ja:
  • Wie oft im Jahr? (Die Jungs vom NIS reden ja fast schon von monatlich, besser wöchentlich (aufgrund der schieren Menge der neuen ZeroDays jeden Tag))
  • Was lasst Ihr euch das kosten? (Wie groß ist eure Umgebung?)
  • Welchen Anbieter vertraut Ihr? (Gerne aus DE/EU)

Ich selbst mache häufig eigene Pentests gegen Firmen nach Absprache. Da ich aber kein hauptberuflicher CyberSecuritySpezi™ bin, der auch keine spezialisierte HW vorliegen hat (außer paar nette VMs), bin ich am überlegen, wen Externes zu buchen. -Einmal schadet bestimmt nicht, aber reicht das dann auch?

Ich würde mich über eine angeregte Diskussion freuen.

Danke + viele Grüße,

Content-ID: 669024

Url: https://administrator.de/contentid/669024

Printed on: November 4, 2024 at 09:11 o'clock

DerMaddin
DerMaddin Oct 25, 2024 at 11:22:29 (UTC)
Goto Top
Moin,

ich hatte mal ein Angebot bekommen von einem IT-Partner eines IT-Partners. Wie das so ist, werden gern Infos weiter gegeben. Na ja, da stand dann für unsere Unternehmensgröße ein Preisschild von ~€48.000!!!

Ein Pentest ist mMn unnötig, wenn der/die Admins ihre Arbeit richtig machen. Von Extern ist das die richtige Wahl und Konfiguration der Firewall, DMZ, Proxy, VPN-Zugangs. Von Intern regelmässige "Awarness-Schulungen" der MA, Absicherung des Netzwerks, interne CA und Segmentierung und Trennung von kritischen Systemen.

Was ich aber sinnvoll finde, sind einzelne Tests, die speziell auf bestimmte Angriffs-Vektoren abzielen, hier insbesondere User, die oft das Einfallstor sind.
stacktrace
stacktrace Oct 25, 2024 updated at 11:36:43 (UTC)
Goto Top
Hi @DerMaddin,

~€48.000!!!
Ui, knackig! Welche größte habt Ihr? >1k MA?

wenn der/die Admins ihre Arbeit richtig machen
Aber woher weiß man das? Nur weil Admin dran klebt, muss ja nicht zwangsläufig Admin drin sein? Kenne einen Admin, der noch nie eine DMZ genutzt hat und trotzdem seine Ports forwardet... und nebenbei einen echt guten Job macht. Er hat es sozusagen drauf - nur halt ohne DMZ.

Ein Pentest ist mMn unnötig
(aufgrund der schieren Menge der neuen ZeroDays jeden Tag)
Macht Dir das keine Sorgen? Ich meine, selbst der beste Admin, könnte eine ZeroDay nicht stopfen (wo ich fest daran glaube, dass gekaufte Pentests bspw. Chainattacken beinhalten, die ein Admin auch nicht selbst zerbröseln kann) bzw. einfach mal einen Hänger gehabt haben. Oder: wenn eine Ai/Ki "etwas weiter "denkt"" als ein Mensch? Das meinte ich übrigens mit: "keine spezialisierte HW vorliegen".

Ich behaupte auch, dass der "handelsübliche" Admin, nicht fähig ist, eine speziell gecraftetes Paket zu bauen, der auf meinem Router einen FreeAfterUse oder Ähnliches auslöst.

Von Intern regelmässige "Awarness-Schulungen" der MA
Das sowieso. Auch fahre ich intern OpenVAS, Greenbone, etc. um selbst einen Überblick zu bekommen.

User, die oft das Einfallstor sind.
Absolut - bin ich 101% bei Dir. Hier werfe ich gelegentlich USB Sticks durch die Büros, fahre eigene Phishingtests, .. schule die User soweit es geht..

