Security Chaos Engineering vs. traditionelle Sicherheitsansätze - Teil 3

Security Chaos Engineering VS. traditionelle Sicherheitsansätze 3

Nachdem wir Security Chaos Engineering (SCE) als möglichen Ansatz für Cloud-Sicherheit vorgestellt haben, betrachten wir wichtige Unterschiede zwischen SCE und traditionellen Sicherheitsansätzen. Wir diskutieren kurz Schwachstellenanalyse, Penetrationstests und Red Teaming und schließen mit einem Überblick über die Eigenschaften und Unterschiede ab.

Die Schwachstellenanalyse ist einer der ersten Schritte im Bedrohungsmanagement.

Sie zielt darauf ab, potenzielle Schwachstellen in einem System (z. B. falsch konfigurierte Netzwerkgeräte oder die Ausführung von beliebigem Code) zu identifizieren, um einen Überblick zu geben. Schwachstellenanalysen konzentrieren sich auf das Erkennen von Schwachstellen im System, die allgemeine Bewertung der Folgen und die Prüfung von Behebungsmaßnahmen. Externe Experten führen die Schwachstellenanalyse durch. Der erste Schritt für das Unternehmen besteht darin, das Ziel zu definieren. Anschließend scannen automatisierte Tools das System. Sobald der Tester Schwachstellen identifiziert hat, analysiert er die Ergebnisse, priorisiert sie basierend auf der Schwere ihrer Auswirkungen und erstellt einen Bericht, in dem die durchgeführten Vorgänge und die erzielten Ergebnisse dokumentiert sind. Normalerweise dauert eine Schwachstellenanalyse weniger als eine Woche und erfolgt am Ende des Entwicklungsprozesses. Eine regelmäßige Wiederholung ist erforderlich.

Bei Penetrationstests geht es darum, möglichst viele bekannte Schwachstellen eines Systems zu identifizieren und innerhalb einer bestimmten Zeit genauer zu testen.

Der Tester ahmt einen Angreifer nach, indem er dessen Tools verwendet und versucht, die Perspektive des Angreifers einzunehmen. Beim Penetrationstest liegt der Schwerpunkt auf der Ausnutzbarkeit und der Bewertung der geschäftlichen Auswirkungen von Schwachstellen. In den meisten Fällen werden Penetrationstests von externen Unternehmen mit spezifischer Expertise durchgeführt. Die Mitarbeiter des Zielunternehmens werden jedoch über den Penetrationstest informiert. Normalerweise beginnt er mit einer Schwachstellenanalyse und wird mit der Entwicklung eines Testplans fortgesetzt, der Parameter wie Zeitrahmen, Ergebnisse oder Tools enthält. Während der Erkennungs- und Penetrationsphase versucht der Experte, das Zielsystem durch Ausnutzen logischer und physischer Schwachstellen zu kompromittieren. Anschließend erstellt der Tester einen Bericht für den Kunden, der die gefundenen Schwachstellen, das Ausnutzungsverfahren und Anweisungen zur Behebung enthält. Normalerweise findet ein Penetrationstest bei Bedarf am Ende der Entwicklungsphase statt und dauert 1-3 Wochen.

Red Teaming geht beim Schwachstellenmanagement noch einen Schritt weiter.

Ziel ist es, die Angriffserkennungs- und Reaktionsmöglichkeiten einer Organisation zu testen. Ein großes Team von Sicherheitsexperten simuliert einen bösartigen Angriff und verwendet dabei dieselben Kenntnisse, Ressourcen, Werkzeuge und Ressourcen, die Angreifer verwenden würden. Der Schwerpunkt liegt auf der Erkennung von Schwachstellen, die sonst unentdeckt bleiben würden. In den meisten Fällen führen externe Experten Red Teaming durch. Zunächst führen die Tester eine Angriffsbewertung durch, bei der Angriffsziel und -strategie eng definiert werden. Daher untersuchen die Tester deutlich weniger Schwachstellen als bei Penetrationstests, dafür aber gründlicher. Anschließend bewerten sie das System im Detail und starten ihren Angriff. Der Angriff kann lange dauern, da die Tester ihre Strategie an die von ihnen gefundenen Abwehrmaßnahmen anpassen. Am Ende berichtet das Red Team dem Unternehmen über die ausgenutzten Schwachstellen und den Angriffsverlauf. Red Teaming dauert mindestens 3-6 Wochen, je nach Umfang auch deutlich länger. Aufgrund der immensen Ressourcen ist es der kostspieligste Ansatz.

Security Chaos Engineering ist eine Ergänzung zu bestehenden Sicherheitsansätzen.

