Asher de Metz ging durch die Vordertüren eines Supermarkts. An seiner Seite hing anstelle einer wiederverwendbaren Einkaufstasche eine diskrete Laptoptasche. De Metz kaufte keine Lebensmittel ein – das war ein Einbruch. Aber weder Avocado -inspizierende Käufer noch Kreditkarten klauende Kassierer bemerkten, dass sie angegriffen wurden.
De Metz ging durch den Laden und fand einen Raum voller Leute an Computern. Es war eine Trainingseinheit. Der perfekte Ort, um sich einzufügen. Also setzte er sich hin und entführte eine Maschine .
"Ich ging einfach hinein und zog das Kabel von der Rückseite einer der Maschinen ab und steckte es in meinen Laptop ein", sagt de Metz. "Ich habe eine Weile gehackt und von diesem Raum aus ziemlich schnell Zugriff auf Systeme und Datenbanken erhalten."
Auf der Jagd nach einem „Hacker“
Kurz darauf trat der Trainer an de Metz heran. Sie war höflich, aber unsicher bei ihm. „Ich komme von der Zentrale“, erklärte de Metz, um ein paar Updates zu installieren, sagte er ihr. Die Geschichte beruhigte sie für ein paar Minuten, aber sie beschloss, ihren Vorgesetzten hinzuzuziehen.
Da dachte de Metz, es sei Zeit aufzubrechen. "Ich habe alles geschlossen und wollte gehen", erinnert sich de Metz, aber der Trainer war ihm dicht auf den Fersen. „Ich nahm die Treppe und leider ging der Alarm los, als ich die Tür aufstieß.“
Die Verfolgungsjagd wurde zum Soundtrack von dröhnenden Sicherheitsalarmen und einem letzten kreischenden Crescendo fortgesetzt, als der Trainer durch den Laden jaulte: „Das ist er! Das ist der Typ!“ Ein anderer Supermarktangestellter wandte sich an de Metz, aber de Metz war vorbereitet. Er hatte eine Manila-Mappe mit einem erfundenen Arbeitsauftrag.
Er sagte ihnen, dass er von einem Unternehmen sei und dass es einen ernsthaften Hack im System des Geschäfts gegeben habe. „Wussten Sie, dass es letzte Nacht eine Sicherheitslücke in Ihrem Netzwerk gab? Millionen wurden gestohlen.“ „Nein“, sagte der Aufseher. "Ich hatte keine Ahnung." Das Paar vereinbarte, später am Nachmittag einen Anruf zu tätigen, um zu vermeiden, dass aufgrund des schwerwiegenden Verstoßes gegen die Cybersicherheit Köpfe rollen.
Ein Teil von de Metz' Geschichte gegenüber dem Supermarktmanager war wahr; Er wurde für den Supermarkt angeheuert – von der Supermarktleitung. Der einzige Hack, der passiert war, war jedoch der, den de Metz selbst gemacht hatte, und er stahl keinen Cent. Er wurde angeheuert, um zu sehen, wie weit er sich in die Systeme des Supermarkts hacken konnte . Und in diesem Fall ist er weit gekommen. Jetzt hatte er einige hilfreiche Informationen, die er mit dem Führungsteam teilen konnte, um ihre Sicherheit für Mitarbeiter und Kunden gleichermaßen effektiver und sicherer zu machen.
Warum Unternehmen dafür bezahlen, gehackt zu werden
De Metz ist Senior Manager für Sicherheitsberatung bei Sungard Availability Services , einem globalen IT-Service-Management-Unternehmen. Er verfügt über mehr als 20 Jahre Erfahrung als Penetrationstester – so werden sie genannt – und hat einige der weltweit größten Unternehmen in Großbritannien, Europa, dem Nahen Osten und Nordamerika mit unschätzbarem Rat beraten.
