Pentest as a service

pentest service
@Adobe @Funtap

Penetrationtesting ( Pentest ) als Dienstleistung (PTaaS)

Pen Testing as a Service (PTaaS) ist ein Cloud-Service, der IT-Experten die Ressourcen zur Verfügung stellt, die sie benötigen, um punktuelle und kontinuierliche Penetrationstests durchzuführen und darauf zu reagieren. Das Ziel von PTaaS ist es, Unternehmen beim Aufbau erfolgreicher Programme für das Schwachstellenmanagement zu unterstützen, mit denen Sicherheitsbedrohungen schnell und effizient gefunden, priorisiert und behoben werden können.

Im Bereich der IT-Sicherheit ist es für Unternehmen üblich, seriöse Tester einzustellen, die proaktiv nach Angriffsvektoren suchen, die ausgenutzt werden können. Eine externe Instanz einzuladen, um zu versuchen, ein Netzwerk, einen Server oder eine Anwendung zu verletzen, mag zwar kontraintuitiv klingen, ist aber auch eine der besten Möglichkeiten, schwer zu erkennende Sicherheitsprobleme zu identifizieren und zu beheben.

Wie PTaaS funktioniert

Früher, vor dem Cloud-Computing, wurden die Ergebnisse von Pentests nach Abschluss der Testphase geliefert. Die Informationen waren zwar hilfreich, aber die historische Natur der Daten machte es den internen Sicherheitsteams oft schwer, die Testergebnisse zu priorisieren und zu fixieren.

Automatisierte Pentests, die über ein Software-as-a-Service-Bereitstellungsmodell (SaaS) durchgeführt werden, können dieses Problem beheben, indem Kunden ihre Daten in Echtzeit in einem Executive-Dashboard anzeigen können, das alle relevanten Daten vor, während und nach der Durchführung des Tests anzeigt. Genau wie bei herkömmlichen Stifttestservices stellen PTaaS-Anbieter ihren Kunden auch Ressourcen für das Parsen von Schwachstellen und die Überprüfung der Wirksamkeit einer Abhilfe zur Verfügung. In der Regel stellen PTaaS-Anbieter ihren Kunden eine Wissensdatenbank zur Verfügung, um die internen Sicherheitsteams bei der Behebung von Schwachstellen zu unterstützen, und als Mehrwert bieten einige Anbieter optional Unterstützung durch die eigentlichen Tester, die eine Schwachstelle entdeckt haben.

PTaaS ist für Unternehmen jeder Größe gut geeignet. Die meisten Plattformen sind sehr flexibel und können alles von einem vollständigen Testprogramm bis hin zu benutzerdefinierten Berichtsfunktionen für Kunden, deren gesetzliche Anforderungen eine große Belastung für die Einhaltung von Vorschriften darstellen, enthalten.

Pen Testing as a Service sollte nicht mit Cloud Pen Testing verwechselt werden. PTaaS ist eine Bereitstellungsplattform, während das Testen mit dem Cloud-Stift darauf abzielt, Sicherheitslücken ineiner bestimmten Cloud-Infrastruktur zu ermitteln.

Vorteile von Pentests als Dienstleistung

Einer der größten Vorteile von PTaaS ist die Kontrolle, die es dem Kunden gibt. Unternehmen mit weniger Erfahrung in der Sicherheitsbranche gewinnen einen Partner und eine Plattform, die ihnen alles bietet, was sie für den Aufbau eines erfolgreichen Bedrohungs- und Schwachstellenmanagementprogramms benötigen.

Neben der Darstellung des Fortschritts und des Status aller offenen Engagements machen es PTaaS-Cloud-Plattformen den Kunden leicht, neue Engagements anzufordern und auszuweiten. Weitere Vorteile sind:

Flexible Kaufoptionen: Automatisierte, manuelle und hybride Stifttestservices können über ein monatliches, vierteljährliches oder jährliches Abonnement oder auf Bedarfsbasis budgetiert und beschafft werden.

Kontinuierlicher Zugang zu Echtzeitdaten: Wenn sich eine bestehende Schwachstelle oder ein Exploit im Laufe der Zeit entwickelt, werden die damit verbundenen Daten aktualisiert.

Flexible Berichtsoptionen: Viele PTaaS-Plattformen können Ergebnisse aus mehreren Quellen aggregieren und korrelieren und Ergebnismengen bereitstellen, die den Anforderungen mehrerer Interessengruppen gerecht werden.

Automatisierung: Automatisierte Workflows erleichtern das Scannen nach Schwachstellen für externe Netzwerke und nicht authentifizierte Webanwendungen.

Zu wissende Begriffe: Projektumfang; Sicherheitslücke; Aggregat; Interessenvertreter; Netzwerk-Schwachstellen-Scanning.

Herausforderungen bei der Nutzung von PTaaS

Wenn die Orchestrierung von Schwachstellen automatisiert ist, können Kunden ihr Budget und ihre internen Ressourcen effizienter verwalten, was wiederum die Durchführung von mehr Tests ermöglicht. Einige Unternehmen sind jedoch nicht in der Lage, zusätzliche Testzyklen zu verwalten.

Neuere und unterfinanzierte Sicherheitsprogramme haben manchmal Schwierigkeiten, die bei den jährlichen Penetrationstests entdeckten Schwachstellen zu beheben, ganz zu schweigen von wöchentlichen, monatlichen oder vierteljährlichen Tests. Da die Sicherheitsbudgets in vielen Unternehmen begrenzt sind, kann es schwierig sein, die zusätzlichen Kosten für zusätzliche Tests undAbhilfemaßnahmen zu rechtfertigen.

Was man bei einem PTaaS-Anbieter beachten sollte

Es gibt einige Kernelemente, auf die potenzielle Kunden bei der Bewertung von automatisierten, manuellen oder hybriden Penetrationstestservices achten sollten, darunter der Ruf und die Geschichte des Anbieters.

Neben der Bereitstellung einer robusten Bibliothek für Abhilfemaßnahmen sind weitere bemerkenswerte Produktmerkmale zu nennen:

  • Die Fähigkeit, Daten aus mehreren Quellen zu aggregieren und zu korrelieren.
  • Die Möglichkeit, dass mehrere Tester gleichzeitig am selben Projekt arbeiten und die Ergebnisse in einem einzigen Arbeitsbereich für die Berichterstattung kombinieren können.
  • Die Fähigkeit, Vertrauen und Schweregrad über Scanner hinweg zu normalisieren, um die Treffer zu verbessern und falsch-positive Ergebnisse zu reduzieren.
  • Die Möglichkeit, Berichte in mehreren Dateiformaten zu erstellen.
  • Die Möglichkeit, Berichtsvorlagen für bestimmte Testtypen anzupassen.
  • Die Möglichkeit, Trends über die Zeit zu verfolgen und die Zeit für die Fertigstellung der Korrekturen zu überwachen.
  • Die Fähigkeit, Berichte in die Ticketing- und Governance-, Risiko- und Compliance-Systeme (GRC) des Unternehmens zu integrieren.
Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen