Bruce Schneier und Marcus Ranum unterhalten sich über den Wert und Nutzen von Penetrationstests.
Die Position von Marcus Ranum ist offensichtlich gegen Penetrationstests:
- „Pen-testing is a great idea; if you’re a pen-tester. Other than that, I think there are serious problems with the entire concept. The problem with pen testing is that it doesn’t actually measure what people want to believe it measures. Really, what you’re doing is paying a pen tester a hefty amount of money to see how good they are.“
Bruce Schneier sieht das anders und spricht in einem gewissen Rahmen für Penetrationstests:
- „Penetration testing is a broad term. I like to restrict penetration testing to the most commonly exploited critical vulnerabilities, like those found on the SANS Top 20 list. There are two reasons why you might want to conduct a penetration test. One, you want to know whether a certain vulnerability is present because you’re going to fix it if it is. And two, you need a big, scary report to persuade your boss to spend more money.“
Meiner Meinung nach greifen beide zu kurz.
- Penetrationstest != Vulnerability Assessments != Security Audit
Diese Begriffe darf man nicht durcheinander werfen, da sie unterschiedliche Zielsetzungen haben. In einem Penetrationstest werden Sicherheitslücken gesucht, verifiziert und bewertet sowie Lösungen angeboten. Ein Vulnerability Assessment zeigt anhand von Scans oder der Konfiguration theoretische Schwachstellen auf (die in einem Penetrationstest verifiziert werden können). Ein Security Audit verifiziert die vorhandene Konfiguration gegen einen Standard, ohne real nach Sicherheitslücken zu suchen.
Jede Infrastruktur ist angreifbar, ich denke das ist klar. Ein Penetrationstest zeigt, wo die Infrastruktur besonders angreifbar ist und der dringendste Handlungsbedarf besteht. Alles was kompromittiert werden kann ist eine echte Sicherheitslücke und nicht nur eine theoretische Bedrohung. Systeme, die die Penetrationstester links liegen lassen sind meistens so gut gesichert, dass der Aufwand nicht lohnt. Und schließlich kann geprüft werden, ob und wie die Angriffe erkannt wurden. Dort wo ein Angriff erfolgreich war und niemand ihn bemerkt hat, genau dort liegt das größte Risiko für das Unternehmen.
In diesem Sinne eingesetzt helfen Penetrationstests bei einem effizienten Einsatz der vorhandenen Mittel zur Absicherung der Infrastruktur.