Macht ihr externe Pentests? Wie oft? Was kostet es? Welchen Anbieter?

ich würde es ganz sicher nich jede woche oder jeden monat machen - dann lieber seltener und dafür aber die Ergebnisse angucken UND entsprechend handeln. Was bringt es mir wenn der Test mir jede Woche sagt das für den domain-admin das passwort "Wichtig" eher schlecht ist?

Gegen Zero-Days bringen die in meinen auch nur begrenzt was. Nehmen wir an du machst den Test immer Montags, aber dummerweise drückt freitag jemand aufm Knopf, dann is wieder blöd gelaufen. Dazu kommt das der Test ja auch für die Firma passen muss - es interessiert ja jetzt eher wenig ob bei nem Linux-System bei dem es ggf. nur 1-2 Benutzer (die eh admin-accs haben) jemand über nen kernel-hack sich von seinem User hochstufen kann (schön, diejenigen die nen acc haben können auch einfach das Passwort und sudo nehmen ;) ).

Weiterhin sollte man sich bewusst sein - die grösste Lücke sitzt idR. VORM Monitor, dabei is es völlig egal ob es sich "Admin" oder "Anwender" nennt. Dabei geht es in beide Richtungen: Der eine der sich zu wenig um Sicherheit kümmert (Passwort? Kann ich auch einfach auf die Tastatur kleben), der andere der es übertreibt (nen passwort muss 20 Zeichen, 7 Sonderzeichen und 5 Zahlen haben... aber warum schreiben es die Leute bloss immer auf?!?). Und warum werden Programme offen gelassen - nur weil man die 2FA schon auf 20FA hochgedreht hat?

Von daher würde ich eben immer überlegen: Macht es sinn solche Tests regelmässig zu machen - am besten angekündigt? Das ist wie bei der Lebensmittelkontrolle die 2 Wochen vorher sich anmeldet -> ob die dann aufschlagen oder nich macht auch nur nen minimalen Unterschied... Dann lieber seltener und dafür eben passend zu den eigenen Anforderungen...

Nee, wir sind keine >1000 MA Es sind nur ~280. Die Kosten sind aber nicht an den MA bemessen, sondern an der Größe der IT-Infrastruktur und des Firmenumsatzes. Wir sind kein offiziell kein KMU mehr sondern ein Konzern.

Zurück zu deinen Fragen. Wenn ich die Admins nicht kenne, dann lasse ich sie auch nicht etwas verwalten. Bei uns weiß jeder was er tut. Zero-Days gab es früher und wird es weiterhin geben. Da kann auch kein Admin alle Hardware und Software im Auge behalten und jeden CVE, die irgendwo veröffentlicht werden überblicken. Sehr kritische mit 9.x sind zwar schon heftig, aber erfordern auch meist schon andere kompromittierte Systeme oder den Zugriff aus den LAN oder sogar direkt exponierte Systeme am WAN. Hier bin ich relativ entspannt, da wir sehr wenig vom WAN erlauben und der Traffic intern gesichert ist und die Backup-Systeme isoliert von Clients und anderen Servern.

Viel mehr Sorgen mache ich mir, zusammen mit dem DSB, wenn vertrauliche Informationen das Unternehmen verlassen, die so nicht raus gehen sollten. Hier gibt es leider keine 100% verlässliche technische Möglichkeit das zu verhindern und nur wiederkehrende Datenschutz-Schulungen etwas helfen.

Moin,

hängt natürlich von der Arbeitsqualität der Admins ab, aber nach einiger Zeit wird man betriebsblind, da schadet ein Blick von außen nicht.

Ich habe dort noch keinen Pentest beauftragt, aber die eine oder andere Schnittstelle haben wir mit denen und gute Erfahrungen gemacht:
www.infraforce.de

Für meinen Bedarf sind externe Pentests in der Kosten- / Nutzenabwägung nix. Ich weiß, Arbeit haben wir alle mehr als genug, aber wir versuchen, zumindest einen Admin mehr in die Sicherheitsschiene zu bringen. Wenn der dann 1x im Jahr Kali laufen lässt, ist schon einiges erreicht. Ansonsten Best Practices befolgen, sofern möglich. Mit einem Pentest ist es schließlich auch nicht getan, sollte man dabei nicht übersehen. Das will gepflegt und weiter beobachtet werden.

Gruß

Mahlzeit.

Wir werden aktuell einmal jährlich einen physischen Pentest durchführen lassen.

Die externe Angriffsfläche ist ja eher uninteressant, es sei man ist so bräsig und lässt den Zugriff auf beispielsweise seine Hypervisoren und Switches aus dem Internet ungefiltert zu.

Was einige schon bemerkten ist, dass die Sensibilisierung der gesamten Belegschaft das Einzige ist, was wirklich für eine gute "Abwehr" sorgt.

Technische Maßnahmen sind nicht das Allheilmittel. Irgendwo muss das Arbeiten noch möglich sein.

Datenschutzschulungen und ab und an mal einen kleinen "Denkzettel" mit gesteuerten Social Engineering Angriffen sind meiner Ansicht nach am sinnvollsten.

Pentests sind ja monetär gesehen sehr weit gefächert.

Wir haben Angebote zwischen 5K € und 8K € für einen physischen Pentest und einer Spam Kampagne im Haus. Ca. 190 MA und KRITIS.

Gruß
Marc

Hallo,

wenn monatliche oder wöchentliche Pentests gefordert werden, oder diese Forderung ernst genommen wird, ist das ein Warnsignal.