Danke Dir für deinen Input face-smile
maretz
maretz Oct 25, 2024 at 12:00:34 (UTC)
Goto Top
ich würde es ganz sicher nich jede woche oder jeden monat machen - dann lieber seltener und dafür aber die Ergebnisse angucken UND entsprechend handeln. Was bringt es mir wenn der Test mir jede Woche sagt das für den domain-admin das passwort "Wichtig" eher schlecht ist?

Gegen Zero-Days bringen die in meinen auch nur begrenzt was. Nehmen wir an du machst den Test immer Montags, aber dummerweise drückt freitag jemand aufm Knopf, dann is wieder blöd gelaufen. Dazu kommt das der Test ja auch für die Firma passen muss - es interessiert ja jetzt eher wenig ob bei nem Linux-System bei dem es ggf. nur 1-2 Benutzer (die eh admin-accs haben) jemand über nen kernel-hack sich von seinem User hochstufen kann (schön, diejenigen die nen acc haben können auch einfach das Passwort und sudo nehmen ;) ).

Weiterhin sollte man sich bewusst sein - die grösste Lücke sitzt idR. VORM Monitor, dabei is es völlig egal ob es sich "Admin" oder "Anwender" nennt. Dabei geht es in beide Richtungen: Der eine der sich zu wenig um Sicherheit kümmert (Passwort? Kann ich auch einfach auf die Tastatur kleben), der andere der es übertreibt (nen passwort muss 20 Zeichen, 7 Sonderzeichen und 5 Zahlen haben... aber warum schreiben es die Leute bloss immer auf?!?). Und warum werden Programme offen gelassen - nur weil man die 2FA schon auf 20FA hochgedreht hat?

Von daher würde ich eben immer überlegen: Macht es sinn solche Tests regelmässig zu machen - am besten angekündigt? Das ist wie bei der Lebensmittelkontrolle die 2 Wochen vorher sich anmeldet -> ob die dann aufschlagen oder nich macht auch nur nen minimalen Unterschied... Dann lieber seltener und dafür eben passend zu den eigenen Anforderungen...
stacktrace
stacktrace Oct 25, 2024 updated at 12:12:55 (UTC)
Goto Top
@maretz,
Danke Dir für deinen Input face-smile

Was bringt es mir wenn der Test mir jede Woche sagt das für den domain-admin das passwort "Wichtig" eher schlecht ist?
Ja gut, wenn wirklich nur das gefunden wird bei einem Pentest, hast Du das echt im Griff.

eher wenig ob bei nem Linux-System bei dem es ggf. nur 1-2 Benutzer (die eh admin-accs haben) jemand über nen kernel-hack sich von seinem User hochstufen kann

Jaein, sehe ich ehrlich gesagt nicht so. Stehen die Kisten inner DMZ und ein Angreifer(Wir reden immernoch von extern) kann die Accounts übernehmen, hat man weiteres Material für lateral movement. Wer weiß, vielleicht ist der Admin faul und nutzt überall das gleiche PW? In relativ kurzer Zeit, kanndas AD im Eimer sein.
Wir kennen das doch alle: Erst ist es eine TestVM/Applikation/Umgebung die auf einmal für immer live geht.

VORM Monitor
Bin ich komplett bei Dir. Darum auch interne Pentests: Bspw. sind Standardlogins noch verfügbar aka admin:admin, werden Accounts vom AD gesperrt bei falscher PW-Eingabe, kann sich Mimikatz mit dem AD beschäftigen (pass the hash/TGT)? Haben Rechner Adminaccounts? uswusf.

am besten angekündigt
Dem Admin vielleicht (bzw. sollte sogar bevor er panisch in die Firma rennt weil da ein aktiver Angriff rennt).

Danke + Gruß
DerMaddin
DerMaddin Oct 25, 2024 at 12:15:39 (UTC)
Goto Top
Nee, wir sind keine >1000 MA face-wink Es sind nur ~280. Die Kosten sind aber nicht an den MA bemessen, sondern an der Größe der IT-Infrastruktur und des Firmenumsatzes. Wir sind kein offiziell kein KMU mehr sondern ein Konzern.

