Die jährliche Bewertung der Applikationssicherheit ist bereits angelaufen, aber bis der Abschlussbericht eintrifft, haben Ihre Entwickler eine Vielzahl neuer Funktionen implementiert. Da der Bericht Ihres Pentests nicht mit Ihren modernen Entwicklungszyklen Schritt halten kann, ist er bereits jetzt (und auch in Zukunft) hinfällig. Im Vertrauen darauf, alle Compliance Anforderungen erfüllt zu haben, sind bereits neue Lücken entstanden. Wenn Ihnen diese Situation bekannt vorkommt, ist es höchste Zeit für ein anderes Vorgehen!

Im Laufe von hunderten von Pentests bin ich auf eine ganze Reihe von ungewöhnlichen und faszinierenden Fehlern gestoßen. Wenn Sie sich dafür interessieren, werfen Sie einen Blick auf die folgenden Beiträge: Account takeover vulnerability in Azure’s API Management Developer Portal und „Wie Angreifer mit HTTP Request Smuggling die Sitzung eines Benutzers übernehmen können – Exploit-Walkthrough„.

Doch egal, wie viel Zeit ich mit der Ausarbeitung eines effektiven Exploits und einer detaillierten Anleitung zur Wiederholung dieser Schwachstellen verbringe, ich erkenne immer wieder dieselben Muster und Unsicherheiten bei der Behebung solcher Bugs. Mit der Zeit ist mir klar geworden, dass diese Irritation ein Problem des Penetrationstests ist.

Im folgenden Beitrag werde ich meine Sichtweise zu den häufigsten Problemen beim Scannen von Schwachstellen und beim traditionellen Pentesting darlegen, indem ich sie mit einem alternativen (moderneren) Prozess vergleiche – Pentesting as a Service (PTaaS).

Was ist PTaaS?

Schon der Name impliziert, dass PTaaS cloud-nativ ist und ein Element der Automatisierung beinhaltet – beides wünschenswerte Eigenschaften für ein agiles AppSec-Programm. Durch die Kombination von automatischen Scans mit manuellen Penetrationstests durch unsere Sicherheitsexperten erhalten Sie eine präzise Übersicht der bei Ihnen identifizierten Sicherheitslücken. So profitieren Sie durch die Bereitstellung von manuellen Pentests auf Abruf und einer kontinuierlichen Überwachung, um die Sicherheit Ihrer agilen Webanwendungen zu gewährleisten – unabhängig davon, wie oft Ihr Code geändert wird.

Schwachstellen-Scanning vs. PTaaS

Beginnen wir mit der Gegenüberstellung von Schwachstellen-Scans und PTaaS. Während Schwachstellenscanner für einige Anwendungsfälle nützlich sein können, sind sie in ihrer Fähigkeit, neue Angriffsvektoren zu erkennen, begrenzt. Interessanterweise wurden im Jahr 2023 mehr als 20 % aller gemeldeten Schwachstellen der PTaaS-Plattform von Outpost24 als hoch oder kritisch eingestuft. Im Jahr 2022 lag diese Zahl noch bei 14 %. Diese Ergebnisse werden von unserem hauseigenen Team von Pentestern manuell erstellt und zeigen die toten Winkel auf, die von automatischen Scannern routinemäßig übersehen werden. Sie verdeutlichen auch die Zunahme von Schwachstellen mit hohem Schweregrad, die mit der zunehmenden Komplexität moderner Webanwendungen einhergehen.

Bei einem kürzlich durchgeführten Einsatz war ein Kunde, der sich zuvor ausschließlich auf automatisierte Tests verlassen hatte, besonders überrascht, als unser PTaaS-Team eine große Anzahl kritischer Ergebnisse in Bezug auf die Erweiterung von Zugriffsrechten und sogar die Ausführung von Remote-Code meldete. Weitere Informationen über die Einschränkungen von Schwachstellen-Scans finden Sie in diesem Beitrag eines anderen Pen-Testers: „Warum automatische Scanner Schwachstellen in der Zugriffskontrolle nicht erkennen können„.