„Der Grund, warum Unternehmen Penetrationstests durchführen“, sagt de Metz, „ist, weil sie nicht wissen, was sie nicht wissen. Sie könnten ein großartiges internes IT- oder Sicherheitsteam haben, das Pakete installiert und versucht, Systeme zu sichern, aber bis Sie bekommen einen Hacker da rein, der sich eingräbt und Dinge tut, die er nicht tun sollte, um die Risiken zu finden, die die Leute übersehen haben, Unternehmen wissen nicht, was ihre Risiken sind.
Das Ziel von De Metz ist es, Schwachstellen vor den Bösewichten zu finden – eine zunehmende Bedrohung für Unternehmen jeder Größe. Laut der von IBM Security gesponserten Cost of Data Breach Study 2017 werden jedes Jahr 60 Prozent der kleinen und mittleren Unternehmen angegriffen. Noch schlimmer ist, dass 60 Prozent dieser Unternehmen ihre Türen innerhalb von sechs Monaten nach dem Angriff schließen. Die durchschnittlichen globalen Kosten eines einzelnen Verstoßes betragen 3,62 Millionen US-Dollar.
Aber die Nachrichten werden schlimmer. In den ersten sechs Monaten des Jahres 2021 hat sich die Zahl der Unternehmen, die von Ransomware-Angriffen betroffen sind – Unternehmen, in denen bösartige Software installiert ist, die den Zugang zu Netzwerken blockiert, bis das „Lösegeld“ gezahlt wird – laut Untersuchungen von Check Point Software Technologies im Vergleich zu 2020 mehr als verdoppelt . Und der Mandiant M-Trends 2021- Bericht von FireEye fand 800 Erpressungsversuche, bei denen zwischen dem 1. Oktober 2019 und dem 30. September 2020 Unternehmensdaten gestohlen wurden.
Die Einsätze sind sehr hoch
Aus diesem Grund stellen immer mehr Organisationen Penetrationstester ein, die auch als White-Hat- Hacker bekannt sind (ein buchstäblicher Huttipp für die westliche Filmsymbolik der Mitte des 20. Jahrhunderts), wie de Metz, um absichtlich in ihre Systeme einzudringen.
"Es ist wie eine Versicherungspolice. Wenn Unternehmen das Geld jetzt für Sicherheit ausgeben, spart es ihnen die 10 oder 100 Millionen Dollar, die sie bei einem Verstoß kosten würden", erklärt de Metz. „Wenn sie beispielsweise ihre Ransomware überprüfen lassen und sich selbst impfen, erspart das Unternehmen monatelange Kopfschmerzen und entgangene Einnahmen, weil sie nicht in der Lage sind, Geschäfte zu machen.“
Der andere Grund, warum Unternehmen dafür bezahlen, gehackt zu werden, besteht darin, sicherzustellen, dass sie strengere regulatorische Standards erfüllen. Unter anderem müssen das Gesundheitswesen, Finanzorganisationen und Regierungsinstitutionen die Cybersicherheitsvorschriften von Bund, Ländern und Industrie erfüllen , da Hacking immer häufiger und kostspieliger wird.
Cybersicherheit ist physisch und technisch
Wenn Leute an Hacking denken, denken sie normalerweise an einen einsamen Ranger, der die privaten Daten eines Unternehmens aus der Sicherheit des dunklen Kellers ihrer Mutter angreift. Penetrationstester betrachten jedoch sowohl physische als auch technische Aspekte des Sicherheitsprogramms einer Organisation, also hacken sie aus dem Inneren der Organisation selbst heraus.
„Unternehmen wollen nichts auf dem Tisch lassen, was Teil einer Haltungsschwäche sein könnte“, sagt de Metz. „Wir testen die physischen Kontrollen; können wir Zugang zu einem Gebäude erhalten, die Sicherheitskontrolle passieren, durch eine Hintertür gehen? Können wir Zugang zu physischen Akten erhalten? Können wir in Bereiche gelangen, in denen Unternehmen Kreditkarten oder Geschenkkarten drucken?“ Dies sind die kritischen, physischen Dinge, auf die de Metz zusätzlich zu den technischen Aspekten wie dem Zugriff auf das Netzwerk oder sensiblen Daten hinweist.