Dann muss man einen Schritt zurücktreten vom Thema Pentests: Es fehlt dann an einem strukturierten ISMS, das die relevanten Aspekte unter der korrekten Terminologie behandelt. Es ist ganz typisch, dass in dieser Situation Stichworte herausgegriffen werden und irgendwas gemacht wird, "um da was zu haben". Das löst aber kein Problem und verbrennt nur Geld (irgendwas wird getestet, irgendein Sicherheitsprodukt wird angeschafft etc). Der Markt reagiert darauf und alles Mögliche wird als Pentest verkauft, in jeder beliebigen Preisklasse.

Unter dem Dach eines ISMS sollte ein Schwachstellen-Management existieren, das wiederum eine Reihe von Prozesse zusammenfasst, darunter das Vulnerability-Scanning. Vulnerability-Scanning ist ein breit aufgestellter, rasch wiederholter Prozess (täglich bis zweiwöchentlich), der die Wirksamkeit der sicherheitsrelevanten Betriebsprozesse (Updates einspielen, definierte Konfigurationen anwenden, Standardnutzer deaktivieren, Zugangsdaten sicher ablegen etc) über die gesamte IT-Infrastruktur hinweg prüft; es hat organisatorische Äquivalente, wie den Review von Nutzungsberechtigungen.

Ein Pentest prüft selektiv die Effektivität dieser Feedback-Schleife aus Betriebsprozessen und Schwachstellen-Management. Der Pentest geht in einem definierten Bereich (Gebäude, Anwendung, Netzwerk) in eine definierte Tiefe, anhand derer man auch ungefähre Aussagen treffen kann wie: Ein Gray-Box-Test einer mittelgroßen Webanwendung auf Anwendungsebene kostet in Deutschland 30-60k.

Es ist klar, dass dieses Vorgehensmodell nicht geeignet ist, Vulnerability-Scanning oder gar das Schwachstellen-Management insgesamt zu ersetzen. Wenn das versucht wird, enthält der Pentest-Bericht einige Findings, die charakteristisch für Vulnerability-Scans sind. Die werden an den Auffindestellen behoben, was vielleicht 5% der tatsächlich in der Organisation vorhandenen gleichartigen Schwachstellen ausmacht. Nach zwei Monaten sind auch diese 5% wieder den unzureichenden Betriebsprozessen zum Opfer gefallen.

Die sinnvolle Frequenz von Pentesting ist begrenzt durch die Iteration der getesteten Feedback-Schleifen. Die Komplexität, die in diesen Feedback-Schleifen behandelt wird, nimmt allgemein zu. Teils wird sie auch künstlich erhöht, indem Organisationen innovationsgetrieben "zeitgemäße Technologien"/Technik einsetzen, bevor sie diese und ihre Implikationen durchdrungen haben. Es ist daher keine Seltenheit, wenn schon Themen aus Vulnerability-Scans aufgrund von Abhängigkeiten und Entwicklungsaufwand über Wochen bis Monate festhängen. Irgendwo muss man dennoch einen Schnitt machen; die allgemein sinnvolle Streuung für Pentests ist vielleicht halb- bis zweijährlich, je nach Kultur. Meist ist man einer Markterwartung von jährlichen Pentests ausgesetzt, und dies auch wirtschaftlich das Maximum.

Pentest stehen also in der betrieblichen Nahrungskette, die sich von Schwachstellen ernährt, ganz am Ende und sind wirtschaftlich zudem sehr ineffizient. Was der Pentester findet, hängt wesentlich vom Pentester und der definierten Prüftiefe ab. Auf dem Markt einen sauberen "Pentest"-Bericht zu bekommen, ist keine Kunst. Schwierig ist, noch Anbieter zu finden, mit denen man - bei im Übrigen funktionierendem Sicherheitsmanagement - einen Erkenntnisgewinn generieren kann. Ich bin daher der Auffassung, dass ein Euro in aller Regel besser in die vorgelagerten Prozesse investiert ist als in Pentests.
Wenn Pentests durchgeführt werden, so sollte man so weit wie möglich die Hosen runterlassen und möglichst viel Ressourcen für ein kooperatives Vorgehen bereitstellen. Black-Box-Modelle und das Versprechen, die Perspektive von Angreifern nachzubilden, sind vollkommen unrealistisch.

Grüße
Richard

Moin,
das ist jedes Jahr verschieden. Das hängt davon ab, wie viel und groß die Änderungen waren (z.B. neue Web Application, größeres Updates, Umbau der Infrastruktur, etc. Anwendung ausschließlich nur im LAN oder auch von Extern erreichbar, etc.). Wobei wir bereits im Haus eine Abteilung haben, die das regelmäßig auf einem Basic Level tun und so die groben Schnitzer seitnah finden und beheben lassen.

Im Schnitt ist es ein 2stelliger Millionenbetrag (> 100.000 User).

@DerMaddin
Der Admin und Hersteller der unfehlbar ist, möchte ich gerne kennenlernen. In einer kleinen Umgebung ist das sicherlich überschaubarer als bei einem Mittelstand. Wobei meistens in beiden Welten Generalisten und keine Spezialisten da sind. Natürlich sind da IT-Dienstleister im Hintergrund mit Fachwissen, aber die machen am Ende des Tages auch "nur" das was der Kunde verlangt und bezahlt.


Gruß,
Dani

Wir hatten bis jetzt alle 2 Jahre externe Tests. Wobei die auch von "innen" testen, da die eigenen Mitarbeiter (inkl. Admins) oft der Zugang sind und nicht die Firewall. Wie eh schon erwähnt wurde.

20k bei etwa 1000 MA. Wobei der Preis glaube ich unabhängig von der MA Zahl ist.
https://www.orangecyberdefense.com/de/

Ist eine ganz andere Sichtweise als Vulnerability Scanning.