Zurück zu deinen Fragen. Wenn ich die Admins nicht kenne, dann lasse ich sie auch nicht etwas verwalten. Bei uns weiß jeder was er tut. Zero-Days gab es früher und wird es weiterhin geben. Da kann auch kein Admin alle Hardware und Software im Auge behalten und jeden CVE, die irgendwo veröffentlicht werden überblicken. Sehr kritische mit 9.x sind zwar schon heftig, aber erfordern auch meist schon andere kompromittierte Systeme oder den Zugriff aus den LAN oder sogar direkt exponierte Systeme am WAN. Hier bin ich relativ entspannt, da wir sehr wenig vom WAN erlauben und der Traffic intern gesichert ist und die Backup-Systeme isoliert von Clients und anderen Servern.

Viel mehr Sorgen mache ich mir, zusammen mit dem DSB, wenn vertrauliche Informationen das Unternehmen verlassen, die so nicht raus gehen sollten. Hier gibt es leider keine 100% verlässliche technische Möglichkeit das zu verhindern und nur wiederkehrende Datenschutz-Schulungen etwas helfen.
stacktrace
stacktrace Oct 25, 2024 at 12:33:18 (UTC)
Goto Top
sehr wenig vom WAN erlauben
Same, jedoch habe ich dennoch 3 offene Ports ins WAN.

Da fällt mir etwas spannendes ein:
Wir sind vor 3 Jahren in ein neues Gebäude gezogen und haben demnach eine neue statische IP angefordert und erhalten.
Selbst nach 3 Jahren sind wir nicht auf Shodan usw. gelistet. Ich bin der Meinung, dass das ein gutes Zeichen sein sollte :D

keine 100% verlässliche technische Möglichkeit das zu verhindern
Jep, das nervt mich tatsächlich auch. USB Ports sind hier alle gesperrt per default, aber es gibt ja zig andere Wege...
Coreknabe
Coreknabe Oct 25, 2024 at 12:35:22 (UTC)
Goto Top
Moin,

hängt natürlich von der Arbeitsqualität der Admins ab, aber nach einiger Zeit wird man betriebsblind, da schadet ein Blick von außen nicht.

Ich habe dort noch keinen Pentest beauftragt, aber die eine oder andere Schnittstelle haben wir mit denen und gute Erfahrungen gemacht:
www.infraforce.de

Für meinen Bedarf sind externe Pentests in der Kosten- / Nutzenabwägung nix. Ich weiß, Arbeit haben wir alle mehr als genug, aber wir versuchen, zumindest einen Admin mehr in die Sicherheitsschiene zu bringen. Wenn der dann 1x im Jahr Kali laufen lässt, ist schon einiges erreicht. Ansonsten Best Practices befolgen, sofern möglich. Mit einem Pentest ist es schließlich auch nicht getan, sollte man dabei nicht übersehen. Das will gepflegt und weiter beobachtet werden.

Gruß
radiogugu
radiogugu Oct 25, 2024 at 13:33:59 (UTC)
Goto Top
Mahlzeit.

Wir werden aktuell einmal jährlich einen physischen Pentest durchführen lassen.

Die externe Angriffsfläche ist ja eher uninteressant, es sei man ist so bräsig und lässt den Zugriff auf beispielsweise seine Hypervisoren und Switches aus dem Internet ungefiltert zu.

Was einige schon bemerkten ist, dass die Sensibilisierung der gesamten Belegschaft das Einzige ist, was wirklich für eine gute "Abwehr" sorgt.

Technische Maßnahmen sind nicht das Allheilmittel. Irgendwo muss das Arbeiten noch möglich sein.

Datenschutzschulungen und ab und an mal einen kleinen "Denkzettel" mit gesteuerten Social Engineering Angriffen sind meiner Ansicht nach am sinnvollsten.

Pentests sind ja monetär gesehen sehr weit gefächert.

Wir haben Angebote zwischen 5K € und 8K € für einen physischen Pentest und einer Spam Kampagne im Haus. Ca. 190 MA und KRITIS.

