newsonline24

Penetration Tests greifen tiefer

Ein Scan auf bekannte Schwachstellen zeigt jedoch nicht das gesamte Bild, das ein Angreifer von der fraglichen Infrastruktur erlangt. Vulnerability Scanning deckt nur bereits bekannte Sicherheitslecks ab, die sich automatisiert erkennen lassen. Alle anderen Methoden, die Cyberkriminelle für ihre Attacken nutzen, werden nicht erfasst. Denn auch wenn die gesamte Infrastruktur auf aktuellem Stand mit Sicherheitsupdates versorgt ist, können Angreifer auf vielfältige Hacking-Tools und -Methoden zurückgreifen – man denke beispielsweise an Schwachstellen, für welche es noch keine Patches gibt.

Penetration Tests gehen einen Schritt weiter. Auch dabei wird die Infrastruktur zunächst per Vulnerability Scan auf Schwachstellen abgecheckt. Danach jedoch kommt der Mensch ins Spiel: Spezialisierte «White Hat»-Hacker versuchen im Auftrag ihrer Kunden, die Schwachstellen aktiv auszunutzen (natürlich ohne tatsächlich Schaden anzurichten) und liefern einen detaillierten Bericht über die in der Realität erfolgreichen Angriffsmethoden.

Plattformgestützter Managed Service

IT-Dienstleister, die Penetration Testing anbieten, offerieren diesen Service normalerweise als einzelne, zeitlich begrenzte Massnahme und greifen für die Durchführung meist auf eine relativ kleine Zahl von Experten zurück.

Die technische Basis der Synack-Lösung ist eine Plattform, bestehend aus dem KI-gestützten Vulnerability Scanner Hydra, der Machine Learning Engine Apollo und dem Secure Testing Gateway LaunchPoint. Letzterer kommt dann zum Einsatz, wenn interne Systeme geprüft werden sollen. Die Plattform bietet dem Kunden jederzeit Zugriff auf die laufend aktualisierten Testresultate. Synack verfolgt das Ziel, für Kunden regelmässige Penetration-Tests auszuführen. Im speziellen für Applikationen, welche sehr häufig aktualisiert werden und besonders geschäftskritisch sind. Dies im Gegensatz zum möglicherweise nur einmal jährlich erhältlichen Report beim Einsatz eines konventionellen Pentest-Anbieters. Anders ausgedrückt: Synack offeriert Penetration Testing nicht nur in Form von einmaligen Testprojekten, sondern auch als Managed Service mit kontinuierlicher Überprüfung der infrage stehenden Infrastrukturen.

Technologie und menschliche Intelligenz vereint

Die Technik ist allerdings nicht alles, was Synack auszeichnet. Sie liefert bloss die Basis für das weitergehende Testen. Denn noch wichtiger ist das globale Netzwerk von über 1600 White-Hat-Hackern aus mehr als 80 Ländern, genannt Synack Red Team (SRT), die im Crowdsourcing-Modell die Infrastrukturen der Synack-Kunden auf Herz und Nieren testen. So wird es möglich, dass an einem Penetration Test üblicherweise mehrere hochkarätige Spezialisten beteiligt sind – dies mit einem hohen Grad an Internationalität.

Das breit aufgestellte Know-how und die je nach Weltgegend unterschiedlichen Hacking-Methoden ergeben ein realistisches Gesamtbild über die tatsächliche Angreifbarkeit. Die Mitglieder des SRT werden selbstverständlich auf Fähigkeiten und Vertrauenswürdigkeit geprüft, bevor sie mit der Arbeit beginnen dürfen. Zusammen mit der innovativen Technologieplattform ergibt sich ein skalierbarer Penetration-Testing-Service, der das Beste aus künstlicher und menschlicher Intelligenz vereint.

Synack: die Highlights

• Intelligente Testplattform
• Kundenportal mit aktuellen Informationen
• Globales Netzwerk von mehr als 1600 White-Hat-Hackern
• Discover: Vulnerability Discovery über 14 Tage
• SmartScan: Vulnerability Assessment 24/7/365
• Certify: Penetration Testing über 14 Tage
• Synack365: Penetration Testing 24/7/365
• Unterstützt Compliance nach PCI, OWASP Top 10 und NIST 800-53