Er bietet auch Ratschläge an, wie Empfehlungen für Mitarbeiterschulungsprogramme, damit Leute wie der Vorgesetzte, den er getroffen hat, wissen, wie man Personen überprüft, die sich im Gebäude aufhalten sollen. Oder was zu tun ist, wenn sie jemanden nicht erkennen (anstatt eine Verfolgung im gesamten Geschäft einzuleiten, selbst wenn dies eine gute Geschichte ergibt). "Das macht uns viel Spaß, aber wir bieten dem Kunden auch viel Wert."
Wie Penetrationstests funktionieren
Penetrationstester müssen über ein detailliertes Technologiewissen verfügen, und dazu gehört Erfahrung, nicht nur ausgefallene Tools. „Penetrationstests bedeuten, Technologie zu verstehen und mit ihr zu interagieren – zu wissen, wie diese Technologie funktionieren soll. Es ist eine Methodik und vielleicht die Ausrichtung eines Tools darauf, aber es geht nicht nur um Skripte oder Tools.“
Befindet sich de Metz in einem System, achtet er auf drei Dinge: Wo kann er sich einloggen, welche Softwareversionen sind im Einsatz und ob die Systeme richtig konfiguriert sind. „Können wir ein Passwort erraten? Können wir einen anderen Weg finden, um auf ein Login zuzugreifen? Vielleicht ist die Software veraltet und es gibt einen Exploit, also versuchen wir, etwas Ransomware-Code dagegen auszunutzen, um zu versuchen, Zugriff auf das System zu erhalten.“ er sagt. „Einige Dinge können in einem Audit gefunden werden, aber wir finden auch Dinge, an die [die Organisation] nicht gedacht hat.“
Das Eindringen geht tiefer als ein Netzwerk-Audit, und das ist ein wichtiger Unterschied. Ein Audit fragt, wird das Sicherheitsprogramm befolgt? Penetrationstests fragen: Funktioniert das Programm?
Penetrationstester betrachten die Sicherheitsstrategie aus der Vogelperspektive. Das Problem ist möglicherweise nicht so einfach wie veraltete Software, sondern eine gesamte Sicherheitsstrategie, die verbessert werden muss. Das findet de Metz heraus.
Viele kleine und mittelständische Unternehmen tun sich schwer damit, fundierte Sicherheitsinfrastrukturen zu finanzieren. Dennoch wird White-Hat-Hacking immer beliebter bei Organisationen, die für personenbezogene Daten verantwortlich sind, wie Facebook, das dafür bekannt ist, White-Hat-Hacker über sein Bug-Bounty-Programm dazu anzuregen, Schwachstellen in ihrem System zu finden.
De Metz hat auch in Podcasts mit einigen seiner dramatischsten Geschichten über Penetrationstests gesprochen. Sein Ziel ist zweierlei: Zuhörer mit wilden Geschichten zu unterhalten, aber noch wichtiger, den Wert von Penetrationstests hervorzuheben – und was auf dem Spiel steht, wenn Unternehmen dies nicht tun. Sie sehen sie vielleicht nie und wissen nie, dass sie da sind, aber Penetrationstester tragen dazu bei, Unternehmen und Kunden wie Sie sicherer zu machen.
Nun, das ist interessant
Black- und White-Hat-Hacker sind nicht die einzigen, die sich in Geschäftssysteme hacken. „Grey Hat“-Hacker verwischen die Grenzen zwischen „gutem“ und „bösem“ Hacking, indem sie ohne Erlaubnis in Systeme einbrechen, um Schwachstellen aufzudecken, und dann manchmal geringe Gebühren verlangen, um die Probleme zu beheben.