Gruß
Marc
C.R.S.
C.R.S. Oct 25, 2024 at 20:23:57 (UTC)
Goto Top
Hallo,

wenn monatliche oder wöchentliche Pentests gefordert werden, oder diese Forderung ernst genommen wird, ist das ein Warnsignal.

Dann muss man einen Schritt zurücktreten vom Thema Pentests: Es fehlt dann an einem strukturierten ISMS, das die relevanten Aspekte unter der korrekten Terminologie behandelt. Es ist ganz typisch, dass in dieser Situation Stichworte herausgegriffen werden und irgendwas gemacht wird, "um da was zu haben". Das löst aber kein Problem und verbrennt nur Geld (irgendwas wird getestet, irgendein Sicherheitsprodukt wird angeschafft etc). Der Markt reagiert darauf und alles Mögliche wird als Pentest verkauft, in jeder beliebigen Preisklasse.

Unter dem Dach eines ISMS sollte ein Schwachstellen-Management existieren, das wiederum eine Reihe von Prozesse zusammenfasst, darunter das Vulnerability-Scanning. Vulnerability-Scanning ist ein breit aufgestellter, rasch wiederholter Prozess (täglich bis zweiwöchentlich), der die Wirksamkeit der sicherheitsrelevanten Betriebsprozesse (Updates einspielen, definierte Konfigurationen anwenden, Standardnutzer deaktivieren, Zugangsdaten sicher ablegen etc) über die gesamte IT-Infrastruktur hinweg prüft; es hat organisatorische Äquivalente, wie den Review von Nutzungsberechtigungen.

Ein Pentest prüft selektiv die Effektivität dieser Feedback-Schleife aus Betriebsprozessen und Schwachstellen-Management. Der Pentest geht in einem definierten Bereich (Gebäude, Anwendung, Netzwerk) in eine definierte Tiefe, anhand derer man auch ungefähre Aussagen treffen kann wie: Ein Gray-Box-Test einer mittelgroßen Webanwendung auf Anwendungsebene kostet in Deutschland 30-60k.

Es ist klar, dass dieses Vorgehensmodell nicht geeignet ist, Vulnerability-Scanning oder gar das Schwachstellen-Management insgesamt zu ersetzen. Wenn das versucht wird, enthält der Pentest-Bericht einige Findings, die charakteristisch für Vulnerability-Scans sind. Die werden an den Auffindestellen behoben, was vielleicht 5% der tatsächlich in der Organisation vorhandenen gleichartigen Schwachstellen ausmacht. Nach zwei Monaten sind auch diese 5% wieder den unzureichenden Betriebsprozessen zum Opfer gefallen.

Die sinnvolle Frequenz von Pentesting ist begrenzt durch die Iteration der getesteten Feedback-Schleifen. Die Komplexität, die in diesen Feedback-Schleifen behandelt wird, nimmt allgemein zu. Teils wird sie auch künstlich erhöht, indem Organisationen innovationsgetrieben "zeitgemäße Technologien"/Technik einsetzen, bevor sie diese und ihre Implikationen durchdrungen haben. Es ist daher keine Seltenheit, wenn schon Themen aus Vulnerability-Scans aufgrund von Abhängigkeiten und Entwicklungsaufwand über Wochen bis Monate festhängen. Irgendwo muss man dennoch einen Schnitt machen; die allgemein sinnvolle Streuung für Pentests ist vielleicht halb- bis zweijährlich, je nach Kultur. Meist ist man einer Markterwartung von jährlichen Pentests ausgesetzt, und dies auch wirtschaftlich das Maximum.