Klassische Pentests vs. PTaaS

In anderen Gesprächen mit Kunden, die von klassischen Pentests auf PTaaS umgestiegen sind, wurden mir oft die folgenden Vorteile berichtet:

Vorteil 1 – Kein Warten mehr auf den Abschlussbericht

Der Zeitrahmen für einen herkömmlichen Pentest war lange Zeit eine Hürde, um wirklich wichtige Erkenntnisse zu gewinnen. Bis der Onboarding-Prozess abgeschlossen ist, werden die Tests sicherlich auf schon bald veraltetem Code durchgeführt. Dies ist eine frustrierende Angelegenheit für die Entwickler, die wahrscheinlich Änderungen vorgenommen haben, die für die Befunde relevant sind, und schafft Unsicherheit über die Gültigkeit jeder einzelnen Schwachstelle im Report.

PTaaS bietet einen viel schnelleren Ansatz, indem es den Testern ermöglicht, den Kunden Schwachstellen in Echtzeit zu melden. Ergänzend dazu verfolgt Outpost24 einen hybriden Ansatz für PTaaS mit manuellen und automatisierten (manuell verifizierten) Ergebnissen. Das bedeutet, dass die Kunden bereits am ersten Tag einer Untersuchung die ersten Ergebnisse erhalten. Unsere Schnittstelle unterstützt auch Entwickler, indem sie sie benachrichtigt, sobald ein neuer Report erstellt wird. So können diese Änderungen am Code während ihrer Entwicklungszyklen richtig priorisieren.

Vorteil 2 – Korrekturmaßnahmen werden sofort validiert

Bei herkömmlichen Pentests wird am Ende des Testzyklus in der Regel ein statischer PDF-Bericht erstellt. Selbst wenn ein Bericht relativ schnell eingeht und die Entwickler in der Lage sind, Änderungen vorzunehmen, um die gemeldeten Probleme zu beheben, kann es Monate dauern, bis ein neuer Test und Bericht erstellt werden kann, um die Wirkung dieser Änderungen zu überprüfen.

Aufgrund der schnellen Berichterstattung von PTaaS sind die Entwickler in der Lage, ihren Fehlerbehebungsprozess mit den Testern zu integrieren. Sie können zusätzliche Tests anfordern, um zu verifizieren, ob eine implementierte Problemlösung funktioniert, und um festzustellen, ob die Lösung robust genug ist, um vor möglichen Workarounds zu schützen. Bei PTaaS von Outpost24 ist dies alles in Echtzeit möglich, was dazu führt, dass Gegenmaßnahmen innerhalb von Tagen umgesetzt und kontrolliert werden, während weitere Tests von den PTaaS-Teams durchgeführt werden.

Vorteil 3 – Transparenz und Aktualität während des Prüfprozesses

Ein weiteres Problem des herkömmlichen Pentests ist die mangelnde Transparenz während des Tests. Die Kunden wissen zwar, wann ein Test begonnen hat, haben aber oft keinen Einblick in die Ergebnisse oder in Probleme, die während des Tests aufgetreten sind.

Ein weiterer Vorteil des Echtzeit-Reportings von PTaaS ist dagegen die Möglichkeit, den gesamten Testprozess sofort und kontinuierlich zu verfolgen. Sobald eine Applikation onboarded ist, wissen die Kunden sofort, wann die Tests beginnen und enden werden. Außerdem können sie alle gemeldeten Ergebnisse sowie alle Probleme, die beim Testen festgestellt wurden, wie z. B. fehlerhafte Funktionen oder nicht funktionierende Anmeldeinformationen, einsehen und darauf reagieren.

Vorteil 4 – Direkte Kommunikation mit den Pentestern

Ein häufiges Thema bei herkömmlichen Pentests ist ein eher abgekapselter Ansatz, bei dem die Tester selbst nicht für Fragen zu den Ergebnissen und implementierten Korrekturen zur Verfügung stehen. Dies kann für Kunden frustrierend sein.

Einer der zahlreichen Vorteile von PTaaS besteht darin, dass Ihre Entwickler einen direkten Kommunikationskanal zu den Pentestern öffnen können. Dies ermöglicht es den Entwicklern und Testern, Schwachstellen und vorgenommene Korrekturen während des Einsatzes aktiv zu besprechen, was oft zu einem wechselseitigen Ansatz zur Behebung führt, bei dem die ursprünglichen Korrekturen des Entwicklers erneut getestet werden, um ihre Robustheit zu gewährleisten, und dann mit Hilfe des Fachwissens des Testers verbessert werden.

Vorteil 5 – Förderung von kreativen Tests

Ein unvermeidlicher Aspekt aller Pentests ist das abarbeiten von Checklisten. Dies ist erforderlich, um eine vollständige Abdeckung der Anwendungsfunktionen sowie der möglichen Schwachstellen, die jede Funktion betreffen können, zu gewährleisten. Herkömmliche Pentester konzentrieren sich jedoch oft zu sehr darauf, jeden Punkt auf der Checkliste abzuhaken, anstatt sich mit einem Aspekt der Liste zu befassen, der für die Anwendung von entscheidender Bedeutung zu sein scheint. Die Tester von Outpost24 lernen schon früh in ihrer Ausbildung, ihre Zeit sorgfältig einzuteilen, um eine kreative und gründliche Analyse kritischer, kontextabhängiger Funktionen zu ermöglichen und sicherzustellen, dass die Schwachstellen mit den größten potenziellen Auswirkungen auf die Anwendung des Kunden bei jeder Prüfung identifiziert werden. Dies wird natürlich mit den checklistengesteuerten Tests kombiniert, um eine weitreichende Abdeckung der Anwendung zu erreichen.

Vorteil 6 – Großer Pool an erfahrenen Testern

Wenn ein Kunde seit einiger Zeit mit einem einzigen Anbieter arbeitet, wird er oft schnell feststellen, dass die gleichen Tester für seine Anwendungen eingesetzt werden, da sie mit der Funktionalität aus früheren Tests vertraut sind. Dies kann zwar eine gute Vorgehensweise sein, aber oft wollen Kunden eine neue Perspektive auf ihre Anwendungen und fordern schließlich neue Tester an oder holen in einigen Fällen einen zweiten Anbieter hinzu, um sicherzustellen, dass eine Vielzahl von Testern ihre kritischen Anwendungen prüfen kann. Dies kann extrem kostspielig sein.

Bei Outpost24 stellt unsere PTaaS-Lösung einen großen Pool von Testern für alle Anwendungen im Laufe ihres Einsatzes zur Verfügung. Das bedeutet, dass die Anwendungen regelmäßig von neuen Testern geprüft werden, von denen jeder über individuelle Kompeten verfügt, die es ihm ermöglichen, eine neue Perspektive auf die Anwendung einzunehmen. Dies wiederum führt zu Aufdeckung von kreativeren und wirkungsvolleren Schwachstellen und gewährleistet, dass die Sicherheitslage der Anwendung von mehreren erfahrenen Testern bewertet wird.

Erste Schritte mit PTaaS

SWAT, die PTaaS-Lösung von Outpost24, bietet Ihnen den aktuellsten Überblick über Ihre AppSec-Schwachstellen. Durch die Kombination von Tiefe und Präzision manueller Pentests mit kontinuierlichem Schwachstellen-Scanning helfen wir Unternehmen, Webanwendungen in großem Umfang zu schützen. Weitere Informationen finden Sie auf unserer SWAT-Produktseite oder in einem Gespräch mit einem unserer Experten.