Das Ziel von SCE ist es, proaktiv unbekannte Schwachstellen zu identifizieren, die sonst unentdeckt bleiben würden. SCE wird entweder intern oder von externen IT-Sicherheitsexperten durchgeführt. Wir haben den Prozess zur Durchführung von Security-Chaos-Experimenten im vorherigen Beitrag besprochen. Im Allgemeinen nimmt der Prozess auf lange Sicht nicht viel Zeit in Anspruch, da die Experimente, sobald die Entwickler sie programmiert haben, automatisch und ohne manuellen Aufwand ausgeführt werden können. Im Vergleich zu Read Teaming sind die Kosten begrenzt.

Vergleich von Sicherheitstests Die obige Tabelle fasst die wichtigsten Eigenschaften jedes Ansatzes zusammen.

Herkömmliche Ansätze haben Probleme, relevante Schwachstellen in großen und komplexen Cloud-Systemen zu identifizieren.

Die untersuchten Schwachstellen sind bereits bekannt, oder die Tester versuchen, unbekannte Schwachstellen manuell zu identifizieren. Aufgrund der Komplexität und Größe ist es jedoch fast unmöglich, alle relevanten Komponenten und Abhängigkeiten zu berücksichtigen. Daher bietet SCE als automatisierter Ansatz das Potenzial, zusätzliche Schwachstellen zu entdecken. Im folgenden Artikel besprechen wir Tools zur Implementierung von SCE in Unternehmen als Abschluss unserer SCE-Reihe.

Wenn Sie an weiteren Details interessiert sind, wie A&B-Sicherheitsexperten Ihnen dabei helfen können, eine Security Chaos Engineering-Kultur in Ihrem Unternehmen zu etablieren, werfen Sie einen Blick auf unser SCE-Programm oder kontaktieren Sie uns unter Alice&Bob.Company!

Verwendete Ressourcen und interessante Inhalte zu diesem Thema:

1. Rinehart, Aaron, and Nwatu, Charles – Security Chaos Engineering: A new paradigm for cybersecurity (2018) (https://opensource.com/article/18/1/new-paradigm-cybersecurity last accessed 13.06.2022)

2. Rinehart, Aaron, and Shortridge, Kelly – Security Chaos Engineering (2020)

3. Combs, Veronica (2021): Security chaos engineering helps you find weak links in your cyber defenses before attackers do (https://www.techrepublic.com/article/security-chaos-engineering-helps-you-find-weak-links-in-your-cyber-defenses-before-attackers-do/, last accessed 14.06.2022)

4. Arkin, Brad, Scott Stender, and Gary McGraw. “Software penetration testing.” IEEE Security & Privacy 3.1 (2005): 84-87

5. Bishop, Matt. “About penetration testing.” IEEE Security & Privacy 5.6 (2007): 84-87.

6. Thompson, Herbert H. “Application penetration testing.” IEEE Security & Privacy 3.1 (2005): 66-69.

7. Whitaker, Andrew, and Daniel P. Newman. Penetration Testing and Network Defense: Penetration Testing. Cisco Press, 2005.

8. Al Shebli, Hessa Mohammed Zaher, and Babak D. Beheshti. “A study on penetration testing process and tools.” 2018 IEEE Long Island Systems, Applications and Technology Conference (LISAT). IEEE, 2018.

9. Denis, Matthew, Carlos Zena, and Thaier Hayajneh. “Penetration testing: Concepts, attack methods, and defense strategies.” 2016 IEEE Long Island Systems, Applications and Technology Conference (LISAT). IEEE, 2016.

10. Yeo, John. “Using penetration testing to enhance your company’s security.” Computer Fraud & Security 2013.4 (2013): 17-20.

11. Rajendran, Jeyavijayan, Vinayaka Jyothi, and Ramesh Karri. “Blue team red team approach to hardware trust assessment.” 2011 IEEE 29th international conference on computer design (ICCD). IEEE, 2011.

12. Abbass, Hussein, et al. “Computational red teaming: Past, present and future.” IEEE Computational Intelligence Magazine 6.1 (2011): 30-42.

13. Ray, Helayne T., Raghunath Vemuri, and Hariprasad R. Kantubhukta. “Toward an automated attack model for red teams.” IEEE Security & Privacy 3.4 (2005): 18-25.

14. Kahmen, Jan (2020) (https://turingpoint.de/blog/pentest-vs-red-team-assessment/ last accessed 14.06.2022)

15. Packetlabs (2019) (https://www.packetlabs.net/posts/red-teaming/ last accessed 14.06.2022)

16. Mitnick Security (2021) (https://www.mitnicksecurity.com/blog/red-team-operations-vs.-penetration-testing last accessed 14.06.2022)

17. Rana, Pramod (2021) (https://medium.com/@rana.miet/difference-between-red-teaming-and-penetration-testing-17c98c3dc011 last accessed 14.06.2022)

18. Guedez, Alexander (2021) (https://www.forbes.com/sites/forbestechcouncil/2021/01/11/red-teaming-vs-penetration-testing-which-one-is-best-suited-for-you/?sh=a2cc8cb27f9f last accessed 14.06.2022)