Security Testing, komplexe Projekte

Document Sample
Security Testing, komplexe Projekte Powered By Docstoc
					38   MANAGEMENT & KARRIERE                                                Internationale Projekte                                                                                                                                                                                                                                             39
                                                                                                                                                                                                                                                                                           IT-BERATERKATALOG
        Seiten 34–35 Von der Business Intelligence zur Testing Intelligence                                                                                        MEHR ZUM THEMA                                                                                                          Das Adressbuch der Schweizer IT-Branche
        Seiten 36–37 SET 2009: Overcoming the Distance                                                                                                             OneConsult     www.oneconsult.com                                                                                          www.computerworld.ch/services/
        Seiten 38–39 Security: Testen im Team                                                                                                                      Technische Security Audits nach OSSTMM         www.isecom.org/press/hakin9_OSSTMM_DE.pdf                                itberater




                                                                                                                                                                                                                                                                                           Checkliste               Projekte

                                 Security:
                                                                                                                                                                                                                                                                                           Achten Sie bei internationalen Projek-
                                                                                                                                                                                                                                                                                           ten auf folgende Punkte:
                                                                                                                                                                                                                                                                                              Rahmenbedingungen aufgrund unter-



                           Testen im Team
                                                                                                                                                                                                                                                                                              schiedlicher Gesetzgebungen
                                                                                                                                                                                                                                                                                              Frühzeitiges Einholen notwendiger
                                                                                                                                                                                                                                                                                              Einwilligungen
                                                                                                                                                                                                                                                                                              Klar definierte Kommunikationswege,
              Internationale Projekte mit mehreren Teams und                                                                                                                                                                                                                                  sie verhindern Informationsabfluss
         verteilten IT-Hoheiten erfordern eine praxisorientierte                                                                                                                                                                                                                              und Doppelspurigkeiten
                                                                                                                                                                                                                                                                                              Standardisiertes Reporting von
                 Planung, gute Organisation und klare Ziele. Ein                                                                                                                                                                                                                              Schwachstellen und sämtlicher Infos
          Erfahrungsbericht am Beispiel eines Security Audits.                                                                                                                                                                                                                                für den Schlussbericht
                                                                                                                                                                                                                                                                                              Unterschiedliche Landessprachen
                                                                                                                                                                                                                                                                                              Reisekosten und Spesen




       VON SIMON WEPFER




     D
                ie Aufgabe war klar: Ein internationa-    Prozess mit einbezogen. Das Projekt selbst war
                ler Energiekonzern orderte vergange-      als Matrix organisiert und bestand aus den drei
                nen Frühling einen technischen Secu-      «Paketen» Security Scan, Penetration Test                                                                                                                                                                                        Klar definierte Projektschritte helfen,
                rity Audit. Vier vom Internet aus         sowie Application Security Audit, jeweils mit                                                                                                                                                                                    den Zeitplan einzuhalten
     erreichbare Netzwerke, unter anderem in              einem eigenen Teilprojektleiter.
     Deutschland, Belgien und Grossbritannien so-
     wie sechs ausgewählte Webapplikationen soll-         PHASE 1: KICK OFF ZUM PROJEKTSTART                                                                                                                                                                                             account für die privilegierten Tests hatte fal-
     ten auf Schwachstellen untersucht werden.            Das Kick-off-Meeting, zehn Tage vor Projektstart,                                                                                                                                                                              sche Berechtigungen, ein Passwort war falsch
     Hunderte von Systemen einem intensiven               sollte dafür sorgen, dass jeder über Vorgehen,                                                                                                                                                                                 gesetzt und ein Intrusion Prevention System
     Penetration Test zu unterziehen, macht aller-        Zeitraum und Form der Tests informiert ist. Dort                                                                                                                                                                               nicht korrekt konfiguriert, was die Inventur in
     dings aus Kostengründen wenig Sinn.                  wurden die Kommunikationswege klar festgelegt                                                                                                                                                                                  einem Netz für etwa eine Stunde blockierte. Bei
     Da die Systeme in der                                                          und die Schlüssel zur                                                                                                                                                                                drei labilen Systemen wurden weitere Tests