Pentest stehen also in der betrieblichen Nahrungskette, die sich von Schwachstellen ernährt, ganz am Ende und sind wirtschaftlich zudem sehr ineffizient. Was der Pentester findet, hängt wesentlich vom Pentester und der definierten Prüftiefe ab. Auf dem Markt einen sauberen "Pentest"-Bericht zu bekommen, ist keine Kunst. Schwierig ist, noch Anbieter zu finden, mit denen man - bei im Übrigen funktionierendem Sicherheitsmanagement - einen Erkenntnisgewinn generieren kann. Ich bin daher der Auffassung, dass ein Euro in aller Regel besser in die vorgelagerten Prozesse investiert ist als in Pentests.
Wenn Pentests durchgeführt werden, so sollte man so weit wie möglich die Hosen runterlassen und möglichst viel Ressourcen für ein kooperatives Vorgehen bereitstellen. Black-Box-Modelle und das Versprechen, die Perspektive von Angreifern nachzubilden, sind vollkommen unrealistisch.

Grüße
Richard
Dani
Dani Oct 26, 2024 at 09:19:07 (UTC)
Goto Top
Moin,
Wie oft im Jahr? (Die Jungs vom NIS reden ja fast schon von monatlich, besser wöchentlich (aufgrund der schieren Menge der neuen ZeroDays jeden Tag))
das ist jedes Jahr verschieden. Das hängt davon ab, wie viel und groß die Änderungen waren (z.B. neue Web Application, größeres Updates, Umbau der Infrastruktur, etc. Anwendung ausschließlich nur im LAN oder auch von Extern erreichbar, etc.). Wobei wir bereits im Haus eine Abteilung haben, die das regelmäßig auf einem Basic Level tun und so die groben Schnitzer seitnah finden und beheben lassen.

Was lasst Ihr euch das kosten? (Wie groß ist eure Umgebung?)
Im Schnitt ist es ein 2stelliger Millionenbetrag (> 100.000 User).

@DerMaddin
Ein Pentest ist mMn unnötig, wenn der/die Admins ihre Arbeit richtig machen. Von Extern ist das die richtige Wahl und Konfiguration der Firewall, DMZ, Proxy, VPN-Zugangs. Von Intern regelmässige "Awarness-Schulungen" der MA, Absicherung des Netzwerks, interne CA und Segmentierung und Trennung von kritischen Systemen.
Der Admin und Hersteller der unfehlbar ist, möchte ich gerne kennenlernen. In einer kleinen Umgebung ist das sicherlich überschaubarer als bei einem Mittelstand. Wobei meistens in beiden Welten Generalisten und keine Spezialisten da sind. Natürlich sind da IT-Dienstleister im Hintergrund mit Fachwissen, aber die machen am Ende des Tages auch "nur" das was der Kunde verlangt und bezahlt.


Gruß,
Dani
Dirmhirn
Dirmhirn Oct 26, 2024 at 11:36:30 (UTC)
Goto Top
Wir hatten bis jetzt alle 2 Jahre externe Tests. Wobei die auch von "innen" testen, da die eigenen Mitarbeiter (inkl. Admins) oft der Zugang sind und nicht die Firewall. Wie eh schon erwähnt wurde.

20k bei etwa 1000 MA. Wobei der Preis glaube ich unabhängig von der MA Zahl ist.
https://www.orangecyberdefense.com/de/

Ist eine ganz andere Sichtweise als Vulnerability Scanning.
DerWoWusste
DerWoWusste Oct 27, 2024 updated at 09:45:54 (UTC)
Goto Top
Ich möchte den Ansatz eines Bekannten weitergeben:

Er verkauft automatisierte Pentests, die täglich laufen und reporten. Der Preis für die Einrichtung dieses Services ist möglicherweise hoch, denn dieser Service richtet sich an Firmen, die davon überzeugt sind, das wenige Tests pro Jahr (oder seltener) nicht genug sind. Ohne dass wir seine Services selbst nutzen, kann ich über die Qualität keine Aussage machen. Er hat einige Referenzen angegeben. Wen's interessiert: https://www.axelhoehnke.com/
Von den dortigen Links vielleicht am ehesten passend: https://www.axelhoehnke.com/gpt/incident-response-coach

PS: ja, incident response ist nicht Pentest. Der Herr hat jedoch bis vor wenigen Monaten auf seiner Website auch automatisierte Pentests vermarktet und ich bezweifle, dass er dieses Segment aufgegeben hat.