                                                                                                                                                                                                                                                                         BILD: FOTOLIA
     Regel über das Inter-                                                          sicheren Kommunika-                                                                                                                                                                                  unterbrochen, da produktive Daten gefährdet
     net angegriffen wer-
                                    Eine halbe Stunde nach                          tion ausgetauscht. Alle                                                                                                                                                                              waren und kein dediziertes Testsystem zur Ver-
     den, bot es sich an,               Teststart war die                           involvierten Personen                                                                                                                                                                                fügung stand.
     auch das Testing über
     das Internet abzu-
                                     erste Sicherheitslücke                         wussten danach ge-
                                                                                    nau, was ihre Aufgabe     PHASE 2: TESTVORBEREITUNGEN                          festgelegt. Neben der Projektmanagement-           bald die erwartete Erlaubnis eintraf. Eine halbe                   PHASE 5: PROJEKTABSCHLUSS
     wickeln. So wurde fol-                 gefunden                                im Projekt ist und wie    Vor dem Start der Testphase fand noch ein in-        Software hilft dabei ein Versionskontrollsystem,   Stunde nach Projektstart fand das französische                     Nach Abschluss der Tests wurde der Schluss-
     gender Ablaufplan ent-                                                         die Eskalationspfade      ternes Briefing statt. Um einen reibungslosen         in dem jeder Tester täglich Resultate, Logs und    Testteam die erste Sicherheitslücke.                               bericht erstellt. Auch hier lieferten die drei
     wickelt: Die Netze sollten vorab automatisch         verlaufen. Weiter wurden rechtliche Aspekte ge-     Projektablauf sicherzustellen, ist es wichtig,       Netzwerkmitschnitte speichert.                         Es handelte sich um eine Anfälligkeit auf                      Teams ihre unabhängigen «Findings», die vom
     gescannt werden – zunächst auf erreichbare Sys-      klärt, zum Beispiel, ob das Einverständnis der      dass sämtliche Teilprojektleiter ihre Resultate                                                         SQL-Injection. Die Eskalation verlief genau                        Teilprojektleiter stilistisch überarbeitet wurden.
     teme, Protokolle und Ports, anschliessend auf        Systembetreiber vorliegt oder Geheimhaltungs-       in einer normalisierten Form einreichen. Falls       PHASE 3: DER ERSTE TAG                             nach Plan: Der Tester meldete die Schwach-                         Alle drei Teilberichte wurden anschliessend
     Sicherheitslücken. Die so detektierten Risiken       vereinbarungen einzureichen sind.                   die vom Kunden gewünschte Sprache des                Wie beim Kick-off-Meeting festgelegt, holte sich   stelle direkt seinem Projektleiter, der wiederum                   vom Projektleiter zusammengefügt und kon-
     konnten dann manuell verifiziert werden, wäh-             An diesem «Initial Meeting» trafen IT-Be-       Schlussberichts nicht Englisch ist, und nicht        der Projektleiter beim Kunden am ersten Test-      leitete umgehend eine kurze Beschreibung des                       trolliert. Das Resultat war ein 190-seitiger Be-
     rend im Hintergrund bereits der nächste automa-      reichsleiter, Security Officer und CIO des Kun-      alle Tester die Zielsprache beherrschen, muss        tag telefonisch das «Go» ab. Um administra-        Risikos inklusive konkretem Massnahmenvor-                         richt in Englisch, der neben einem Management
     tisierte Test lief. Aufgrund der Ergebnisse wurden   den mit den Projekt- und Teilprojektleitern so-     auch der Aufwand für Übersetzungen der Er-           tiven Overhead zu vermeiden, waren die Tests       schlag an den Projektleiter des Kunden weiter.                     Summary und organisatorischen Kapiteln eine
     schliesslich zwölf Systeme ausgewählt, um sie        wie einem Vertreter aus der Geschäftsleitung        gebnisse und Beschreibungen berücksichtigt           ansonsten «opt-out» durchzuführen, das heisst,     Dieser kontaktierte daraufhin den Applika-                         Fülle von Risiken und Massnahmenvorschlägen
     einem intensiven Penetration Test zu unterzie-       zusammen. Da es für den Kunden nicht der            werden. In diesem Fall jedoch wünschte der           sie liefen automatisch während des vereinbar-      tionsverantwortlichen aus Belgien, der das                         enthielt. Nach der internen Qualitätssicherung
     hen. Das Zeitfenster für die Tests: knappe drei      erste technische Security Audit war, verlief das    Kunde einen englischen Bericht.                      ten Zeitfensters und konnten bei Bedarf vom        Problem innert weniger Stunden beheben                             wurde der Bericht schliesslich dem Kunden zu-
     August-Wochen.                                       Treffen unkompliziert. Am Ende waren sämt-              Aufgrund der lokalen Verteilung der Teams        Kunden gestoppt werden.                            liess. Die Nachkontrolle erfolgte noch am sel-                     gestellt.
         Um diese enge Zeitvorgabe einhalten zu           liche Ziele erreicht, einzelne Aufgaben, etwa       fand das Briefing auf zwei Ebenen statt: zu-              Während des Gesprächs wurde auch die           ben Tag – diese bestätigte, dass die Lücke kor-                        Die Abschlusspräsentation fand zwei Wo-
     können, mussten die Ressourcen ortsübergrei-         das Nachreichen weiterer Geheimhaltungs-            nächst zwischen dem Projektleiter und den            To-do-Liste vom Kick-off-Meeting nochmals          rekt geschlossen worden war.                                       chen später statt: Der Kunde war mit Bericht
     fend gebündelt werden: Teams aus Deutsch-            vereinbarungen, Genehmigungsanträge bei             Teilprojektleitern, anschliessend zwischen Teil-     geprüft. Dabei stellte sich heraus, dass die                                                                          und Projektablauf sehr zufrieden. Ohne die
     land, Frankreich und der Schweiz wurden in den       ISPs oder auch noch zu erstellende Accounts         projektleiter und Tester. Auf Letzterem wurden       schriftliche Erlaubnis zum Testen eines Routers    PHASE 4: PROBLEMBEHEBUNG                                           praxisorientierte Planung wäre ein Projekt die-
                                                          für die Webapplikationtests wurden in einer         die Tagesziele definiert, die Tasks verteilt (z. B.   trotz Nachhaken noch nicht eingetroffen war.       Der weitere Projektverlauf lief nahezu problem-                    ser Grössenordnung, noch dazu unter Beteili-
     Simon Wepfer ist COO bei der auf IT Security         To-do-Liste mit Deadlines und Verantwortlich-       wer testet wann welche Adressbereiche) sowie         Der besagte Router wurde also vorläufig ausge-      los ab: Die Erlaubnis für das Testen des Routers                   gung eines internationalen Teams, wohl kaum
     spezialisierten OneConsult GmbH                      keiten festgehalten.                                Inhalt, Ziel und Periode der Status-Updates          nommen und sollte nachgetestet werden, so-         traf schliesslich doch noch ein, ein Benutzer-                     für beide Seiten so reibungslos abgelaufen.